Auditoria Del Sistema Mi Simple Caja

AUDITORIA DEL SISTEMA MI SIMPLE CAJA
Tabla de contenido
CAPITULO I: ............................................................................................................................... 3 INTRODUCCION.- ....................................................................................................................... 3 ANTECEDENTES.- ....................................................................................................................... 3 PROYECTOS SIMILARES.- ........................................................................................................... 4 PLANTEAMIENTO DEL PROYECTO.- ........................................................................................... 4 FORMULACION DEL PROBLEMA.- ............................................................................................. 4 OBJETIVOS.- ............................................................................................................................... 4 OBJETIVO GENERAL.-................................................................................................................. 4 OBJETIVOS ESPECIFCOS.-........................................................................................................... 5 JUSTIFICACION.- ........................................................................................................................ 5 METODOLOGIA.- ....................................................................................................................... 5 Fase 1: Estudio preliminar.-....................................................................................................... 5 Fase 2: Revisin y evaluacin de controles y seguridades.- ...................................................... 6 Fase 3: Examen detallado de reas crticas.- ............................................................................ 6 Fase 4: Comunicacin de resultados.-....................................................................................... 6 ALCANCES.-................................................................................................................................ 6 CAPITULO II ............................................................................................................................... 6 MARCO TEORICO.- .................................................................................................................... 6 Auditoria.................................................................................................................................... 6 Tipos de Auditorias Informticas. ............................................................................................. 7 Auditora Informtica de Explotacin ....................................................................................... 7 Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. .......................................... 7 Auditora Informtica de Sistemas. ........................................................................................... 8 Auditoria Informtica de comunicacin y Redes. ..................................................................... 8 Auditora de la Seguridad Informtica. ..................................................................................... 9 Estndares de Auditorias informticas y de Seguridad............................................................. 9 Sistema de Informacin. ......................................................................................................... 10 Actividades que realiza un Sistema de Informacin: .............................................................. 10
SEGURIDAD DE SISTEMAS DE INFORMACION II
Pgina 1
AUDITORIA DEL SISTEMA MI SIMPLE CAJA Tipos y Usos de los Sistemas de Informacin ......................................................................... 11 Vulnerabilidades...................................................................................................................... 12 Consecuencias. ........................................................................................................................ 13 Acunetix V8. ............................................................................................................................ 13 Acunetix - un lder mundial en seguridad de aplicaciones Web ............................................. 13 Acunetix Web Vulnerability Scanner incluye muchas innovadoras caractersticas: .............. 13 CAPITULO III ............................................................................................................................ 14 DESARROLLO DEL PROYECTO.- ................................................................................................ 14 FASE 1: ESTUDIO PRELIMINAR.- .............................................................................................. 15 FASE 2: REVISION Y EVALUACION DE CONTROLES Y SEGURIDADES.-..................................... 15 ANALISIS DE PRUEBAS DEL SISTEMA: ...................................................................................... 