Informe Auditoría Web  

testphp - 2019
 Contenido 
 

Introducción 3

Desarrollo de auditoría 5

1.2 Evidencia ID1. 8

1.3 Vulnerabilidad (ID 2) 8

1.4 Evidencia ID2. 9

1.5 Vulnerabilidad (ID 3) 10

1.6 Evidencia ID3. 11

1.7 Vulnerabilidad (ID 4) 11

1.8 Evidencia ID4. 12

1.9 Vulnerabilidad (ID 5) 12

1.10 Evidencia ID5. 13

2. Conclusión 14

 
 Introducción 

Fecha de auditoría 19 de Mayo de 2019

Objetivo de la auditoría Evaluar​ la pagina web “​http://testphp.vulnweb.com/​” , el

desarrollo de la auditoría permite evidenciar acerca de las
vulnerabilidades halladas con el fin de establecer acciones de
mejora que contribuyan con el fortalecimiento del sistema web
del cliente ​testphp.

Auditor Johnnattan Rincon Cardenas

En conformidad con el contrato estipulado entre Turtle Beach Corp y el cliente

testphp​, en cumplimiento al literal 13 en el cual se autoriza el ataque, se ejecutó tester de
penetración a ​http://testphp.vulnweb.com​, con el fin de validar la correspondiente seguridad
y detectar vulnerabilidades las cuales se encuentran relacionadas en el presente documento.

Los hallazgos de vulnerabilidades de de la auditoría se describen de la siguiente forma:

● ID.​ Identificador interno de la vulnerabilidad detectada.

● Hallazgo. ​Describe la vulnerabilidad detectada.

● Tipo. Clasificación de la debilidad que se presenta en el sistema para que se ejecute

una o varias amenazas generando consecuencias.

● Severidad. Situación que representa un potencial incumplimiento a uno o varios

requisitos de calidad, es decir, se manifiestan como una debilidad dentro del
proceso y puede convertirse en una no conformidad.
● Descripción Detallada. Descripción de la debilidad o fallo en el sistema de
información que pone en riesgo la seguridad de la información con el fin de evitar que
un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la
misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible.

● Método de ataque.​ Naturaleza de los posibles ataques a la seguridad informática.

● Propuesta de solución. Propuesta del auditor dirigida al mejoramiento de uno o

varios aspectos encontrados en la auditoría.
 1. Desarrollo de auditoría 

 
 
El desarrollo de esta auditoría permitió evidenciar a través de las muestras los siguientes
hallazgos:

1.1 Vulnerabilidad (ID 1)

ID 1

Cantidad 36

Tipo Inclusión de archivos remotos (RFI)

Severidad Alta

La inclusión de archivos remotos (RFI) es una técnica de ataque

Descripción utilizada para explotar los mecanismos de "inclusión dinámica de
archivos" en aplicaciones web.

Cuando las aplicaciones web toman la entrada del usuario (URL,

valor de parámetro, etc.) y las pasan a los comandos de inclusión de
Forma de ataque
archivos, la aplicación web puede ser engañada para incluir
archivos remotos con código malicioso.

Fase: Arquitectura y Diseño.

Cuando el conjunto de objetos aceptables, como nombres de
archivos o URL, es limitado o conocido, cree una asignación a partir
de un conjunto de valores de entrada fijos (como ID numéricos) a
Solución los nombres de archivos o URL reales, y rechace todas las demás
entradas. Por ejemplo, ID 1 podría asignarse a "inbox.txt" e ID 2
podría asignarse a "profile.txt". Las características tales como
ESAPI AccessReferenceMap proporcionan esta capacidad.
Fases: Arquitectura y Diseño; Operación
Ejecute su código en una "cárcel" o en un entorno de recinto de
seguridad similar que imponga límites estrictos entre el proceso y el
sistema operativo. Esto puede restringir efectivamente a qué
archivos se puede acceder en un directorio particular o qué
comandos puede ejecutar su software.
Los ejemplos a nivel del sistema operativo incluyen la cárcel chroot
de Unix, AppArmor y SELinux. En general, el código administrado
puede proporcionar alguna protección. Por ejemplo,
java.io.FilePermission en Java SecurityManager le permite
especificar restricciones en las operaciones de archivos.
Esto puede no ser una solución factible y solo limita el impacto al
sistema operativo; El resto de su solicitud aún puede estar sujeto a
un compromiso.
Tenga cuidado de evitar CWE-243 y otras debilidades relacionadas
con las cárceles.
Para PHP, el intérprete ofrece restricciones tales como el modo
basado en abierto o seguro que puede dificultar que un atacante
salga de la aplicación. También considere Suhosin, una extensión
de PHP reforzada, que incluye varias opciones que deshabilitan
algunas de las funciones más peligrosas de PHP.

