Tabla de contenido
CAPITULO I: ............................................................................................................................... 3 INTRODUCCION.- ....................................................................................................................... 3 ANTECEDENTES.- ....................................................................................................................... 3 PROYECTOS SIMILARES.- ........................................................................................................... 4 PLANTEAMIENTO DEL PROYECTO.- ........................................................................................... 4 FORMULACION DEL PROBLEMA.- ............................................................................................. 4 OBJETIVOS.- ............................................................................................................................... 4 OBJETIVO GENERAL.-................................................................................................................. 4 OBJETIVOS ESPECIFCOS.-........................................................................................................... 5 JUSTIFICACION.- ........................................................................................................................ 5 METODOLOGIA.- ....................................................................................................................... 5 Fase 1: Estudio preliminar.-....................................................................................................... 5 Fase 2: Revisin y evaluacin de controles y seguridades.- ...................................................... 6 Fase 3: Examen detallado de reas crticas.- ............................................................................ 6 Fase 4: Comunicacin de resultados.-....................................................................................... 6 ALCANCES.-................................................................................................................................ 6 CAPITULO II ............................................................................................................................... 6 MARCO TEORICO.- .................................................................................................................... 6 Auditoria.................................................................................................................................... 6 Tipos de Auditorias Informticas. ............................................................................................. 7 Auditora Informtica de Explotacin ....................................................................................... 7 Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. .......................................... 7 Auditora Informtica de Sistemas. ........................................................................................... 8 Auditoria Informtica de comunicacin y Redes. ..................................................................... 8 Auditora de la Seguridad Informtica. ..................................................................................... 9 Estndares de Auditorias informticas y de Seguridad............................................................. 9 Sistema de Informacin. ......................................................................................................... 10 Actividades que realiza un Sistema de Informacin: .............................................................. 10
Pgina 1
AUDITORIA DEL SISTEMA MI SIMPLE CAJA Tipos y Usos de los Sistemas de Informacin ......................................................................... 11 Vulnerabilidades...................................................................................................................... 12 Consecuencias. ........................................................................................................................ 13 Acunetix V8. ............................................................................................................................ 13 Acunetix - un lder mundial en seguridad de aplicaciones Web ............................................. 13 Acunetix Web Vulnerability Scanner incluye muchas innovadoras caractersticas: .............. 13 CAPITULO III ............................................................................................................................ 14 DESARROLLO DEL PROYECTO.- ................................................................................................ 14 FASE 1: ESTUDIO PRELIMINAR.- .............................................................................................. 15 FASE 2: REVISION Y EVALUACION DE CONTROLES Y SEGURIDADES.-..................................... 15 ANALISIS DE PRUEBAS DEL SISTEMA: ...................................................................................... 15 Benchmark O Pruebas Del Sistema ......................................................................................... 15 Pruebas de almacenamiento................................................................................................... 15 Pruebas de Tiempo de Ejecucin ............................................................................................ 20 Pruebas de Recuperacin........................................................................................................ 21 Pruebas de Procedimientos .................................................................................................... 22 FASE 3: EXAMEN DETALLADO DE AREAS CRTICAS.- ............................................................... 24 ANALISIS DE VULNERABILIDADES (ACUNETIX) ........................................................................ 24 Detalles del Escner: ............................................................................................................... 24 Distribucin de Alertas: ........................................................................................................... 25 Resumen de Alertas: ............................................................................................................... 25 Detalles de las Alertas Altas: ................................................................................................... 30 FASE 4: COMUNICACIN DE RESULTADOS.- ........................................................................... 32 CAPITULO IV ............................................................................................................................ 35 CONCLUCIONES Y RECOMENDACIONES.- .............................................................................. 35
Pgina 2
CAPITULO I: INTRODUCCION.En la actualidad la auditora de sistemas es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. La utilizacin de programas computacionales traen consigo nuevos riesgos en el enfoque de control, por lo que se hace necesario la modernizacin de los mtodos y procedimientos de trabajo de auditora, que contempla la evaluacin del sistema de cmputo utilizado por las entidades, para verificar que la informacin que proporciona sea razonablemente confiable, objetiva, oportuna y veraz. Junto al desarrollo tecnolgico y al aumento en los conocimientos informticos, la necesidad en cantidad y calidad de la informacin que se requiere as como la posibilidad que se cometan errores y fraudes es que las empresas requieren profesionales que evalen controles, polticas y procedimientos para verificar la veracidad y exactitud de la informacin que resulta del procesamiento electrnico de los datos y que se requiere en la toma de decisiones.