15 Benchmark O Pruebas Del Sistema ......................................................................................... 15 Pruebas de almacenamiento................................................................................................... 15 Pruebas de Tiempo de Ejecucin ............................................................................................ 20 Pruebas de Recuperacin........................................................................................................ 21 Pruebas de Procedimientos .................................................................................................... 22 FASE 3: EXAMEN DETALLADO DE AREAS CRTICAS.- ............................................................... 24 ANALISIS DE VULNERABILIDADES (ACUNETIX) ........................................................................ 24 Detalles del Escner: ............................................................................................................... 24 Distribucin de Alertas: ........................................................................................................... 25 Resumen de Alertas: ............................................................................................................... 25 Detalles de las Alertas Altas: ................................................................................................... 30 FASE 4: COMUNICACIN DE RESULTADOS.- ........................................................................... 32 CAPITULO IV ............................................................................................................................ 35 CONCLUCIONES Y RECOMENDACIONES.- .............................................................................. 35
Pgina 2
CAPITULO I: INTRODUCCION.En la actualidad la auditora de sistemas es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. La utilizacin de programas computacionales traen consigo nuevos riesgos en el enfoque de control, por lo que se hace necesario la modernizacin de los mtodos y procedimientos de trabajo de auditora, que contempla la evaluacin del sistema de cmputo utilizado por las entidades, para verificar que la informacin que proporciona sea razonablemente confiable, objetiva, oportuna y veraz. Junto al desarrollo tecnolgico y al aumento en los conocimientos informticos, la necesidad en cantidad y calidad de la informacin que se requiere as como la posibilidad que se cometan errores y fraudes es que las empresas requieren profesionales que evalen controles, polticas y procedimientos para verificar la veracidad y exactitud de la informacin que resulta del procesamiento electrnico de los datos y que se requiere en la toma de decisiones.
ANTECEDENTES.La Universidad Amaznica de Pando, naci con el nombre de Universidad Tcnica de Pando, sin embargo, por contar desde su inicio con carreras a nivel Licenciatura y por acuerdo del Comit de Funcionamiento de la Universidad, se denomin: Universidad Amaznica de Pando, comenzando su
Pgina 3
funcionamiento el 3 de Diciembre de 1993, con las carreras de Biologa y Enfermera a nivel de Licenciatura. La auditora que se est realizando es al sistema MI SIMPLE CAJA de la Universidad Amaznica de Pando.
PROYECTOS SIMILARES.Citamos algunos proyectos que tratan temas relacionados con este documento. Ttulo: AUDITORIA DE LA UNIVERSIDAD DE COLIMA Autor: JUAN MANUEL MATALOBOS. Ttulo: ANLISIS DE LA SITUACIN PROBLEMTICA
Autor: LORENA CARMINA MORENO JIMNEZ
PLANTEAMIENTO DEL PROYECTO.Tomando en cuenta que el sistema Mi Simple Caja muestra algunas falencias en su manejo es necesario realizar una auditora de dicho Sistema para poder saber si es seguro y confiable, para posteriormente ser instalado en algn ambiente de la Universidad Amaznica de Pando.
FORMULACION DEL PROBLEMA.En la situacin actual el Sistema Mi Simple Caja no cuenta con pruebas de error o anlisis de vulnerabilidades, se requiere entonces realizar una auditora al sistema para verificar que esta funcione correctamente.
OBJETIVOS.OBJETIVO GENERAL.Realizar una auditora del Sistema Mi Simple Caja de la Universidad Amaznica de Pando (UAP), para detectar vulnerabilidades desconocidas con el fin de lograr una utilizacin ms eficiente y segura del sistema.
Pgina 4
OBJETIVOS ESPECIFCOS. Realizar pruebas de error en todo el sistema. Realizar un anlisis de vulnerabilidades con la herramienta Acunetix V8. Detallar los procesos que tiene el Sistema. Mostrar recomendaciones a los errores y vulnerabilidades.
JUSTIFICACION.No se cuenta con un informe preciso acerca del sistema Mi Simple Caja por lo que es necesario realizar un informe que detalle los errores y vulnerabilidades del sistema para que nos permita tener una visin clara acerca de en qu estado se encuentra actualmente el Sistema.
METODOLOGIA.Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: Fase 1: Estudio preliminar Fase 2: Revisin y evaluacin de controles y seguridades Fase 3: Examen detallado de reas criticas Fase 4: Comunicacin de resultados
Fase 1: Estudio preliminar.- Incluye definir el grupo de trabajo, el programa

