DOCUMENTACIÓN DE COMENTARIOS
PRESENTADO POR:
MAYO, 2018
Documentación procedimientos almacenados
Se puede observar en este procedimiento que se ejecuta un select y se detalla que obtiene en
este caso la lista de la tabla que se brinde como parámetro.
Ilustración 2. Procedimiento almacenado setnuevaempresa parte 1
Este el inicio de un procedimiento almacenado que se encarga de realizar un insert en la tabla de empresa,
valida como lo menciona los comentarios y realiza las tareas documentadas en el mismo.
Ilustración 3. Procedimiento almacenado setnuevaempresa parte 2
Ilustración 4. Procedimiento almacenado setnuevaempresa parte 3
Bitácora
Se puede observar en las tres imágenes pertenecientes a una sola pagina del sistema nombre
bitácora que se muestran las acciones por rol de usuario. Para mostrar este módulo de bitácora
se restringe solo a usuarios con perfil de auditor.
Botón sesión
Se puede observar que el botón de iniciar sesión esta visible por que no se tiene una sesión
iniciada.
Se puede observar que el iniciar sesión se oculta el botón de iniciar y se muestra el botón de
cerrar la sesión.
Estudio de viabilidad económica
Se puede observar en la imagen anterior se han corregido los precios de acuerdo a lo que cotiza
Unitec con sus proveedores.
Gráficos
Se encontraron una serie de vulnerabilidades luego de escanear el sistema con owasp zap.
Se puede observar que las vulnerabilidades de prioridad alta son referentes a inyección SQL y se
han encontrado en las páginas o módulos de registro de las empresas y candidato. También en
el perfil del candidato.
Para mitigar esta vulnerabilidad se requiere evitar el uso de las view y multiview en las paginas
de registro de empresa y candidato de igual forma en el perfil del candidato. Cabe mencionar
que estas acciones no tienen relación alguna que las conexiones a la base de datos.
Ilustración 18. Vulnerabilidades nivel medio.
Se puede observar que las vulnerabilidades de prioridad media son referentes a pantallas de
error no personalizadas, error de formato de cadena y ausencia de cabecera X-Frame-Options
en muchas páginas.
Se puede observar varios parámetros que fueron de ayuda para mitigar las vulnerabilidades de
medio y bajo nivel nombradas de igual forma.
Ilustración 20. Vulnerabilidades de error formato cadena.
En estas vulnerabilidades se muestra que los controles de validación utilizado por asp arrojan
vulnerabilidad cuando se valida la selección de un control droupdown.
Ilustración 21.enableEventValidation
Se muestran las paginas con textbox o input de tipo password y muestra como advertencia
que es baja y que se debe al comportamiento con el navegador.
Se debe a que los navegadores guardan la información de estos campos o controles y suelen
llenarlo automáticamente. Se configuro para que no lo haga automático, pero aun así el
navegador guarda las credenciales.