ANTECEDENTES.La Universidad Amaznica de Pando, naci con el nombre de Universidad Tcnica de Pando, sin embargo, por contar desde su inicio con carreras a nivel Licenciatura y por acuerdo del Comit de Funcionamiento de la Universidad, se denomin: Universidad Amaznica de Pando, comenzando su
Pgina 3
funcionamiento el 3 de Diciembre de 1993, con las carreras de Biologa y Enfermera a nivel de Licenciatura. La auditora que se est realizando es al sistema MI SIMPLE CAJA de la Universidad Amaznica de Pando.
PROYECTOS SIMILARES.Citamos algunos proyectos que tratan temas relacionados con este documento. Ttulo: AUDITORIA DE LA UNIVERSIDAD DE COLIMA Autor: JUAN MANUEL MATALOBOS. Ttulo: ANLISIS DE LA SITUACIN PROBLEMTICA
PLANTEAMIENTO DEL PROYECTO.Tomando en cuenta que el sistema Mi Simple Caja muestra algunas falencias en su manejo es necesario realizar una auditora de dicho Sistema para poder saber si es seguro y confiable, para posteriormente ser instalado en algn ambiente de la Universidad Amaznica de Pando.
FORMULACION DEL PROBLEMA.En la situacin actual el Sistema Mi Simple Caja no cuenta con pruebas de error o anlisis de vulnerabilidades, se requiere entonces realizar una auditora al sistema para verificar que esta funcione correctamente.
OBJETIVOS.OBJETIVO GENERAL.Realizar una auditora del Sistema Mi Simple Caja de la Universidad Amaznica de Pando (UAP), para detectar vulnerabilidades desconocidas con el fin de lograr una utilizacin ms eficiente y segura del sistema.
Pgina 4
OBJETIVOS ESPECIFCOS. Realizar pruebas de error en todo el sistema. Realizar un anlisis de vulnerabilidades con la herramienta Acunetix V8. Detallar los procesos que tiene el Sistema. Mostrar recomendaciones a los errores y vulnerabilidades.
JUSTIFICACION.No se cuenta con un informe preciso acerca del sistema Mi Simple Caja por lo que es necesario realizar un informe que detalle los errores y vulnerabilidades del sistema para que nos permita tener una visin clara acerca de en qu estado se encuentra actualmente el Sistema.
METODOLOGIA.Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: Fase 1: Estudio preliminar Fase 2: Revisin y evaluacin de controles y seguridades Fase 3: Examen detallado de reas criticas Fase 4: Comunicacin de resultados
Pgina 5
ALCANCES.El proyecto se va a centrar solo en el anlisis del codigo y la aplicacin del sistema Mi Simple Caja ya que por ahora la misma no ha sido implementada en ningun ambiente de la UAP.
Pgina 6
objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. La funcin de desarrollo de una evaluacin del llamado
Anlisis de Programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases: a) Prerrequisitos del usuario y del entorno
Pgina 7
b) Anlisis Funcional c) Diseo d) Anlisis orgnico (Pre-programacin y Programacin) e) Pruebas y Explotacin. Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la Auditora deber comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada.
inoperatividad Informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola organizacin. (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).
Pgina 9
Sistema de Informacin.
Un sistema de informacin (SI) es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de las siguientes categoras:
Personas Datos Actividades o tcnicas de trabajo Recursos materiales en general (generalmente recursos informticos y de comunicacin, aunque no necesariamente).
Todos estos elementos interactan para procesar los datos (incluidos los procesos manuales y automticos) y dan lugar a informacin ms elaborada, que se distribuye de la manera ms adecuada posible en una determinada organizacin, en funcin de sus objetivos.