de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos.
Pgina 5
Fase 2: Revisin y evaluacin de controles y seguridades.- Consiste de la

revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades.
Fase 3: Examen detallado de reas crticas.-Con las fases anteriores el

auditor descubre las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado.
Fase 4: Comunicacin de resultados.- Se elaborar el borrador del informe

a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora.
ALCANCES.El proyecto se va a centrar solo en el anlisis del codigo y la aplicacin del sistema Mi Simple Caja ya que por ahora la misma no ha sido implementada en ningun ambiente de la UAP.
CAPITULO II MARCO TEORICO.Auditoria.

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un
Pgina 6
objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
Tipos de Auditorias Informticas.

Desde el punto de vista de informtica la podemos clasificar as: a) Auditora Informtica de Explotacin b) Auditora Informtica de Desarrollo de Proyectos o Aplicaciones c) Auditora Informtica de Sistemas d) Auditora Informtica de Comunicacin de Redes e) Auditora de la Seguridad Informtica
Auditora Informtica de Explotacin. La explotacin Informtica se

ocupa de producir resultados, tales como listados, archivos soportados magnticamente, rdenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin Informtica se dispone de datos, las cuales sufren una transformacin y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una informacin buena.
Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. La funcin de desarrollo de una evaluacin del llamado
Anlisis de Programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases: a) Prerrequisitos del usuario y del entorno
Pgina 7
b) Anlisis Funcional c) Diseo d) Anlisis orgnico (Pre-programacin y Programacin) e) Pruebas y Explotacin. Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la Auditora deber comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada.
Auditora Informtica de Sistemas. Se ocupa de analizar la actividad

que se conoce como tcnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado, aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado estructurado, ancho de banda de una red LAN)
Auditoria Informtica de comunicacin y Redes. Este tipo de

Auditora deber inquirir o actuar sobre ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de
SEGURIDAD DE SISTEMAS DE INFORMACION II Pgina 8
inoperatividad Informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola organizacin. (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).
Auditora de la Seguridad Informtica. Se debe tener presente la

cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe tambin cuidar la informacin d los virus informticos, los cuales permanecen ocultos y daan sistemticamente los datos.
Estndares de Auditorias informticas y de Seguridad.

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas practicas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001.
Pgina 9
Sistema de Informacin.
Un sistema de informacin (SI) es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de las siguientes categoras:

Personas Datos Actividades o tcnicas de trabajo Recursos materiales en general (generalmente recursos informticos y de comunicacin, aunque no necesariamente).
Todos estos elementos interactan para procesar los datos (incluidos los procesos manuales y automticos) y dan lugar a informacin ms elaborada, que se distribuye de la manera ms adecuada posible en una determinada organizacin, en funcin de sus objetivos.
Actividades que realiza un Sistema de Informacin:

Entradas:

Datos generales del cliente: nombre, direccin, tipo de cliente, etc. Polticas de crditos: lmite de crdito, plazo de pago, etc. Facturas (interfase automtico). Pagos, depuraciones, etc.
Proceso:
Clculo de antigedad de saldos.
Pgina 10

Clculo de intereses moratorios. Clculo del saldo de un cliente.
Almacenamiento:

Movimientos del mes (pagos, depuraciones). Catlogo de clientes. Facturas.
Salidas:

Reporte de pagos. Estados de cuenta. Plizas contables (interfase automtica) Consultas de saldos en pantalla de una terminal.
Tipos y Usos de los Sistemas de Informacin

Durante los prximos aos, los Sistemas de Informacin cumplirn tres objetivos bsicos dentro de las organizaciones: 1. Automatizacin de procesos operativos. 2. Proporcionar informacin que sirva de apoyo al proceso de toma de decisiones. 3. Lograr ventajas competitivas a travs de su implantacin y uso.
Pgina 11
Vulnerabilidades.
Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar informacin, de los agujeros ms famosos est el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rpidamente. Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de: Diseo

Debilidad en el diseo de protocolos utilizados en las redes. Polticas de seguridad deficiente e inexistente.
Implementacin

Errores de programacin. Existencia de puertas traseras en los sistemas informticos. Descuido de los fabricantes.
Pgina 12
Uso

Mala configuracin de los sistemas informticos. Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques. Limitacin gubernamental de tecnologas de seguridad.
Consecuencias.
Simplifican un ataque, permitiendo a los crackers obtener ms permisos en el equipo vctima y poder usarlo al libre albedro, o el sistema puede ejecutar automticamente cdigos maliciosos, abrir puertos, o en algunos casos es el almacenamiento incorrecto de datos privados, como contraseas.
Acunetix V8. Acunetix - un lder mundial en seguridad de aplicaciones Web

