Evaluacion de Seguridad de Permisos

ndice
I.Introduccin
II.Especificacindelaevaluacin
..
2
II.I.Aspectoaevaluar
2
II.IICriteriosdeevaluacin
3
II.IIIRigordelaevaluacin
...
3
III.Procedimientodelaevaluacin
IV.Resultadosdelaevaluacin
.
4
IV.IRolAdministrador
4
IV.I.ITabladeresultados
.
4
IV.I.IIObservaciones
.
5
IV.IIRolAsesor
..
9
IV.II.ITabladeresultados
9
IV.II.IIObservaciones
..
10
IV.IIIRolGrupoEmpresa
.
19
IV.III.ITabladeresultados
..
19
IV.III.IIObservaciones
..
19
V.Conclusiones
..
21
Documento de Evaluacin de la
Seguridad a Nivel Permisos de Usuario
I. Introduccin
El presente documento contiene informacin y resultados del proceso de

EvaluacindelaseguridadanivelpermisosdeusuariodelsistemaSAETIS.
El objetivo de este documento es obtener informacin acerca del nivel de

seguridad que ofrece el sistema SAETIS respecto a los accesos de los
usuarios. Es de vital importancia ya que lospermisosdeusuariodeterminan
siun usuarioobtendraccesoafuncionesqueofreceelsistema,evitandode
esta manera queunusuariocualquierapuedahacercambiosaloscualesno
tieneaccesodentrodelsistema.
II. Especificacin de la evaluacin
Para asegurar lacalidad de tal evaluacin sehautilizadocomoreferenciala

normaISO/IEC:25040(
http://iso25000.com/index.php/normasiso25000
).
Para realizar esta actividad se har uso del sistema SAETIS y de lalistade
requerimientos que ha sido recopilado a partir del Manual de Usuario,estos
requerimientos han sido agrupados segn los rolesysernmencionadosen
laseccinIV.
II.I. Aspecto a evaluar
El aspecto a evaluar para la verificacin de los permisos de usuario es la

correctitud
, esto significara que el requerimiento slo puede ser accedido
porelusuarioquelecorresponde.
3
II.II Criterios de evaluacin
Se calificara queel requerimiento tiene los permisos de usuario correctos si

este puede ser accedido por el tipo de usuario que le corresponde y no as
porlosotrostiposdeusuarios.
Por ejemplo, el requerimiento

El administrador registra losadministradores
ser correcto solo si un administrador puedeaccederyrealizarestafuncin.
En caso de que al menos otro tipo de usuario puedaaccederorealizaresta
funcinsecalificarademaneraincorrecta.
II.III Rigor de la evaluacin
Debido a que elsistema SAETISesaccedidopordiferentestiposdeusuario

es muy importante que cadauno de estos no tengan accesoafuncionesde
ningnotrotipodeusuario.
Por estemotivonobastasoloconverificarlosenlacesquedisponecadatipo
de usuario entonces se realizar una verificacin de acceso por URL,
debiendo el sistema redireccionar al usuario en caso de que este intente
accederafuncionesdeotrotipodeusuario.
III. Procedimiento de la evaluacin
Serealizunagrupamientodelosrequerimientostomandolossiguientes
tiposdeusuario:
Administrador
Asesor
GrupoEmpresa
Invitado
Entonceslaevaluacinprocededelasiguienteforma:
1. Seseleccionaelrequerimientoaevaluardeuntipodeusuario.
2. IntentandoaccederporURL,severificaqueesterequerimientono
puedaseraccedidoypuestoenmarchaporningnotrotipodeusuario.
Paracadatipodeusuarioquenocorrespondaelrequerimientose
procededelasiguientemanera:
a. Accederconunacuentadeesetipodeusuario(excepto
invitado).
b. AccedermedianteURLalafuncindelrequerimiento.
3. Seobtieneunresultadodelaverificacin.
4. Documentacindelasobservacionesobtenidas.
Esteprocedimientoserepitesistemticamenteparacadaunodelos
requerimientosdecadatipodeusuario.
IV. Resultados de la evaluacin

