Uploaded by Luis Rojas

Modelo de Informe GREP EH

advertisement
Febrero, 2019
Versión 1
INFORME
ANÁLISIS DE VULNERABILIDADES
APLICACIÓN WEB
_
empresa.????????.cl
INFORME PRESENTADO A:
NOTA DE CONFIDENCIALIDAD
NOTA DE CONFIDENCIALIDAD
Este documento contiene propiedad e información confidencial. Grep TI garantiza la confidencialidad
de la información y cualquier otro material que haya o deba ser divulgado en el curso de la
materialización del presente servicio.
Se asume un mutuo acuerdo de no-divulgación de información confidencial entre Grep y ????????,
limitando el uso de información confidencial exclusivamente para propósitos que se encuentran
asociados a la correcta entrega de este servicio.
Este documento contiene propiedad e información confidencial. Grep TI garantiza la confidencialidad de
2​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
TABLA DE CONTENIDOS
1.
RESUMEN EJECUTIVO.
1.1.
1.2.
1.3.
1.3.1.
1.3.2.
1.4.
1.4.1.
1.4.2.
1.5.
1.6.
2.
Introducción.
Antecedentes Generales.
Proceso de evaluación desarrollado.
Resumen de pruebas realizadas.
Condiciones especiales de evaluación
Resultados.
Resultados proceso de evaluación.
Mapa de revisión.
Conclusiones.
Recomendaciones.
RESULTADOS TÉCNICOS​.
2.1.
2.2.
2.3.
2.4.
2.4.1.
2.4.2.
2.4.2.1.
Ámbito del trabajo realizado.
Detalle de pruebas técnicas realizadas.
Alineamiento metodológico.
Resultados evaluación técnica.
Evaluación técnica en portal ​https://empresa.????????.cl/
Proceso de validación manual.
Hallazgos Verificados y Contramedidas
ANEXO A. DESCRIPCIÓN TOP 10 CATEGORÍAS OWASP.
4
4
4
4
5
6
6
6
7
9
9
10
10
10
11
12
12
12
12
16
3​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
LISTA DE FIGURA, GRÁFICOS Y TABLAS
FIGURA
Figura 1:​ Etapas proceso de evaluación.
5
GRÁFICOS
Gráfico 1:​ Detalle de pruebas realizadas y no realizadas
Gráfico 2:​ Detalle de pruebas no realizadas con y sin justificación.
Gráfico 3: ​Vulnerabilidades por severidad validadas en proceso manual
Gráfico 2: ​Distribución de alertas por categoría OWASP
5
6
7
12
TABLAS
Tabla 1:​ Listado de vulnerabilidades validadas en ciclos de evaluación
Tabla 2:​ Listado de url validadas en ciclos de evaluación
Tabla 3: ​Listado parámetros validados en ciclos de evaluación
Tabla 4: ​Listado de pruebas realizadas
7
8
9
11
4​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
1. RESUMEN EJECUTIVO.
1.1. Introducción.
Grep TI ha realizado una evaluación de seguridad sobre la Aplicación Web correspondiente a la
URL ​https://empresa.????????.cl/​, perteneciente al ​????????​, evaluación enmarcada dentro
del Servicio de Pruebas de Seguridad de Aplicaciones contratado.
El análisis de seguridad realizado establece el estado del arte actual que registra la Aplicación
Web objetivo de este proceso de evaluación, objetivo que ha sido definido por ​????????​. La
Aplicación Web fue analizada desde una perspectiva de Seguridad de la Información,
específicamente en el ámbito de las amenazas y vulnerabilidades electrónicas que se
encuentran presentes y que podrían dar paso a actividades maliciosas sobre la Aplicación Web,
pudiendo comprometer la información, sistemas informáticos, imagen y/o reputación de
????????​.
Utilizando una combinación de herramientas, scripts y validaciones manuales​, Grep TI provee
tanto la interpretación como el ajuste de los resultados a la realidad propia que vive la
organización; lo anterior se transforma en una necesidad vital para asegurar planes de acción y
recomendaciones asertivas.