Acunetix ha sido pionera en la tecnologa de anlisis de seguridad de aplicaciones web: Los ingenieros se han centrado en la seguridad web ya en 1997 y ha desarrollado una ventaja de la ingeniera en el anlisis de sitios web y la deteccin de la vulnerabilidad.
Acunetix Web Vulnerability Scanner incluye muchas innovadoras caractersticas:

Tecnologa AcuSensor Un analizador de script de cliente automtico que permite realizar pruebas de seguridad de Ajax y Web 2.0
Pgina 13
Ms avanzada y profunda inyeccin SQL Industries y el sitio de pruebas de Cross scripting
Herramientas avanzadas de pruebas de penetracin, como el Editor de HTTP y HTTP Fuzzer
Visual grabador de macros hace que las pruebas de formularios web y las reas protegidas de contraseas fciles
Soporte para pginas con CAPTCHA de sesin nico y dos mecanismos de autenticacin de factor
Instalaciones de informes extensos, incluidos los informes de cumplimiento de PCI
Multi-threaded y escner velocidad del rayo se arrastra a cientos de miles de pginas con facilidad
Intelligent rastreador detecta el tipo de servidor web y lenguaje de la aplicacin
Acunetix rastrea y analiza los sitios web incluyendo el contenido flash, SOAP y AJAX
Puerto analiza un servidor web y se ejecuta comprobaciones de seguridad en contra de los servicios de red que se ejecutan en el servidor
CAPITULO III DESARROLLO DEL PROYECTO.La auditora fue desarrollada mediante una metodologa estndar la cual ser detallada mediante sus cuatro fases.
Pgina 14
FASE 1: ESTUDIO PRELIMINAR.Para la presente auditoria el grupo de trabajo estuvo conformado solo por mi persona Glenda Jhoselyn Huanca Chura, ya que no es una auditoria de gran magnitud y solo se est auditando el Sistema. La informacin del sistema Mi Simple Caja se pudo obtener gracias a la instalacin de dicho sistema y el manejo de la misma.
FASE 2: REVISION Y EVALUACION DE CONTROLES Y SEGURIDADES.En esta fase detallaremos todos los procesos que el Sistema puede realizar y verificaremos si existen errores en algn proceso.
ANALISIS DE PRUEBAS DEL SISTEMA: Benchmark O Pruebas Del Sistema

Para las pruebas de desempeo(Benchmark) existe un mdulo creado por Apache llamado AB-APACHE BENCHMARK que solo es soportado por el sistema operativo UBUNTU, y no hemos podido comprobarlo ya que el sistema lo hemos ejecutado en Windows.
Pruebas de almacenamiento
En la prueba de almacenamiento de todo el sistema y hemos resaltado las siguientes funciones: Registra personas.
Una vez de registrar a una persona indica que los datos se guardan pero y cuando vamos a la opcion volver a la pantalla anterior nos aparece error
Pgina 15
El sistema registra n personas con los mismos datos
No elimina persona
Asignacin tems. NO MUESTRA ERRORES
Pgina 16
Asignacin Usuarios y tipo de usuarios. SERVICIO REGULAR
Asignacin de Roles, tanto nuevo roles como asignacin de roles ya existentes. SERVICIO REGULAR
Asignacin de Opciones al men principal. Funcionamiento regular
Asignacin de Accesos a los roles. Funcionamiento normal
Registra nuevos Grupos.
Cuando vamos a la opcin modificar entramos pero si queremos ir para atrs nos aparece error
Asignacin de usuarios roles.
Pgina 17
Permite doble registro de usuario
Asignacin de procesos a Usuarios. Cuando vamos a la opcin asignar/quitar en los procesos de usuarios y luego vamos a volver nos aparece error
Asignacin de Ios Usuarios. Hace el registro de IP pero tambin permite doble registro
Asignacin de cargos. Funcionamiento normal
Asignacin de Unidades.
Pgina 18
Funcionamiento normal Asignacin de Ubicaciones Geogrficas. Permite doble registro Registra Nuevos procesos. Registra pero elimina directamente Registra Nuevas Entidades. No registra las entidades y cuando seleccionamos nuevo se direcciona a una ventana equivocada Registra Nuevas Entidades Atributos. No registra nuevas entidades direccionndose a una ventana equivocada Registra Nuevas Vistas en la Administracin. Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen. Registra Nuevos Permisos en las Vistas Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen Registra nuevos tramites Si crea nuevos tramites Pendientes Si muestra los trmites pendientes
SEGURIDAD DE SISTEMAS DE INFORMACION II Pgina 19
Buscar tramites Encuentra los tramites buscados por el nmero de cite o el id Bloquear tramites Funcionamiento normal Desbloquear tramites Funcionamiento normal Re direccionar tramite Cumple con la funcionalidad de re direccionar los trmites Buscar en archivo Tiene opciones de crear nuevo trmites, pero no sirve esa opcin, por lo mismo que queda obsoleto el resto del submen.
Pruebas de Tiempo de Ejecucin