SemarcaconunaXencasodequeelrequerimientopuedaseraccedido
porunusuarionopermitidoloquesignificaraqueelrequerimientonopasala
pruebadeseguridaddepermisos.
IV.I Rol Administrador
IV.I.I Tabla de resultados
Requerimiento
Asesor Grupo
Empres
a
Invitado
Eladministradorregistralosadministradores.
Eladministradorvelalistadeusuarios
registrados.
Eladministradormodificaelestadodelos
X
5
usuarios.
4
Eladministradoraccedealalistadeintegrantes
delaGrupoEmpresa.
EladministradorgestionalasGrupoEmpresas.
Eladministradorgestionaalosadministradores.
Eladministradorgestionalosasesores.
Eladministradorgestionalosrolesdentrodel
sistema.
Eladministradoraadenuevasgestionesenel
sistema.
10 Eladministradoraccedeaunabitcoracon
registrosdelosingresosalsistema.
11 Eladministradorgestionaregistrosenlabitcora
deingresos.
12 Eladministradorenvauninformedevalidacin
deregistro.
IV.I.II Observaciones
1. El administrador registra los administradores.
ElURLdeesterequerimientoes:
http://localhost/Saetis/Vista/registro_administrador.php
Asesor:
Puederegistraraunadministrador,soloesnecesariaelURL.
GrupoEmpresa:
Puederegistraraunadministrador,soloesnecesariael
URL.
Invitado:
Puederegistraraunadministrador,soloesnecesariaelURL.
2. El administrador ve la lista de usuarios registrados.
http://localhost/Saetis/Vista/lista_usuarios.php
Asesor:
Puedeverlalistadeusuarioregistrados,sloesnecesariaelURL.
GrupoEmpresa:
Puedeverlalistadeusuarioregistrados,sloes
necesariaelURL.
Invitado:
Puedeverlalistadeusuarioregistrados,sloesnecesariaelURL.
3. El administrador modifica el estado de los usuarios.
http://localhost/Saetis/Vista/asignar_permisos.php
Asesor:
Puedemodificarelestadodelosusuarios,soloesnecesarioel
URL.
GrupoEmpresa:
Puedemodificarelestadodelosusuarios,soloes
necesarioelURL.
Invitado:
Puedemodificarelestadodelosusuarios,soloesnecesarioel
URL.
4. El administrador accede a la lista de integrantes de la Grupo

Empresa.
http://localhost/Saetis/Vista/lista_grupoEmpresa.php
Asesor:
PuedeaccederalalistadeintegrantesdecualquierGrupo
Empresa,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:

5.
El administrador gestiona las Grupo Empresas.
ElURLdeesterequerimiento
es:http://localhost/Saetis/Vista/ListaGrupoEmpresas.php
Asesor:
Puedegestionargrupoempresas,soloesnecesarioelURL.
GrupoEmpresa:
Puedegestionargrupoempresas,soloesnecesarioel
URL.
Invitado:
Puedegestionargrupoempresas,soloesnecesarioelURL.
6. El administrador gestiona a los administradores.
http://localhost/Saetis/Vista/lista_administradores.php
Asesor:
Puedegestionaradministradores,soloesnecesarioelURL.
GrupoEmpresa:
Puedegestionaradministradores,soloesnecesarioel
URL.
Invitado:
Puedegestionaradministradores,soloesnecesarioelURL.
7. El administrador gestiona los asesores.
http://localhost/Saetis/Vista/lista_asesores.php
Asesor:
Puedegestionarasesores,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:
8. El administrador gestiona los roles dentro del sistema.
ElURLdeesterequerimientoes:http://localhost/Saetis/Vista/add_roles.php
Asesor:
Puedegestionarroles,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:
9. El administrador aade nuevas gestiones en el sistema.
http://localhost/Saetis/Vista/add_gestion.php
Asesor:
Puedeagregarnuevasgestiones,soloesnecesarioelURL.
GrupoEmpresa:
Puedeagregarnuevasgestiones,soloesnecesarioel
URL.
Invitado:
Puedeagregarnuevasgestiones,soloesnecesarioelURL.
10. El administrador accede a una bitcora con registros de los