La metodología utilizada por Grep TI para la ejecución del presente análisis se encuentra
basada en la metodología OWASP, la cual agrupa y describe las mejores prácticas para el
desarrollo y mantenimiento de aplicativos basados en tecnología Web. El análisis desarrollado
se encuentra enfocado a nivel de aplicación (capa 7 del modelo de referencia OSI), bajo el
concepto de Greybox Test (análisis de caja gris), donde a partir de la URL objetivo y otros datos
de prueba entregados, se realizan diversas actividades de descubrimiento que permiten
identificar los distintos componentes que posee el objetivo analizado y las vulnerabilidades a
las cuales se encuentra expuesto.
El presente proceso de evaluación de vulnerabilidades y la confección del informe técnico
asociado fue realizado enmarcado en las actividades asociadas al requerimiento solicitado por
el cliente​ ​y fue realizado durante el mes de Febrero de 2019.
1.2. Antecedentes Generales.
Las actividades de evaluación y análisis se focalizaron
https://empresa.????????.cl/​ ​ bajo el concepto de GreyBox Test.
sobre
la
URL
1.3. Proceso de evaluación desarrollado.
El proceso de evaluación desarrollado sobre la URL ​https://empresa.????????.cl/​, incluyo las
siguientes etapas:
5​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Figura 1: Etapas proceso de evaluación.
1.3.1. Resumen de pruebas realizadas.
A continuación se presenta, de forma ejecutiva, las estadísticas y el detalle de las pruebas y
validaciones específicas realizadas como parte del presente proceso de evaluación.
Gráfico 1: Detalle de pruebas realizadas y no realizadas
También se presentan las estadísticas y detalle de aquellas pruebas y validaciones específicas
no realizadas que cuentan con una justificación técnica para esta condición.
6​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Gráfico 2: Detalle de pruebas no realizadas con y sin justificación.
1.3.2. Condiciones especiales de evaluación
El análisis de seguridad realizado a la aplicación comprende solamente la url
https://empresa.????????.cl dejando fuera de contexto cualquier subdominio comprendido
dentro del dominio principal ????????.cl, por ejemplo ​https://​www​.????????.cl
1.4. Resultados.
1.4.1. Resultados proceso de evaluación.
Para las actividades de validación, se tomó como base los hallazgos (vulnerabilidades)
identificadas durante el proceso de evaluación automatizado y además se aplicaron técnicas
1
manuales de pentesting para descubrir nuevas vulnerabilidades, lo que arrojó como resultado
la presencia de las vulnerabilidades validadas a continuación, las cuales se encuentran
organizados en base a las siguientes categorías:
1
Pen Test​ se denomina a los "Test de penetración" o en inglés "PenetrationTests"​, y son en conjunto la forma de
denominar a una serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de computación y
aplicaciones involucradas en los mismos.
7​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Gráfico 3: Vulnerabilidades por severidad validadas en proceso manual
#
Vulnerabilidad
Criticidad
Estado
Revelación y exposición de información sensible
ALTA
Nueva
Campo password con autocompletado habilitado
BAJA
Nueva
Tabla 1: Listado de vulnerabilidades validadas en ciclos de evaluación
1.4.2. Mapa de revisión.
El siguiente listado corresponde a las url revisadas durante el proceso de análisis.
https://empresa.????????.cl/
https://empresa.????????.cl/logout
https://empresa.????????.cl/apis/get_items_for_contributions/
https://empresa.????????.cl/manifest.json
https://empresa.????????.cl/assets/
https://empresa.????????.cl/property_policy/1
https://empresa.????????.cl/property_policy/current?from=i
deas
https://empresa.????????.cl/assets/OwlCarousel2/
https://empresa.????????.cl/cdn-cgi/l/email-protection
https://empresa.????????.cl/cdn-cgi/scripts/5c5dd728/cloudflare-st
atic/
https://empresa.????????.cl/resetpassword
https://empresa.????????.cl/comments
https://empresa.????????.cl/resource_comments
https://empresa.????????.cl/resources/company_innovation
s
https://empresa.????????.cl/derivated_ideas/index
https://empresa.????????.cl/resources/posts
https://empresa.????????.cl/dismiss
https://empresa.????????.cl/resources/success_stories
https://empresa.????????.cl/expert_areas
https://empresa.????????.cl/resources/tools
https://empresa.????????.cl/favicon/
https://empresa.????????.cl/resources/tools?page=1
https://empresa.????????.cl/funding_lines
https://empresa.????????.cl/resources/tools?page=2
8​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
https://empresa.????????.cl/home/goals
https://empresa.????????.cl/robots.txt
https://empresa.????????.cl/home/ideas
https://empresa.????????.cl/upload/
https://empresa.????????.cl/home/news
https://empresa.????????.cl/users/
https://empresa.????????.cl/idea_field_answers
https://empresa.????????.cl/users/7281/update_password
https://empresa.????????.cl/idea_quick_implementations
https://empresa.????????.cl/www.????????.uai.cl
https://empresa.????????.cl/ideas
https://empresa.????????.cl/www.????????.uchile.cl
https://empresa.????????.cl/ideas/my_ideas
https://empresa.????????.cl/www.????????.cl
https://empresa.????????.cl/ideas/new
https://empresa.????????.cl/www.????????.cl
https://empresa.????????.cl/ideas
https://empresa.????????.cl/www.????????.com
https://empresa.????????.cl/login
https://empresa.????????.cl/www.????????.cl
https://empresa.????????.cl/login?from_path=%2F
Tabla 2: Listado de url validadas en ciclos de evaluación
Las siguientes url corresponde a un análisis más profundo por contener parámetros
susceptibles a inyecciones referenciados a cada menú del portal.