Datos generales del cliente: nombre, direccin, tipo de cliente, etc. Polticas de crditos: lmite de crdito, plazo de pago, etc. Facturas (interfase automtico). Pagos, depuraciones, etc.
Proceso:
Pgina 10
Almacenamiento:
Salidas:
Reporte de pagos. Estados de cuenta. Plizas contables (interfase automtica) Consultas de saldos en pantalla de una terminal.
Pgina 11
Vulnerabilidades.
Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar informacin, de los agujeros ms famosos est el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rpidamente. Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de: Diseo
Debilidad en el diseo de protocolos utilizados en las redes. Polticas de seguridad deficiente e inexistente.
Implementacin
Errores de programacin. Existencia de puertas traseras en los sistemas informticos. Descuido de los fabricantes.
Pgina 12
Uso
Mala configuracin de los sistemas informticos. Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques. Limitacin gubernamental de tecnologas de seguridad.
Consecuencias.
Simplifican un ataque, permitiendo a los crackers obtener ms permisos en el equipo vctima y poder usarlo al libre albedro, o el sistema puede ejecutar automticamente cdigos maliciosos, abrir puertos, o en algunos casos es el almacenamiento incorrecto de datos privados, como contraseas.
Tecnologa AcuSensor Un analizador de script de cliente automtico que permite realizar pruebas de seguridad de Ajax y Web 2.0
Pgina 13
Visual grabador de macros hace que las pruebas de formularios web y las reas protegidas de contraseas fciles
Soporte para pginas con CAPTCHA de sesin nico y dos mecanismos de autenticacin de factor
Multi-threaded y escner velocidad del rayo se arrastra a cientos de miles de pginas con facilidad
Acunetix rastrea y analiza los sitios web incluyendo el contenido flash, SOAP y AJAX
Puerto analiza un servidor web y se ejecuta comprobaciones de seguridad en contra de los servicios de red que se ejecutan en el servidor
CAPITULO III DESARROLLO DEL PROYECTO.La auditora fue desarrollada mediante una metodologa estndar la cual ser detallada mediante sus cuatro fases.
Pgina 14
FASE 1: ESTUDIO PRELIMINAR.Para la presente auditoria el grupo de trabajo estuvo conformado solo por mi persona Glenda Jhoselyn Huanca Chura, ya que no es una auditoria de gran magnitud y solo se est auditando el Sistema. La informacin del sistema Mi Simple Caja se pudo obtener gracias a la instalacin de dicho sistema y el manejo de la misma.
FASE 2: REVISION Y EVALUACION DE CONTROLES Y SEGURIDADES.En esta fase detallaremos todos los procesos que el Sistema puede realizar y verificaremos si existen errores en algn proceso.
Pruebas de almacenamiento
En la prueba de almacenamiento de todo el sistema y hemos resaltado las siguientes funciones: Registra personas.
Una vez de registrar a una persona indica que los datos se guardan pero y cuando vamos a la opcion volver a la pantalla anterior nos aparece error
Pgina 15
No elimina persona
Pgina 16
Asignacin de Roles, tanto nuevo roles como asignacin de roles ya existentes. SERVICIO REGULAR
Cuando vamos a la opcin modificar entramos pero si queremos ir para atrs nos aparece error
Pgina 17
Asignacin de procesos a Usuarios. Cuando vamos a la opcin asignar/quitar en los procesos de usuarios y luego vamos a volver nos aparece error
Asignacin de Ios Usuarios. Hace el registro de IP pero tambin permite doble registro
Asignacin de Unidades.
Pgina 18
Funcionamiento normal Asignacin de Ubicaciones Geogrficas. Permite doble registro Registra Nuevos procesos. Registra pero elimina directamente Registra Nuevas Entidades. No registra las entidades y cuando seleccionamos nuevo se direcciona a una ventana equivocada Registra Nuevas Entidades Atributos. No registra nuevas entidades direccionndose a una ventana equivocada Registra Nuevas Vistas en la Administracin. Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen. Registra Nuevos Permisos en las Vistas Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen Registra nuevos tramites Si crea nuevos tramites Pendientes Si muestra los trmites pendientes
SEGURIDAD DE SISTEMAS DE INFORMACION II Pgina 19
Buscar tramites Encuentra los tramites buscados por el nmero de cite o el id Bloquear tramites Funcionamiento normal Desbloquear tramites Funcionamiento normal Re direccionar tramite Cumple con la funcionalidad de re direccionar los trmites Buscar en archivo Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen.