ingresos al sistema.
http://localhost/Saetis/Vista/bitacora_ingreso.php
Asesor:
Puedeaccederalabitcora,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:
11. El administrador gestiona registros en la bitcora de

ingresos.
http://localhost/Saetis/Vista/bitacora_ingreso.php
Asesor:
Puedegestionarlosregistros,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:
12. El administrador enva un informe de validacin de registro.
http://localhost/Saetis/Vista/enviar_mail.php
Asesor:
Puedeenviarmensajes,soloesnecesarioelURL.
GrupoEmpresa:
Invitado:
IV.II Rol Asesor
IV.II.I Tabla de resultados
Requerimiento
Administrador Grupo
Empresa
Elasesoradministralasgrupoempresas.
Elasesoraccedealoscontratosemitidos.
Elasesoraccedeadocumentossubidos.
Elasesoraccedeadocumentosrecibidos.
Elasesorregistraunproyecto.
Elasesorsubedocumentos.
Elasesorregistradocumentosrequeridos.
Elasesorconfiguralasfechasparalarecepcin
dedocumentos.
Elasesorcreapublicaciones.
10 Elasesoremiterdenesdecambio.
11 Elasesoremitenotificacindeconformidad.
X
10
Invitado
12 Elasesoremitecontratos.
13 Elasesoraccedealseguimientosemanal.
14 Elasesorrealizalaevaluacindelasegunda
fase.
15 Elasesorcreauncriteriodeevaluacin.
16 Elasesorcreauncriteriodecalificacin.
17 Elasesoreliminauncriteriodecalificacin.
18 Elasesorcreaunformulaciondeevaluacin.
19 Elasesorhabilitaunformulariodeevaluacin.
20 Elasesoreliminaunformulariodeevaluacin.
21 ElasesorevalaaunaGrupoEmpresa.
22 Elasesorrealizaunaevaluacin.
23 Elasesorgestionasuspublicaciones.
24 Elasesormodificainformacinpersonal.
25 Elasesoraccedealforo.
26 Elasesoragregatemasalforo.
27 Elasesorcomentauntemadelforo.
28 Elasesoreliminauntemadesupropiedaden
elforo.
IV.II.II Observaciones
1. El asesor administra las grupo empresas
11

http://localhost/Saetis/Vista/AdministrarGrupoEmpresa.php
Administrador:
Lograentraralaurl,notienegrupoempresasasociadas
GrupoEmpresa:
Invitado:
2. El asesor accede a contratos emitidos
http://localhost/Saetis/Vista/documentos_generados.php
Administrador:Lograentraralaurl,notienecontratosasociados.
GrupoEmpresa:Lograentraralaurl,notienecontratosasociados.
Invitado:
3. El asesor accede a documentos subidos
http://localhost/Saetis/Vista/lista_doc_subidos.php
Administrador:
Lograentraralaurl,notienedocumentosasociados.
GrupoEmpresa:
Invitado:
4. El asesor accede a documentos recibidos
http://localhost/Saetis/Vista/documentos_recibidos.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
12
5. El asesor registra un proyecto
http://localhost/Saetis/Vista/InscripcionProyecto.php
Administrador:
Lograentraralaurl,registraproyecto.
GrupoEmpresa:
Invitado:
6. El asesor sube documentos
http://localhost/Saetis/Vista/subirarchivoasesor.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
7. El asesor registra documentos requeridos
http://localhost/Saetis/Vista/RegistrarDocumentosRequeridos.php
Administrador:
Lograentraralaurl,registradocumentorequerido.
GrupoEmpresa:
Invitado:
8. El asesor configura las fechas para la recepcin de