Login
Page
https://empresa.????????.cl/login
authenticitc%2B1%2B9qRLfQ%3D%3D&from_path=%2F&email=usuariogrep%40ethicalhacking.cl&passw
ord=grep2019
https://empresa.????????.cl/users/7281
utf8=%E2%9C%93&_method=patch&authenticity_token=0UChyC1t9i5DoJjZlj0oRkPbaqoigDkJrt%2BA4Op
X6ZgwUC56phone%5D=%281__%29+_+___+____&user%5Barea_id%5D=131&user%5Bposition%5D=1&
user%5Bcareer%5D=1&user%5Bknowledge%5D=1&commit=Actualizar+perfil
Mi Perfil https://empresa.????????.cl/users/7281/update_password
utf8=%E2%9C%9word_confirmation%5D=1&commit=Actualizar+contrase%C3%B1a
https://empresa.????????.cl/property_policy/current
utf8=%E2%9CNV74FXfhfxMDKupv1%2FpFg%3D%3D&current_property_policy%5Baccept%5D=0&commi
t=Enviar
https://empresa.????????.cl/ideas?
utf8=%E2%9C%93&=86&q%5Bstage_in%5D%5B%5D=&q%5Bstage_in%5D%5B%5D=2
https://empresa.????????.cl/comments
utf8=%E2%9C%93&authenticAymnVaALg%3D%3D&comment_type=public&object_context=5691&body
=1
https://empresa.????????.cl/idea_field_answers
Ideas
company_form_3&i=5691&answer=MSG_Propuestaa&option_field_id=
https://empresa.????????.cl/ideas/5829/
_method=put&goalselect=318
https://empresa.????????.cl/apis/get_items_for_contributions/5829?
term=1&_typequery&q=1
https://empresa.????????.cl/ideas/5829/submit?
has_blank_arelect_tag=false
9​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
https://empresa.????????.cl/resources/tools?
page=2
https://empresa.????????.cl/funding_lines?
utf8=%E2%9C%93&q%5Btitle_or_desc_cont%5D=1&q%5Bfunding_lines_institutions_institution_id_in%5
Centro D%5B%5D=&q%5Beq_any%5D%5B%5D=1&q%5Bstage_early_eq_any%5D%5B%5D=1&q%5Bstage_advan
de
ced_eq_any%500000&q%5Bamount_lteq_any%5D%5B%5D=80000000&q%5Bamount_lteq_any%5D%5B
Recursos %5D=100000000&q%5Bamount_gteq_any%5D%5B%5D=100000000&q%5Bvigenc_y_eq_any%5D%5B%5
D=1&button=
https://empresa.innk.cl/expert_areas?
utf8=%E2%9C%93&q%5Bname_cont%5D=1&q%5Bexpert_areas_items_item_id_in%5D%5B%5D=&q%5B
expert_areas_itemsitem_id_in%5D%5B%5D=2&q%5Binstitution_id_in%5D%5B%5D=&q%5Binstitution_i
d_in%5D%5B%5D=2hnology_id_in%5D%5B%5D=1&q%5Bexpert_areas_regions_region_id_in%5D%5B%5
D=&q%5Bexpert_areas_regions_region_id_in%5D%5B%5D=2&button=
Tabla 3: ​Listado parámetros validados en ciclos de evaluación
1.5. Conclusiones.
De acuerdo a los resultados de la evaluación realizada sobre el portal Web en materia de
análisis, este presenta una vulnerabilidad de ​Severidad Alta ​y una vulnerabilidad de Severidad
Baja​.
