AUDITORIA DE APLICACIONES

El proyecto de Auditora de Aplicacin est planificado (al igual que cualquier proyecto informtico) en las
siguientes fases:

Anlisis Funcional: Se realiza un estudio general de la aplicacin, adquiriendo una visin global de
las funcionalidades que proporciona.

Anlisis Tcnico: Se lleva a cabo un estudio de los mdulos que componen la aplicacin,
determinando como interactan entre ellos (Ej. objetos distribuidos entre diferentes servidores, etc.) y
destacando las entradas y salidas del sistema que pueden ser visibles desde Internet.

Diseo de las pruebas: Se determinan las pruebas a realizar y se disea cada una de ellas.

Desarrollo de las pruebas: Fase en que se programan las pruebas a ejecutar (Ej. Scripts que
explotan buffers overflows en los CGIs que tratan los datos de entrada, etc.).

Realizacin de las pruebas: Durante esta fase, como indica su nombre, se llevan a cabo todas las
pruebas de los sistemas, tomando nota de su resultado y en caso de obtener nuevas posibles
debilidades se vuelve a la fase de diseo para intentar explotarlas.

MBITO DE LAS PRUEBAS

La metodologa empleada permite llevar a cabo una exhaustiva revisin sobre las aplicaciones auditadas
cubriendo los siguientes aspectos de seguridad:

Validacin de entradas: Inyeccin de cdigo malicioso provocando que cuando el servidor web sirva
esa pgina, el cliente web que la cargue ejecute el cdigo malicioso en el cliente; creacin y alteracin
de comandos SQL; ejecucin de comandos del sistema operativo; ejecucin de comandos u
observacin de datos que no se encuentren en los directorios permitidos; y utilizacin del byte nulo que
puede usarse con el fin de alterar los parmetros de una URL.

Canonicalizacin de URLs: Ataques que explotan la capacidad de almacenar caracteres con

mltiples bytes de la codificacin Unicode u otras codificaciones que permiten ocultar acciones y
ataques que usan diferentes posibilidades de codificacin de URLs que aceptan los servidores web.

Manipulacin de parmetros: Ataques de modificacin de datos enviados entre el cliente y la

aplicacin web en las cabeceras HTTP, peticiones de URLs, campos de formularios y cookies.

Autenticacin y Gestin de Sesiones: Bsqueda exhaustiva de claves y/o contraseas. Ataques

basados en la falsificacin de credenciales reales o evitando su necesidad mediante la explotacin de
dependencias entre los componentes de estas aplicaciones o a travs de ataques directos a estos
componentes.

Overflows: Ataques que permiten la ejecucin de cdigo malicioso en el Heap, en la pila del
proceso, o bien, cadenas de formato malvolas.

Fugas de Informacin: Anlisis del cdigo fuente para localizar comentarios que pueden ayudar a
los programadores a su legibilidad e incrementar el proceso de documentacin; revisin para descubrir

estructuras o informacin de depuracin no eliminada; descubrimiento de mensajes y cdigos de error

para obtener informacin de aplicaciones web, sistemas operativos, bases de datos...; bsqueda de
archivos o aplicaciones que puedan ser explotables o tiles en un ataque; e informacin privada
almacenada en la cach del navegador web y en los histricos del navegador.

Criptografa: Ataques que explotan el uso de algoritmos criptogrficos dbiles y otros basados en la
captura de datos cifrados y su uso para tener acceso ya sea a la clave de cifrado o al texto claro.

Configuraciones: Ataques empleando cuentas de usuario o del sistema creadas por defecto en las
instalaciones o pre configuraciones, explotando vulnerabilidades publicadas de alguno de los
componentes de las plataformas en las que se aloja la aplicacin y explotacin de configuraciones
deficientes o una falta de actualizacin de los componentes principales de la aplicacin web.

RESULTADOS

Informe: Se elabora un informe detallado donde se incluye:

Resumen ejecutivo de alto nivel.

Detalle de todas las pruebas realizadas especificando su objetivo.

Resultados obtenidos en los diferentes tests que se han realizado.

Recomendaciones que permitan solucionar de la forma ms acertada los problemas de seguridad

encontrados.

Clasificacin de los problemas de seguridad segn su nivel de peligro. Esto permitir a la empresa
poder elaborar un plan de actuacin eficiente para resolver estos problemas de seguridad.

HERRAMIENTAS

Wappex
Arachni

Wapiti

Flawfindel
Spike

http://ccia.ei.uvigo.es/dojo/pentest/Dojo.pdf

http://www.hackplayers.com/2014/06/descarga-gratis-los-100-mejores-libros-de-hacking.html
pentesting con FOCA libro
http://www.dragonjar.org/

CATALOGO DE VULNERABILIDADES

CWE (Common Weakness Enumeration) Cataloga ms de 600 entradas

dividas en: vulnerabilidades de configuracin, de cdigo y de entorno Es la
clasificacin usada por CVE (Common Vulnerabilities and Exposures) NVD
(National Vulnerability Database) Desarrollada por el Instituto Nacional de
Estndares y Tecnologa Norteamericano (NIST) Define 23 tipos de
vulnerabilidades OWASP (Open Web Application Security Project) Coleccin
de 24 tipos vulnerabilidades centrada exclusivamente en la seguridad de
aplicaciones web SAMATE (Software Assurance Metrics and Tool Evaluation)
Desarrollada y mantenida por el NIST Centrada en los errores de codificacin
de aplicaticiones (buffer overflow, etc)

Metodologas que definan y organicen los procedimientos a ejecutar para

mantener la coherencia en las acciones a realizar
Open Source Security Testing Methodology Manual (OSSTMM)
ISSAF(Information Systems Security Assessment Framework)
OWASP Testing Guide de OWASP