Pgina 20
Se ha concluido que para la ejecucin de los siguientes aspectos se da demorado 5 milisegundos como promedio de tiempo de ejecucin ya que trabajamos en un Servidor Local. Ingreso de Datos Salidas de Datos Actualizacin Transacciones Procesos Consultas a la Base de Datos Impresiones de comprobantes y listados. Manejo de la Interfaz
Pruebas de Recuperacin
El sistema Mi simple Caja cuenta con una copia de seguridad e su men, para cuando ocurre fallas tcnicas o externas al sistema la copia es la base de datos resguardando los datos actuales. Pero falla a la hora de restaurar la copia de seguridad de la base de datos. Nos lanza el siguiente error: SE HA PRODUCIDO EL ERROR SIGUIENTE 1050***Table 'vista_gastos_validos' already exists NO SE HA PODIDO COMPLETAR LA OPERACIN. En sntesis no hace restauracin de copia de seguridad.
Pgina 21
Pruebas de Procedimientos
Hemos realizado un anlisis separado de usuarios por parte de Admin y por el lado de Fondos, que son los usuarios del Sistema ADMINISTRADOR Y FONDOS Cuenta con un Men 1. PERSONAS 2. HERRAMIENTAS 3. PARAMETROS 4. DISEO 5. TRAMITE 6. REPORTES Personas. Busca Persona e Ingresa uno Nuevo En Nuevo: Agrega pero le asigna nmero de C.I. de Identidad por defecto, que ese es un tipo de error, ya que no se debera de asignar de esa manera. Los campos de registro no distingue da caracteres y letras y nmeros. Al agregar uno NUEVO, definimos el Sexo y direccin y fecha de ingreso, pero al modificar el formulario se pierden esos datos, incluso la fecha de registro se pierde por total el campo. Registra varias veces a una persona, con el mismo nombre, apellidos y C.I. El formulario de modificar datos de la persona no tiene validacin de datos, algunos campos que aparecen con asteriscos (Obligatorios) se guardan sin ser llenados.
Pgina 22
Herramientas. No especfica el tipo de usuarios adems cuando lo registra no hace conexin Realiza copia de seguridad del sistema, pero falla a la hora de restaurar la copia de seguridad. En usuario IP tenia falla a la hora filtrar los usuarios por IP. Creaba Rol de Usuarios Nuevos, pero no asignaba los privilegios que stos deberan realizar. Cuando se le asignaba a una persona el rol de Sper Usuario, por defecto se eliminaba el anterior sper usuario ya que no puede haber 2 o ms sper usuarios. Trmites. Tena varias opciones de trmites de las cuales la primera era crear trmites y las dems dependan de sta opcin, as que quedaban obsoletas al no poder crear ninguna clase de trmites. Reportes. Primero quisiera recalcar que en algunos equipos no aparecen el Men REPORTES. Al sacar reportes se tiene la opcin de asignar un rango de fecha, sin embargo esta opcin no era vlida ya que en el momento de asigna las fechas del rango no seleccionaba las dos, solo seleccionaba una fecha, osea solo se poda
Pgina 23
sacar reportes de una sola fecha y no as de un rango de fechas. No se expresa correctamente los resultados que se van a obtener en la parte de reportes por cuentas.
En s todos sus clculos no son exactos ni precisos, salen malos los saldos de la caja chica.
FASE 3: EXAMEN DETALLADO DE AREAS CRTICAS.Habiendo encontrado bastantes errores en el sistema en esta fase acudiremos a la herramienta Acunetix v8 para verificar si la aplicacin web del sistema tiene algunas vulnerabilidades.