Fase: Implementación
Supongamos que todas las entradas son maliciosas. Utilice una
estrategia de validación de entrada "aceptar bien", es decir, use una
lista blanca de entradas aceptables que se ajusten estrictamente a
las especificaciones. Rechace cualquier entrada que no se ajuste
estrictamente a las especificaciones, o transforme en algo que lo
haga. No confíe exclusivamente en buscar entradas
malintencionadas o malintencionadas (es decir, no confíe en una
lista negra). Sin embargo, las listas negras pueden ser útiles para
detectar posibles ataques o determinar qué entradas tienen un
formato tan incorrecto que deberían rechazarse por completo.
Al realizar la validación de entrada, tenga en cuenta todas las
propiedades potencialmente relevantes, incluida la longitud, el tipo
 de entrada, el rango completo de valores aceptables, entradas
faltantes o adicionales, sintaxis, coherencia en los campos
relacionados y la conformidad con las reglas comerciales. Como
ejemplo de lógica de reglas de negocios, "barco" puede ser
sintácticamente válido porque solo contiene caracteres
alfanuméricos, pero no es válido si está esperando colores como
"rojo" o "azul".
Para los nombres de archivo, use listas blancas estrictas que limitan
el conjunto de caracteres que se utilizará. Si es posible, solo permita
un solo "." en el nombre de archivo para evitar puntos débiles como
CWE-23, y excluir los separadores de directorios como "/" para
evitar CWE-36. Use una lista blanca de extensiones de archivo
permitidas, lo que ayudará a evitar CWE-434.

1.2 Evidencia ID1.

1.3 Vulnerabilidad (ID 2)

ID 2

Cantidad 44

Tipo Ataque 'ClickJacking'

Severidad Medio

Consiste en un método de ataque que se realiza a través del

navegador, tratando de engañar al usuario mediante una capa
Descripción transparente colocada delante de un enlace o cuadro de diálogo. Su
objetivo es hacer que el usuario pulse un enlace sin percatarse de
ello.

Un ataque de clickjacking puede tomar la forma de código embebido

Método de ataque o​ ​script​ que se ejecuta sin el conocimiento del usuario. Por ejemplo:
aparentando ser un botón para realizar otra función.

La mayoría de los navegadores web modernos admiten el

encabezado HTTP de X-Frame-Options. Asegúrese de que esté
configurado en todas las páginas web devueltas por su sitio (si
espera que la página esté enmarcada solo por las páginas de su
Solución servidor (por ejemplo, es parte de un FRAMESET), entonces querrá
usar SAMEORIGIN; de lo contrario, si nunca espera la página para
ser enmarcado, debe usar DENY. ALLOW-FROM permite que sitios
web específicos enmarquen la página web en los navegadores web
compatibles).
1.4 Evidencia ID2.

1.5 Vulnerabilidad (ID 3)

ID 3

Cantidad 3

Tipo Acceso no autorizado

Severidad Medio

El atributo AUTOCOMPLETE no está deshabilitado en un elemento

HTML FORM / INPUT que contiene una entrada de tipo de
Descripción
contraseña. Las contraseñas pueden almacenarse en los
navegadores y recuperarse.

Si el atributo AUTOCOMPLETE no está deshabilitado las

contraseñas pueden almacenarse en los navegadores
Método de ataque
vulnerabilidad que puede ser aprovechada por un atacante y
obtener las contraseñas
 Desactivar el atributo AUTOCOMPLETE en formularios o elementos
Solución de entrada individuales que contengan entradas de contraseña
utilizando AUTOCOMPLETE = 'DESACTIVADO'.

1.6 Evidencia ID3.

1.7 Vulnerabilidad (ID 4)

ID 4

Cantidad 47

Tipo Cross-site scripting​ (​XSS​)

Severidad Bajo

Descripción Web Browser XSS Protection no está habilitado, o está inhabilitado

por la configuración del encabezado de respuesta HTTP
'X-XSS-Protection' en el servidor web
Método de ataque Permite a una tercera persona inyectar en páginas web visitadas por
el usuario código JavaScript o en otro lenguaje similar,. XSS es un
vector de ataque que puede ser utilizado para robar información
delicada, secuestrar sesiones de usuario, y comprometer el
navegador, subyugando la integridad del sistema.

Solución Asegurarse de que el filtro XSS del navegador web esté

habilitado, configurando el encabezado de respuesta HTTP
X-XSS-Protection en '1'.

1.8 Evidencia ID4.

1.9 Vulnerabilidad (ID 5)

ID 5

Cantidad 67

Tipo Anti-MIME-Sniffing
 Severidad Bajo

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no se

Descripción
configuró en 'nosniff'.

La falta de configuracion recomendada permite que las versiones

anteriores de Internet Explorer y Chrome realicen una detección
MIME en el cuerpo de la respuesta, lo que podría provocar que el
cuerpo de la respuesta se interprete y se muestre como un tipo de
Método de ataque
contenido distinto del tipo de contenido declarado. Las versiones
actuales (a principios de 2014) y heredadas de Firefox utilizarán el
tipo de contenido declarado (si está configurado), en lugar de
realizar una detección MIME.

Asegúrese de que la aplicación / servidor web establezca el

encabezado Content-Type adecuadamente, y que establezca el
encabezado X-Content-Type-Options en 'nosniff' para todas las
Solución páginas web. Si es posible, asegúrese de que el usuario final use un
navegador web moderno y compatible con los estándares que no
haga ningún tipo de rastreo de MIME, o que la aplicación web /
servidor web pueda indicar que no realice el rastreo de MIME.
1.10 Evidencia ID5.
 2. Conclusión 

Con el fin de disminuir los riesgos ante las amenazas que pueden causar afectación
a los pilares de la seguridad informática, se realizaron las pruebas de penetración
correspondientes, por medio de las cuales se evidencia vulnerabilidades las cuales
se recomienda seguir las propuestas de solución respectivas como acción inmediata
de mejora e incorporarlos en el sistema de gestión de la seguridad.