documentos
13

http://localhost/Saetis/Vista/ConfiguracionFechasRecepcion.php
Administrador:
Lograentraralaurl,modificafechaderecepcin.
GrupoEmpresa:
Invitado:
9. El asesor crea publicaciones
http://localhost/Saetis/Vista/publicar_asesor.php
Administrador:
Lograentraralaurl,pblica.
GrupoEmpresa:
Lograentraralaurl,pblica.
Invitado:
Lograentraralaurl,nopublica,provocafallasdeintegridadenla
basededatos.
10. El asesor emite rdenes de cambio
http://localhost/Saetis/Vista/ordenDeCambio.php
Administrador:
paraemitirordendecambio.
GrupoEmpresa:
paraemitirordendecambio.
Invitado:
Lograentraralaurl,notienegrupoempresasasociadaspara
emitirordendecambio.
11. El asesor emite notificacin de conformidad
http://localhost/Saetis/Vista/notificacion_conformidad.php
14

Administrador:
paraemitirnotificacindeconformidad.
GrupoEmpresa:
paraemitirnotificacindeconformidad.
Invitado:
emitirnotificacindeconformidad.
12. El asesor emite contratos
http://localhost/Saetis/Vista/contrato.php
Administrador:
paraemitircontrato.
GrupoEmpresa:
paraemitircontrato.
Invitado:
emitircontrato.
13. El asesor accede al seguimiento semanal
NocontienelapginasecargaviaAJAX
Administrador:
Logracargarlatabla,notienegrupoempresasasociadas
pararealizarseguimiento.
GrupoEmpresa:
Logracargarlatabla,notienegrupoempresasasociadas
pararealizarseguimiento.
Invitado:
Logracargarlatabla,notienegrupoempresasasociadaspara
realizarseguimiento.
14. El asesor realiza la evaluacin de la segunda fase
15
http://localhost/Saetis/Vista/lista_evaluacion.php
Administrador:
pararealizarevaluacin.
GrupoEmpresa:
pararealizarevaluacin.
Invitado:
realizarevaluacin.
15. El asesor crea un criterio de evaluacin
http://localhost/Saetis/Vista/CrearModalidadEvaluacion.php
Administrador:
Lograentraralaurl,nocreacriteriodeevaluacinporfallas
deintegridadenlabasededatos.
GrupoEmpresa:
Lograentraralaurl,nocreacriteriodeevaluacinpor
fallasdeintegridadenlabasededatos.
Invitado:
Lograentraralaurl,nocreacriteriodeevaluacinporfallasde
integridadenlabasededatos.
16. El asesor crea un criterio de calificacin
http://localhost/Saetis/Vista/CrearModalidadCalificacion.php
Administrador:
Lograentraralaurl,nocreacriteriodecalificacinporfallas
deintegridadenlabasededatos.
GrupoEmpresa:
Lograentraralaurl,nocreacriteriodecalificacinpor
fallasdeintegridadenlabasededatos.
Invitado:
Lograentraralaurl,nocreacriteriodecalificacinporfallasde
integridadenlabasededatos.
16
17. El asesor elimina un criterio de calificacin
http://localhost/Saetis/Vista/EliminarCriterioCalificacion.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
18. El asesor crea un formulario de evaluacin
http://localhost/Saetis/Vista/CrearFormulario.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
19. El asesor habilita un formulario de evaluacin
http://localhost/Saetis/Vista/SeleccionarFormulario.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
20. El asesor elimina un formulario de evaluacin
http://localhost/Saetis/Vista/EliminarFormulario.php
17