A juicio del evaluador, las remediaciones de las vulnerabilidades encontradas y validadas
tienen un proceso asociado más cercano a la revisión y ajuste de las configuraciones de
seguridad del servidor y sitio, en lugar de un nuevo ciclo de desarrollo correctivo. Se incluye
información técnica de detalle respecto de las vulnerabilidades descubiertas, evaluadas y
validadas tanto en el punto ​2.4.2.1 Hallazgos Verificados y Contramedidas​.
1.6. Recomendaciones.
Como medidas más urgentes de implementar, se recomienda lo siguiente:
●
●
Para evitar que los navegadores almacenen las credenciales ingresadas en formularios
HTML, incluya el atributo ​autocomplete=off dentro de la etiqueta FORM (para proteger
todos los campos de formulario) o dentro de las etiquetas INPUT relevantes (para proteger
campos individuales específicos).
Cuando un usuario quiera cambiar su contraseña dentro del portal, es necesario que se le
solicite la clave actual de dicho usuario, de manera que esta no esté incluida por defecto en
el flujo de la aplicación sin ser requerida previamente.
2. RESULTADOS TÉCNICOS.
2.1. Ámbito del trabajo realizado.
Para la materialización del proceso de evaluación, análisis y validación de vulnerabilidades, se
ejecutaron un conjunto probado de acciones de detección de vulnerabilidades Web. Las
acciones de detección de vulnerabilidades Web fueron realizadas sobre los siguientes
objetivos:
10​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
●
URL ​https://empresa.????????.cl/​.
2.2. Detalle de pruebas técnicas realizadas.
A continuación se presenta el listado y detalle de las pruebas específicas realizadas como parte
del presente proceso de evaluación.
#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Prueba solicitada
Débil implementación de SSL.
Debilidad en gestión de configuración de infraestructura.
Debilidad en gestión de configuración de aplicación y exposición de
información.
Debilidad en gestión de configuración de extensión de ficheros.
Antiguo backup y ficheros no referenciados.
Acceso a interfaces de administración.
Transporte de credenciales sobre canal cifrado (hombre del medio).
Enumeración de usuarios.
Cuentas de usuario adivinables.
Credenciales débiles.
Vulnerabilidad de recordatorio de contraseña y debilidad de
restablecimiento de contraseña.
Función de cierre de sesión no implementada correctamente, debilidad
en la caché de navegación.
Debilidad de cierre de sesión no implementada correctamente,
debilidad en la caché de navegación.
Evasión de esquema de autenticación, Testigo de sesión débil.
Cookies no definidas como ‘HttpOnly’, ‘Secure’ y sin tiempo de
expiración.
Variables sensibles de Sesión expuestas.
#
Prueba solicitada
18
19
20
Ruta Transversal.
Evasión de esquema de autorización.
Escalado de privilegios.
Estado
de
ejecución
(Si / No)
Observación
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Estado
de
ejecución
(Si / No)
Si
Si
Si
Observación
11​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Evasión de la lógica de negocio.
Cross-Site Scripting.
Inyección SQL.
Inyección LDAP.
Inyección XML.
Inyección de Código.
Desbordamiento de buffer.
Vulnerabilidad incubada.
Debilidad en la estructura del XML.
XML a nivel de contenido.
Debilidad Ajax.
Codificación (UFT8, ASCII, otro).
Mail bombing en formularios.
Inspección de código javascript y comentarios en el código fuente
desde el lado del cliente.
Descubrimiento y Reconocimiento (Metadatos).
Identificación y estado de Puertos/Servicios.
Búsqueda de vulnerabilidades en el sistema operativo y en los servicios
listados.
Verificar vulnerabilidades encontradas comparando en base de datos
de vulnerabilidades conocidas (ej. CVE).
Descubrimiento de agujeros de seguridad en los cambios de
configuración e identificación de configuraciones erróneas.
Validación de los exploit encontrados de forma no invasiva y
controlada.