El sistema se puede ejecutar en una computadora con mnimos requisitos, detallamos algunos requisitos. Sistema Operativo: Windows XP(SP1, SP2, SP3), Windows Vista, Windows Seven, Mac OS. CPU: Pentium IV o Superior. Memoria RAM: 512MB o superior (el sistema se ejecuta en 11MB) Memoria ROM: 256MB, 1GB, 2GB, 4GB, ya que el tamao del sistema Mi Simple Caja mide 6MB. Pantalla: La resolucin mnima de la pantalla debe de ser 1280x700, y no presenta carga grfica. Navegador: Internet Explorer, Firefox, Opera, Zafari, Chrome. Potenciadores: MySQL, PHP5, PEAR, pre-instalados.
Pgina 20
Se ha concluido que para la ejecucin de los siguientes aspectos se da demorado 5 milisegundos como promedio de tiempo de ejecucin ya que trabajamos en un Servidor Local. Ingreso de Datos Salidas de Datos Actualizacin Transacciones Procesos Consultas a la Base de Datos Impresiones de comprobantes y listados. Manejo de la Interfaz
Pruebas de Recuperacin
El sistema Mi simple Caja cuenta con una copia de seguridad e su men, para cuando ocurre fallas tcnicas o externas al sistema la copia es la base de datos resguardando los datos actuales. Pero falla a la hora de restaurar la copia de seguridad de la base de datos. Nos lanza el siguiente error: SE HA PRODUCIDO EL ERROR SIGUIENTE 1050***Table 'vista_gastos_validos' already exists NO SE HA PODIDO COMPLETAR LA OPERACIN. En sntesis no hace restauracin de copia de seguridad.
Pgina 21
Pruebas de Procedimientos
Hemos realizado un anlisis separado de usuarios por parte de Admin y por el lado de Fondos, que son los usuarios del Sistema ADMINISTRADOR Y FONDOS Cuenta con un Men 1. PERSONAS 2. HERRAMIENTAS 3. PARAMETROS 4. DISEO 5. TRAMITE 6. REPORTES Personas. Busca Persona e Ingresa uno Nuevo En Nuevo: Agrega pero le asigna nmero de C.I. de Identidad por defecto, que ese es un tipo de error, ya que no se debera de asignar de esa manera. Los campos de registro no distingue da caracteres y letras y nmeros. Al agregar uno NUEVO, definimos el Sexo y direccin y fecha de ingreso, pero al modificar el formulario se pierden esos datos, incluso la fecha de registro se pierde por total el campo. Registra varias veces a una persona, con el mismo nombre, apellidos y C.I. El formulario de modificar datos de la persona no tiene validacin de datos, algunos campos que aparecen con asteriscos (Obligatorios) se guardan sin ser llenados.
Pgina 22
El botn de Volver del men no funciona, o regresa a la pgina anterior.
Herramientas. No especfica el tipo de usuarios adems cuando lo registra no hace conexin Realiza copia de seguridad del sistema, pero falla a la hora de restaurar la copia de seguridad. En usuario IP tenia falla a la hora filtrar los usuarios por IP. Creaba Rol de Usuarios Nuevos, pero no asignaba los privilegios que stos deberan realizar. Cuando se le asignaba a una persona el rol de Sper Usuario, por defecto se eliminaba el anterior sper usuario ya que no puede haber 2 o ms sper usuarios. Trmites. Tena varias opciones de trmites de las cuales la primera era crear trmites y las dems dependan de sta opcin, as que quedaban obsoletas al no poder crear ninguna clase de trmites. Reportes. Primero quisiera recalcar que en algunos equipos no aparecen el Men REPORTES. Al sacar reportes se tiene la opcin de asignar un rango de fecha, sin embargo esta opcin no era vlida ya que en el momento de asigna las fechas del rango no seleccionaba las dos, solo seleccionaba una fecha, osea solo se poda
Pgina 23
sacar reportes de una sola fecha y no as de un rango de fechas. No se expresa correctamente los resultados que se van a obtener en la parte de reportes por cuentas.
No realiza la suma correcta en intervalos de fechas establecidas
En s todos sus clculos no son exactos ni precisos, salen malos los saldos de la caja chica.
FASE 3: EXAMEN DETALLADO DE AREAS CRTICAS.Habiendo encontrado bastantes errores en el sistema en esta fase acudiremos a la herramienta Acunetix v8 para verificar si la aplicacin web del sistema tiene algunas vulnerabilidades.
ANALISIS DE VULNERABILIDADES (ACUNETIX)