Administrador:
Lograentraralaurl,notieneformulariosasociados.
GrupoEmpresa:
Invitado:
21. El asesor evala a una Grupo Empresa
http://localhost/Saetis/Vista/EvaluarGrupoEmpresa.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
22. El asesor realiza una evaluacin
http://localhost/Saetis/Vista/EvaluacionGeneral.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
23. El asesor gestiona sus publicaciones
http://localhost/Saetis/Vista/publicaciones.php
Administrador:
Lograentraralaurl,eliminalaspublicacionesqueha
creado.
GrupoEmpresa:
Lograentraralaurl,eliminalaspublicacionesqueha
creado.
Invitado:
Lograentraralaurl,eliminalaspublicacionesquehacreado.
18
24. El asesor modifica informacin personal
http://localhost/Saetis/Vista/modificar_asesor.php
Administrador:
Lograentraralaurl,indicaquemodificasuinformacin.
GrupoEmpresa:
Invitado:
25. El asesor accede al foro
http://localhost/Saetis/Vista/listadenoticias.php
Administrador:
Lograentraralaurl.
GrupoEmpresa:
Lograentraralaurl.
Invitado:
Lograentraralaurl.
26. El asesor agrega temas al foro
http://localhost/Saetis/Vista/adicionarnoticia.php
Administrador:
Lograentraralaurl,agreganuevotemaalforo.
GrupoEmpresa:
Lograentraralaurl,agreganuevotemaalforo.
Invitado:
Lograentraralaurl,noagregatema,provocafallasdeintegridad
enlabasededatos.
27. El asesor comenta un tema del foro
19

http://localhost/Saetis/Vista/noticia.php?id=3
Administrador:
Lograentraralaurl,comenta.
GrupoEmpresa:
Invitado:
28. El asesor elimina un tema de su propiedad en el foro
http://localhost/Saetis/Vista/listadenoticias.php
Administrador:
Lograentraralaurl,eliminatema.
GrupoEmpresa:
Lograentraralaurl,eliminatema.
Invitado:
Lograentraralaurl,nopuedeeliminarporquenotienetemas
asociados.
IV.III Rol Grupo Empresa
IV.III.I Tabla de resultados
Requerimiento
Administrador Asesor Invitado
LaGrupoEmpresasubesuspropuestasal
sistema.
LaGrupoEmpresavelosdocumentos
enviados.
LaGrupoEmpresaregistraasussocios.
LaGrupoEmpresaseleccionaaunsociocomo X
representantelegal.
LaGrupoEmpresaseleccionaunasesor.
20
LaGrupoEmpresaseinscribeaunproyecto.
IV.III.II Observaciones
1. La Grupo Empresa sube sus propuestas al sistema.
http://localhost/Saetis/Vista/SubirDocumento.php?doc=Membreete
Administrador:
PuedeingresaralURL.
Asesor:
PuedeingresaralURL.
Invitado:
PuedeingresaralURL.
2. La Grupo Empresa ve los documentos enviados.
http://localhost/Saetis/Vista/publicacion_grupo.php
Administrador:
Puedeverlosdocumentosenviados,soloesnecesariael
URL.
Asesor:
Puedeverlosdocumentosenviados,soloesnecesariaelURL.
Invitado:
Puedeverlosdocumentosenviados,soloesnecesariael
URL.
3. La Grupo Empresa registra a sus socios.
http://localhost/Saetis/Vista/AnadirSocio.php
Administrador:
Alintentarregistraraunsocio,generaunerrordeSQL,
porquenoesunagrupoempresa,soloesnecesariaelURL.
Asesor:
Alintentarregistraraunsocio,generaunerrordeSQL,porqueno
esunagrupoempresa,soloesnecesariaelURL.
21
Invitado:
Alintentarregistraraunsocio,generaunerrordeSQL,porqueno
esunagrupoempresa,soloesnecesariaelURL.
4. La Grupo Empresa selecciona a un socio como representante