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Tabla 4: Listado de pruebas realizadas
2.3. Alineamiento metodológico.
Para el proceso de evaluación de vulnerabilidades Web, la metodología de trabajo definida
toma como base referencial el estándar OWASP, motivo por el cual los resultados detallados
fueron organizados en las categorías definidas por esta metodología, correspondiendo a:
●
●
●
●
●
●
●
●
●
●
A1 - Inyección.
A2 - Pérdida de Autenticación y Gestión de Sesiones.
A3 - Exposición de Datos Sensibles.
A4 – Entidades Externas XML (XXE)
A5 – Pérdida de Control de Acceso
A6 - Configuración de Seguridad Incorrecta.
A7 – Secuencia de Comandos en Sitios Cruzados (XSS).
A8 – Deserialización Insegura
A9 - Componentes con Vulnerabilidades Conocidas.
A10 – Registro y Monitoreo Insuficientes.
Se incluye en el ​Anexo A del presente informe una descripción de cada una de las categorías
definidas por la metodología OWASP.
12​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
2.4. Resultados evaluación técnica.
2.4.1. Evaluación técnica en portal ​https://empresa.????????.cl/
Los resultados obtenidos durante el proceso de levantamiento y evaluación técnica
automatizada desarrollado sobre la Aplicación Web ​https://empresa.????????.cl/​, ​organizados
desde la perspectiva y categorías OWASP corresponden a: ​2 ​alertas distribuidas en categorías
definidas por la metodología señalada. A continuación se presentan estos resultados de
manera gráfica:
Gráfico 4: Distribución de alertas por categoría OWASP
2.4.2. Proceso de validación manual.
1.1.1.1. Hallazgos Verificados y Contramedidas
Como parte determinante del presente análisis, se realizaron un conjunto de validaciones
realizados sobre las vulnerabilidades descubiertas, con el propósito de establecer la veracidad
de las posibles vulnerabilidades encontradas y descartar falsos positivos. También se aplicaron
técnicas manuales de pentesting para una revisión más granular del sitio permitiendo así
descubrir y validar nuevas vulnerabilidades. A continuación se presentan los resultados de
estas actividades.
13​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Tipo
Elementos
Afectados
1.
Revelación y exposición de información sensible
URL: ​https://empresa.????????.cl/users/7281/edit
Abstracto:​ Dentro del menú "​Mi Perfil - Editar Perfil - CAMBIAR CONTRASEÑA​" la
opción de cambiar la contraseña debería solicitar la clave antigua y no como está
configurada actualmente en la cual la aplicación almacena la contraseña y la muestra
dentro del formulario del portal
Descripción
Las URLs revelan información de carácter sensible de la aplicación como rutas internas o
credenciales dentro del código como es en este caso en particular.
Esto puede ayudar a un usuario malicioso para preparar ataques más avanzados en
contra del sitio web.
Impacto
En este caso es posible acceder a credenciales descritas dentro del código de la
aplicación.
Contramedida
14​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Es necesario que se le solicite la clave actual de dicho usuario al momento de ofrecer el
cambio de la contraseña.
Nivel Criticidad
Tipo
Elementos
Afectados
Descripción
Alta
2.
Campo password con auto-completado habilitado
URL:​ ​https://empresa.????????.cl/login
Cuando se ingresa un nuevo usuario y contraseña en un formulario y se envía el
formulario, el navegador le preguntará al usuario si desea recordar estas credenciales. A
partir de entonces cuando se muestra el formulario, el nombre y la contraseña se
rellenarán automáticamente o son completados una vez es ingresado el nombre. La
habilitación de esta configuración permite obtener el listado de usuarios que iniciaron
sesión en la aplicación debido a que este parámetro queda almacenado en el browser
del cliente.
15​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Impacto
Contramedida
Un usuario malicioso o atacante, con acceso local, podría obtener el listado de usuarios
y las contraseñas asociadas desde los archivos del cache del navegador, logrando un
posible acceso a información sensible.
Se debe deshabilitar el autocompletado de contraseñas en las aplicaciones sensibles. El
autocompletado podría ser deshabilitado mediante el siguiente código: <INPUT
TYPE="password" AUTOCOMPLETE="off">.
En ASP se debe utilizar el siguiente código:
public abstract class BasePage : Page
{
protected override void OnLoad(EventArgs e)
{
//Handling autocomplete issue generically
if (this.Form != null)
{
this.Form.Attributes.Add("autocomplete", "off");
}
base.OnLoad(e);
}
}
En Java se debe utilizar el siguiente código:
inpElements.setAttribute('autocomplete','off');
Más información:
● https://www.owasp.org/index.php/Testing_for_Vulnerable_Remember_Passw
ord_(OWASP-AT-006)
Nivel Criticidad
Baja
ANEXO A. DESCRIPCIÓN TOP 10 CATEGORÍAS OWASP.