Pgina 24
Tiempo de ciclo:
1 hora, 3 minutos
Informacin sobre el Servidor.Servidor: Apache/2.2.4 PHP/5.2.3 Sistema Operativo: Tecnologas Servidor: Windows del PHP (Win32)
Distribucin de Alertas:
Tipos de Alertas.Alto Medio Bajo Informativo
Resumen de Alertas:
Alertas Apache Pointer cuelga Cross Site Scripting / Misimple_caja / app_prc / abm / abm.php 2.2.14 mod_isapi Lugar donde Afecta Servidor Web
Pgina 25
Cross Site Scripting (verificado) Dbil Contrasea Apache 2.x mayor que 2.2.8 Apache 2.x mayor que 2.2.9 Apache httpd Denegacin de servicio remota Apache Divulgacin Mensaje de error de aplicacin httpOnly Cookies
/ Misimple_caja / app_prc / abm / abm.php / Misimple_caja / index.php Servidor Web Servidor Web Servidor Web
Servidor Web
Misimple_caja
app_prc
abm
ajax_abm.php / Misimple_caja / app_prc / abm / cone.php Listado de Directorio Mensaje de error en la pgina / Misimple_caja / Accesos / plantillas / Misimple_caja / app_prc / abm / index.php / Misimple_caja / app_prc / index.php / Misimple_caja / app_soa / cargos / index.php / Misimple_caja / app_soa / index.php / Misimple_caja / app_soa / artculos /
index.php
Pgina 26
/ Misimple_caja / app_soa / personajes / index.php / Misimple_caja / app_soa / unidades / index.php / Misimple_caja / app_wf / index.php / Misimple_caja / app_wf / Procesos /
index.php / Misimple_caja / app_wf / tramites / index.php Formulario proteccin CSRF HTML sin la / Misimple_caja / Misimple_caja / app_prc / abm / abm.php (85ba6b518ac9d70ea338ad617a34a6a5) / Misimple_caja / app_wf / tramites / archivados / templates /% 25% 5d1 255d ^ ^ 5d172170% 25% 25archivados.tpl.php / Misimple_caja / app_wf / tramites /
trm_dblq_tramites.php / Misimple_caja / bp.menues.php / Misimple_caja / Seguridad / restauracion.php PHP cuelga de analizar cadenas particulares como nmero de coma flotante Servidor Web
Pgina 27
/ Misimple_caja / editor / img / imagen / / WS_FTP.LOG / Misimple_caja / editor / img / imagen / / ws_ftp.log
nombre fuerza bruta La carga de archivos Ingresa pgina ataque adivinar la contrasea / Misimple_caja / Seguridad / restore.php / Misimple_caja / / Misimple_caja / index.php / Misimple_caja / db / Misimple_caja / DB Cookie de sesin sin pabelln conjunto HttpOnly Cookie de sesin sin pabelln conjunto Secure Mtodo TRACE est activado Los enlaces rotos Servidor Web / Misimple_caja / app_prc / abm / / /
function.require
Pgina 28
Misimple_caja
app_soa
cargos
function.require / Misimple_caja / app_soa / personajes / function.require / Misimple_caja / app_soa / unidades / function.require / Misimple_caja / app_wf / ajax.js / Misimple_caja / app_wf / Procesos /
pendientes.php / Misimple_caja / textoola.js Direccin de correo electrnico que figura / Misimple_caja / editor / editor / fckeditor.cfc / Misimple_caja / editor / editor / fckeditor.pl Servidor Web
/ Misimple_caja / imagen
Pgina 29
(1416cfdfaac574342a2124b820b8bdc2) / Misimple_caja
(8c818abdaf8a341bd0436d1d3a2d525c) / Misimple_caja / index.php Posible divulgacin ruta del servidor (Unix) / Misimple_caja / editor / img / image / ws_ftp.log
Pgina 30
Cross Site Scripting Gravedad Tipo Reportado por Mdulos Descripcin: Este script es posiblemente vulnerable a ataques de Cross Site Scripting (XSS). Cross site scripting (tambin conocido como XSS) son una vulnerabilidad que permite a un atacante enviar cdigo malicioso (por lo general en forma de Javascript) a otro usuario. Debido a que un navegador no puede saber si el guin es de confianza o no, se ejecutar la secuencia de comandos en el contexto del usuario que permite al atacante acceder a las cookies o testigos de sesin retenidos por el navegador Alto Validacin Scripting (XSS.script)