legal.
ElURLdeesterequerimientoes:http://localhost/Saetis/Vista/AnadirRL.php
Administrador:
PuedeingresaralURL.
Asesor:
PuedeingresaralURL.
Invitado:
PuedeingresaralURL.
5. La Grupo Empresa selecciona un asesor.
http://localhost/Saetis/Vista/seleccionar_asesor.php
Administrador:
PuedeingresaralURL.
Asesor:
PuedeingresaralURL.
Invitado:
PuedeingresaralURL.
6. La Grupo Empresa se inscribe a un proyecto.
http://localhost/Saetis/Vista/InscripcionGEProyecto.php
Administrador:
PuedeingresaralURL.
Asesor:
PuedeingresaralURL.
Invitado:
PuedeingresaralURL.
V. Conclusiones
22
Resumiendolosdatosobtenidosenlastablasderesultadosdelosrolesde
usuariotenemosque:
NingnRequerimientodelRoladministradorsuperlaevaluacin.
NingnRequerimientodelRolAsesorsuperlaevaluacin.
NingnRequerimientodelRolGrupoEmpresasuperlaevaluacin.
Entoncesenbasealosresultadosobtenidosdelaevaluacindeseguridad
depermisosdeusuariopodemosconcluirquenoseaplicaronestndaresde
seguridadenlosarchivosdelasfuncionesdelosrequerimientosparaevitar
queestosseanaccedidospordiferentestiposdeusuario.
23

Evaluacion de Seguridad de Permisos

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Evaluacion de Seguridad de Permisos

Hochgeladen von

Copyright:

Verfügbare Formate

ndice

El presente documento contiene informacin y resultados del proceso de

El objetivo de este documento es obtener informacin acerca del nivel de

II. Especificacin de la evaluacin

Para asegurar lacalidad de tal evaluacin sehautilizadocomoreferenciala

II.I. Aspecto a evaluar

El aspecto a evaluar para la verificacin de los permisos de usuario es la

II.II Criterios de evaluacin

Se calificara queel requerimiento tiene los permisos de usuario correctos si

Por ejemplo, el requerimiento

II.III Rigor de la evaluacin

Debido a que elsistema SAETISesaccedidopordiferentestiposdeusuario

III. Procedimiento de la evaluacin

IV. Resultados de la evaluacin

IV.I Rol Administrador

IV.I.I Tabla de resultados

1. El administrador registra los administradores.

2. El administrador ve la lista de usuarios registrados.

3. El administrador modifica el estado de los usuarios.

4. El administrador accede a la lista de integrantes de la Grupo

6. El administrador gestiona a los administradores.

7. El administrador gestiona los asesores.

8. El administrador gestiona los roles dentro del sistema.

9. El administrador aade nuevas gestiones en el sistema.

10. El administrador accede a una bitcora con registros de los

11. El administrador gestiona registros en la bitcora de

12. El administrador enva un informe de validacin de registro.

IV.II Rol Asesor

IV.II.I Tabla de resultados

1. El asesor administra las grupo empresas

2. El asesor accede a contratos emitidos

3. El asesor accede a documentos subidos

4. El asesor accede a documentos recibidos

5. El asesor registra un proyecto

6. El asesor sube documentos

7. El asesor registra documentos requeridos

8. El asesor configura las fechas para la recepcin de

9. El asesor crea publicaciones

10. El asesor emite rdenes de cambio

11. El asesor emite notificacin de conformidad

12. El asesor emite contratos

13. El asesor accede al seguimiento semanal

14. El asesor realiza la evaluacin de la segunda fase

15. El asesor crea un criterio de evaluacin

16. El asesor crea un criterio de calificacin

17. El asesor elimina un criterio de calificacin

18. El asesor crea un formulario de evaluacin

19. El asesor habilita un formulario de evaluacin

20. El asesor elimina un formulario de evaluacin

21. El asesor evala a una Grupo Empresa

22. El asesor realiza una evaluacin

23. El asesor gestiona sus publicaciones

24. El asesor modifica informacin personal

25. El asesor accede al foro

26. El asesor agrega temas al foro

27. El asesor comenta un tema del foro

28. El asesor elimina un tema de su propiedad en el foro

IV.III Rol Grupo Empresa

IV.III.I Tabla de resultados

Administrador Asesor Invitado

1. La Grupo Empresa sube sus propuestas al sistema.

2. La Grupo Empresa ve los documentos enviados.

3. La Grupo Empresa registra a sus socios.