Para el siguiente anlisis de vulnerabilidades utilizamos el programa de Acunetix V8, ya que esta herramienta nos permite realizar un anlisis de vulnerabilidades de nuestra aplicacin Web, para evitar que algn usuario malintencionado puede aprovechar estas vulnerabilidades y poner en peligro la base de datos y deformar su sitio web.
Detalles del Escner:

Informacin sobre el Tiempo.Fecha y Hora de inicio: 29/05/2013 20:00:45 Fecha y Hora de acabado: 29/05/2013 21:03:59
Pgina 24
Tiempo de ciclo:
1 hora, 3 minutos
Informacin sobre el Servidor.Servidor: Apache/2.2.4 PHP/5.2.3 Sistema Operativo: Tecnologas Servidor: Windows del PHP (Win32)
Distribucin de Alertas:
Tipos de Alertas.Alto Medio Bajo Informativo
Resumen de Alertas:
Alertas Apache Pointer cuelga Cross Site Scripting / Misimple_caja / app_prc / abm / abm.php 2.2.14 mod_isapi Lugar donde Afecta Servidor Web
Pgina 25
Cross Site Scripting (verificado) Dbil Contrasea Apache 2.x mayor que 2.2.8 Apache 2.x mayor que 2.2.9 Apache httpd Denegacin de servicio remota Apache Divulgacin Mensaje de error de aplicacin httpOnly Cookies
/ Misimple_caja / app_prc / abm / abm.php / Misimple_caja / index.php Servidor Web Servidor Web Servidor Web
Servidor Web
Misimple_caja
app_prc
abm
ajax_abm.php / Misimple_caja / app_prc / abm / cone.php Listado de Directorio Mensaje de error en la pgina / Misimple_caja / Accesos / plantillas / Misimple_caja / app_prc / abm / index.php / Misimple_caja / app_prc / index.php / Misimple_caja / app_soa / cargos / index.php / Misimple_caja / app_soa / index.php / Misimple_caja / app_soa / artculos /
index.php
Pgina 26
/ Misimple_caja / app_soa / personajes / index.php / Misimple_caja / app_soa / unidades / index.php / Misimple_caja / app_wf / index.php / Misimple_caja / app_wf / Procesos /
index.php / Misimple_caja / app_wf / tramites / index.php Formulario proteccin CSRF HTML sin la / Misimple_caja / Misimple_caja / app_prc / abm / abm.php (85ba6b518ac9d70ea338ad617a34a6a5) / Misimple_caja / app_wf / tramites / archivados / templates /% 25% 5d1 255d ^ ^ 5d172170% 25% 25archivados.tpl.php / Misimple_caja / app_wf / tramites /
trm_dblq_tramites.php / Misimple_caja / bp.menues.php / Misimple_caja / Seguridad / restauracion.php PHP cuelga de analizar cadenas particulares como nmero de coma flotante Servidor Web
Pgina 27
Archivo de registro WS_FTP encontrado
/ Misimple_caja / editor / img / imagen / / WS_FTP.LOG / Misimple_caja / editor / img / imagen / / ws_ftp.log
Apache 2.x mayores de 2.2.10 Apache mod_negotiation
Servidor Web Servidor Web
nombre fuerza bruta La carga de archivos Ingresa pgina ataque adivinar la contrasea / Misimple_caja / Seguridad / restore.php / Misimple_caja / / Misimple_caja / index.php / Misimple_caja / db / Misimple_caja / DB Cookie de sesin sin pabelln conjunto HttpOnly Cookie de sesin sin pabelln conjunto Secure Mtodo TRACE est activado Los enlaces rotos Servidor Web / Misimple_caja / app_prc / abm / / /
Directorios sensibles a posibles
function.require
Pgina 28
Misimple_caja
app_soa
cargos
function.require / Misimple_caja / app_soa / artculos /
function.require / Misimple_caja / app_soa / personajes / function.require / Misimple_caja / app_soa / unidades / function.require / Misimple_caja / app_wf / ajax.js / Misimple_caja / app_wf / Procesos /
function.require / Misimple_caja / app_wf / tramites /
function.require / Misimple_caja / app_wf / tramites /
pendientes.php / Misimple_caja / textoola.js Direccin de correo electrnico que figura / Misimple_caja / editor / editor / fckeditor.cfc / Misimple_caja / editor / editor / fckeditor.pl Servidor Web
Pgina de error divulgacin versin Web Server Directorio sensible posible:
/ Misimple_caja / imagen
Pgina 29
GHDB Tipo de entrada de contrasea con autocompletado habilitado / Misimple_caja / Misimple_caja
(1416cfdfaac574342a2124b820b8bdc2) / Misimple_caja
(8c818abdaf8a341bd0436d1d3a2d525c) / Misimple_caja / index.php Posible divulgacin ruta del servidor (Unix) / Misimple_caja / editor / img / image / ws_ftp.log
Detalles de las Alertas Altas:

Apache 2.2.14 mod_isapi Pointer cuelga Gravedad Tipo Reportado por Mdulos Descripcin: Esta alerta se gener usando slo informacin bandera. Puede ser un falso positivo. Mediante el envo de una solicitud especialmente diseada seguido de un paquete de reinicio se puede desencadenar una vulnerabilidad en Apache mod_isapi que descargar el mdulo ISAPI objetivo de la memoria. Sin embargo punteros de funcin an permanecen en la memoria y se llaman cuando se hace referencia a las funciones ISAPI publicados. Esto da lugar a una vulnerabilidad de puntero colgando. Versiones de Apache afectados (hasta 2.2.14 en la plataforma Windows). Alto Configuracin Scripting (Version_Check.script)
Pgina 30
Cross Site Scripting Gravedad Tipo Reportado por Mdulos Descripcin: Este script es posiblemente vulnerable a ataques de Cross Site Scripting (XSS). Cross site scripting (tambin conocido como XSS) son una vulnerabilidad que permite a un atacante enviar cdigo malicioso (por lo general en forma de Javascript) a otro usuario. Debido a que un navegador no puede saber si el guin es de confianza o no, se ejecutar la secuencia de comandos en el contexto del usuario que permite al atacante acceder a las cookies o testigos de sesin retenidos por el navegador Alto Validacin Scripting (XSS.script)
Dbil Contrasea Gravedad Tipo Reportado por Mdulos Alto Informativo Scripting (Html_Authentication_Audit.script) Descripcin:
Pgina 31
Se requiere confirmacin manual para esta alerta. Esta pgina utiliza una contrasea dbil. Acunetix WVS era capaz de adivinar las credenciales necesarias para acceder a esta pgina. Una contrasea dbil es corto, comn, un defecto del sistema, o algo que pudiera ser fcilmente adivinada rpidamente mediante la ejecucin de un ataque de fuerza bruta, usando un subconjunto de todas las contraseas posibles, tales como palabras en el diccionario, nombres propios, palabras basadas en el nombre de usuario o variaciones comunes en estos temas. Impacto: Un atacante podra acceder al contenido de la pgina protegida con contrasea. Recomendacin: Aplicar una poltica de contraseas fuertes. No permita que las contraseas dbiles o contraseas basadas en palabras del diccionario. Referencias: Wikipedia - Fortaleza de la contrasea Elegir buenas contraseas Orientaciones generales de poltica de contrasea Contraseas seguras: Cmo crearlas y utilizarlas