Dbil Contrasea Gravedad Tipo Reportado por Mdulos Alto Informativo Scripting (Html_Authentication_Audit.script) Descripcin:
Pgina 31
Se requiere confirmacin manual para esta alerta. Esta pgina utiliza una contrasea dbil. Acunetix WVS era capaz de adivinar las credenciales necesarias para acceder a esta pgina. Una contrasea dbil es corto, comn, un defecto del sistema, o algo que pudiera ser fcilmente adivinada rpidamente mediante la ejecucin de un ataque de fuerza bruta, usando un subconjunto de todas las contraseas posibles, tales como palabras en el diccionario, nombres propios, palabras basadas en el nombre de usuario o variaciones comunes en estos temas. Impacto: Un atacante podra acceder al contenido de la pgina protegida con contrasea. Recomendacin: Aplicar una poltica de contraseas fuertes. No permita que las contraseas dbiles o contraseas basadas en palabras del diccionario. Referencias: Wikipedia - Fortaleza de la contrasea Elegir buenas contraseas Orientaciones generales de poltica de contrasea Contraseas seguras: Cmo crearlas y utilizarlas
FASE 4: COMUNICACIN DE RESULTADOS.En esta ltima fase mostraremos el impacto y las recomendaciones de las tres alertas ms altas de vulnerabilidad que se pudo encontrar en el sistema con la ayuda del programa Acunetix y tambin se debera entregar el informe a la persona encargada de la unidad donde se realiz la auditoria pero como nuestra auditoria es solo de un sistema y este se nos fue proporcionado para realizar prcticas, el informe se le entregara al docente a cargo.
Pgina 32
Impacto: Los resultados de explotacin de xito en la ejecucin de cdigo arbitrario con privilegios de SYSTEM. Recomendacin: Actualiza Apache a la versin ms reciente. Referencias: Apache 2.2.14 mod_isapi Pointer cuelga Pgina de inicio Apache
Impacto:
Los usuarios malintencionados pueden inyectar JavaScript, VBScript, ActiveX, HTML o Flash en una aplicacin vulnerable para engaar a un usuario con el fin de recopilar datos de ellos. Un atacante puede robar la cookie de sesin y tomar el control de la cuenta, hacindose pasar por el usuario. Tambin es posible modificar el contenido de la pgina presentada al usuario.
Recomendacin: La secuencia de comandos debe filtrar metacaracteres de entrada del usuario. Referencias:
Pgina 33
OWASP Cross Site Scripting Permitir XSS HTML y Prevencin Solicitud de Microsoft ASP.NET filtrado defecto ASP.NET caracteres Unicode Conversion XSS Cmo evitar el Cross-Site Scripting en ASP.NET OWASP PHP Top 5 Annihilation XSS El Cross Site Scripting Faq Security Focus - Penetration Testing de Aplicaciones Web (Segunda Parte) Acunetix Cross Site Scripting Attack Cross site scripting XSS chuleta
Dbil Contrasea
Impacto:
Recomendacin: Aplicar una poltica de contraseas fuertes. No permita que las contraseas dbiles o
Pgina 34
Referencias: Wikipedia - Fortaleza de la contrasea Elegir buenas contraseas Orientaciones generales de poltica de contrasea Contraseas seguras: Cmo crearlas y utilizarlas
CAPITULO IV CONCLUCIONES Y RECOMENDACIONES.En conclusin el sistema MI SIMPLE CAJA, tiene muchas fallas, como por ejemplo validacin de datos, redundancia de datos, fallas tcnicas, fallas de conteo, principalmente que no brinda integridad a los datos. Por lo que se cree que la implantacin del sistema no es recomendable por el momento ya que es necesario corregir los errores y las vulnerabilidades encontradas.
Pgina 35