A1:2017 Inyección
16​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Las fallas de inyección, como SQL, NoSQL, OS o LDAP ocurren cuando se envían datos no
confiables a un intérprete, como parte de un comando o consulta. Los datos dañinos del
atacante pueden engañar al intérprete para que ejecute comandos involuntarios o acceda a los
datos sin la debida autorización.
A2:2017 Pérdida de Autenticación
Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son
implementadas incorrectamente, permitiendo a los atacantes comprometer usuarios y
contraseñas, token de sesiones, o explotar otras fallas de implementación para asumir la
identidad de otros usuarios (temporal o permanentemente).
A3:2017 Exposición de datos sensibles
Muchas aplicaciones web y APIs no protegen adecuadamente datos sensibles, tales como
información financiera, de salud o Información Personalmente Identificable (PII). Los atacantes
pueden robar o modificar estos datos protegidos inadecuadamente para llevar a cabo fraudes
con tarjetas de crédito, robos de identidad u otros delitos. Los datos sensibles requieren
métodos de protección adicionales, como el cifrado en almacenamiento y tránsito.
A4:2017 Entidades Externas XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades
externas en documentos XML. Las entidades externas pueden utilizarse para revelar archivos
internos mediante la URI o archivos internos en servidores no actualizados, escanear puertos
de la LAN, ejecutar código de forma remota y realizar ataques de denegación de servicio (DoS).
A5:2017 Pérdida de Control de Acceso
Las restricciones sobre lo que los usuarios autenticados pueden hacer no se aplican
correctamente. Los atacantes pueden explotar estos defectos para acceder, de forma no
autorizada, a funcionalidades y/o datos, cuentas de otros usuarios, ver archivos sensibles,
modificar datos, cambiar derechos de acceso y permisos, etc.
A6:2017 Configuración de Seguridad Incorrecta
La configuración de seguridad incorrecta es un problema muy común y se debe en parte a
establecer la configuración de forma manual, ad hoc o por omisión (o directamente por la falta
de configuración). Son ejemplos: S3 buckets abiertos, cabeceras HTTP mal configuradas,
mensajes de error con contenido sensible, falta de parches y actualizaciones, frameworks,
dependencias y componentes desactualizados, etc.
A7:2017 Secuencia de Comandos en Sitios Cruzados (XSS)
Los XSS ocurren cuando una aplicación toma datos no confiables y los envía al navegador web
sin una validación y codificación apropiada; o actualiza una página web existente con datos
suministrados por el usuario utilizando una API que ejecuta JavaScript en el navegador.
Permiten ejecutar comandos en el navegador de la víctima y el atacante puede secuestrar una
sesión, modificar (defacement) los sitios web, o redireccionar al usuario hacia un sitio
malicioso.
A8:2017 Deserialización Insegura
17​ | ​INFORME:​ Análisis de vulnerabilidades aplicación web / ​empresa.????????.cl
Estos defectos ocurren cuando una aplicación recibe objetos serializados dañinos y estos
objetos pueden ser manipulados o borrados por el atacante para realizar ataques de
repetición, inyecciones o elevar sus privilegios de ejecución. En el peor de los casos, la
deserialización insegura puede conducir a la ejecución remota de código en el servidor.
A9:2017 Componentes con vulnerabilidades conocidas
Los componentes como bibliotecas, frameworks y otros módulos se ejecutan con los mismos
privilegios que la aplicación. Si se explota un componente vulnerable, el ataque puede
provocar una pérdida de datos o tomar el control del servidor. Las aplicaciones y API que
utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las
aplicaciones y permitir diversos ataques e impactos.
A10:2017 Registro y Monitoreo Insuficientes
El registro y monitoreo insuficiente, junto a la falta de respuesta ante incidentes permiten a los
atacantes mantener el ataque en el tiempo, pivotear a otros sistemas y manipular, extraer o
destruir datos. Los estudios muestran que el tiempo de detección de una brecha de seguridad
es mayor a 200 días, siendo típicamente detectado por terceros en lugar de por procesos
internos.
Download