Beruflich Dokumente
Kultur Dokumente
testphp - 2019
Contenido
Introducción 3
Desarrollo de auditoría 5
2. Conclusión 14
Introducción
El desarrollo de esta auditoría permitió evidenciar a través de las muestras los siguientes
hallazgos:
Cantidad 36
Severidad Alta
Fase: Implementación
Supongamos que todas las entradas son maliciosas. Utilice una
estrategia de validación de entrada "aceptar bien", es decir, use una
lista blanca de entradas aceptables que se ajusten estrictamente a
las especificaciones. Rechace cualquier entrada que no se ajuste
estrictamente a las especificaciones, o transforme en algo que lo
haga. No confíe exclusivamente en buscar entradas
malintencionadas o malintencionadas (es decir, no confíe en una
lista negra). Sin embargo, las listas negras pueden ser útiles para
detectar posibles ataques o determinar qué entradas tienen un
formato tan incorrecto que deberían rechazarse por completo.
Al realizar la validación de entrada, tenga en cuenta todas las
propiedades potencialmente relevantes, incluida la longitud, el tipo
de entrada, el rango completo de valores aceptables, entradas
faltantes o adicionales, sintaxis, coherencia en los campos
relacionados y la conformidad con las reglas comerciales. Como
ejemplo de lógica de reglas de negocios, "barco" puede ser
sintácticamente válido porque solo contiene caracteres
alfanuméricos, pero no es válido si está esperando colores como
"rojo" o "azul".
Para los nombres de archivo, use listas blancas estrictas que limitan
el conjunto de caracteres que se utilizará. Si es posible, solo permita
un solo "." en el nombre de archivo para evitar puntos débiles como
CWE-23, y excluir los separadores de directorios como "/" para
evitar CWE-36. Use una lista blanca de extensiones de archivo
permitidas, lo que ayudará a evitar CWE-434.
ID 2
Cantidad 44
Severidad Medio
ID 3
Cantidad 3
Severidad Medio
ID 4
Cantidad 47
Severidad Bajo
ID 5
Cantidad 67
Tipo Anti-MIME-Sniffing
Severidad Bajo
Con el fin de disminuir los riesgos ante las amenazas que pueden causar afectación
a los pilares de la seguridad informática, se realizaron las pruebas de penetración
correspondientes, por medio de las cuales se evidencia vulnerabilidades las cuales
se recomienda seguir las propuestas de solución respectivas como acción inmediata
de mejora e incorporarlos en el sistema de gestión de la seguridad.