FASE 4: COMUNICACIN DE RESULTADOS.En esta ltima fase mostraremos el impacto y las recomendaciones de las tres alertas ms altas de vulnerabilidad que se pudo encontrar en el sistema con la ayuda del programa Acunetix y tambin se debera entregar el informe a la persona encargada de la unidad donde se realiz la auditoria pero como nuestra auditoria es solo de un sistema y este se nos fue proporcionado para realizar prcticas, el informe se le entregara al docente a cargo.
Pgina 32
Apache 2.2.14 mod_isapi Pointer cuelga
Impacto: Los resultados de explotacin de xito en la ejecucin de cdigo arbitrario con privilegios de SYSTEM. Recomendacin: Actualiza Apache a la versin ms reciente. Referencias: Apache 2.2.14 mod_isapi Pointer cuelga Pgina de inicio Apache
Cross Site Scripting
Impacto:
Los usuarios malintencionados pueden inyectar JavaScript, VBScript, ActiveX, HTML o Flash en una aplicacin vulnerable para engaar a un usuario con el fin de recopilar datos de ellos. Un atacante puede robar la cookie de sesin y tomar el control de la cuenta, hacindose pasar por el usuario. Tambin es posible modificar el contenido de la pgina presentada al usuario.
Recomendacin: La secuencia de comandos debe filtrar metacaracteres de entrada del usuario. Referencias:
Pgina 33
OWASP Cross Site Scripting Permitir XSS HTML y Prevencin Solicitud de Microsoft ASP.NET filtrado defecto ASP.NET caracteres Unicode Conversion XSS Cmo evitar el Cross-Site Scripting en ASP.NET OWASP PHP Top 5 Annihilation XSS El Cross Site Scripting Faq Security Focus - Penetration Testing de Aplicaciones Web (Segunda Parte) Acunetix Cross Site Scripting Attack Cross site scripting XSS chuleta
Dbil Contrasea
Impacto:
Un atacante podra acceder al contenido de la pgina protegida con contrasea.
Recomendacin: Aplicar una poltica de contraseas fuertes. No permita que las contraseas dbiles o
Pgina 34
contraseas basadas en palabras del diccionario.
Referencias: Wikipedia - Fortaleza de la contrasea Elegir buenas contraseas Orientaciones generales de poltica de contrasea Contraseas seguras: Cmo crearlas y utilizarlas
CAPITULO IV CONCLUCIONES Y RECOMENDACIONES.En conclusin el sistema MI SIMPLE CAJA, tiene muchas fallas, como por ejemplo validacin de datos, redundancia de datos, fallas tcnicas, fallas de conteo, principalmente que no brinda integridad a los datos. Por lo que se cree que la implantacin del sistema no es recomendable por el momento ya que es necesario corregir los errores y las vulnerabilidades encontradas.
Pgina 35

Auditoria Del Sistema Mi Simple Caja

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria Del Sistema Mi Simple Caja

Diunggah oleh

Hak Cipta:

Format Tersedia

AUDITORIA DEL SISTEMA MI SIMPLE CAJA

SEGURIDAD DE SISTEMAS DE INFORMACION II

SEGURIDAD DE SISTEMAS DE INFORMACION II