UNIVERSIDAD TECNOLÓGICA CENTROAMERICANA

DOCUMENTACIÓN DE COMENTARIOS

PORTAL DE EMPLEO GLOBAL CARRIER CENTER, UNITEC

TERNA PROYECTO DE GRADUACIÓN

PRESENTADO POR:

30821882 DENNIS ALEXANDER GRADIZ CRUZ

PRESIDENTE TERNA: ING. JUAN CARLOS INESTROZA LOZANO

CAMPUS CEUTEC TEGUCIGALPA;

MAYO, 2018
 Documentación procedimientos almacenados

Ilustración 1. Procedimiento almacenado que devuelve una lista.

Se puede observar en este procedimiento que se ejecuta un select y se detalla que obtiene en
este caso la lista de la tabla que se brinde como parámetro.
 Ilustración 2. Procedimiento almacenado setnuevaempresa parte 1

Este el inicio de un procedimiento almacenado que se encarga de realizar un insert en la tabla de empresa,
valida como lo menciona los comentarios y realiza las tareas documentadas en el mismo.
Ilustración 3. Procedimiento almacenado setnuevaempresa parte 2
Ilustración 4. Procedimiento almacenado setnuevaempresa parte 3
 Bitácora

Ilustración 5. Bitácora parte 1

Ilustración 6. Bitácora parte 2

Ilustración 7. Bitácora parte 3

Se puede observar en las tres imágenes pertenecientes a una sola pagina del sistema nombre
bitácora que se muestran las acciones por rol de usuario. Para mostrar este módulo de bitácora
se restringe solo a usuarios con perfil de auditor.
 Botón sesión

Ilustración 8. botón iniciar sesión

Se puede observar que el botón de iniciar sesión esta visible por que no se tiene una sesión
iniciada.

Ilustración 9. Botón cerrar sesión

Se puede observar que el iniciar sesión se oculta el botón de iniciar y se muestra el botón de
cerrar la sesión.
 Estudio de viabilidad económica

Ilustración 10. Tabla de precios estudio viabilidad económica.

Se puede observar en la imagen anterior se han corregido los precios de acuerdo a lo que cotiza
Unitec con sus proveedores.
 Gráficos

Ilustración 11. Gráficos

Se crearon gráficos de forma dinámica según cantidad de candidatos y el criterio a realizar el

conteo.
 Vulnerabilidades encontradas

Ilustración 12. Alertas de vulnerabilidades owasp zap

Se encontraron una serie de vulnerabilidades luego de escanear el sistema con owasp zap.

A continuación se detallan cada una de ellas:

Ilustración 13. Vulnerabilidades de prioridad alta.

Se puede observar que las vulnerabilidades de prioridad alta son referentes a inyección SQL y se
han encontrado en las páginas o módulos de registro de las empresas y candidato. También en
el perfil del candidato.

Algunas se mitigan mejorando la estructura de ejecución de los procedimientos almacenados.

 Ilustración 14. Ejecución de procedimiento almacenado.

Se puede observar la estructura de llamado y ejecución del procedimiento almacenado para

establecer los valores correspondientes según tipo.

Ilustración 15. Sql Inyección faltantes por resolver.

En esta imagen se muestra las vulnerabilidades pendientes.

 Ilustración 16. lugar del código generado por asp de la vulnerabilidad

En la ilustración a anterior se puede observar la causa de esta vulnerabilidad, se debe al uso de

view y multiview en el proyecto.

Ilustración 17. Código multiview y view asp

Para mitigar esta vulnerabilidad se requiere evitar el uso de las view y multiview en las paginas
de registro de empresa y candidato de igual forma en el perfil del candidato. Cabe mencionar
que estas acciones no tienen relación alguna que las conexiones a la base de datos.
 Ilustración 18. Vulnerabilidades nivel medio.

Se puede observar que las vulnerabilidades de prioridad media son referentes a pantallas de
error no personalizadas, error de formato de cadena y ausencia de cabecera X-Frame-Options
en muchas páginas.

pantallas de error no personalizadas, error de formato de cadena se refería a errores en código.

ausencia de cabecera X-Frame-Options se mitiga agregando parámetros en la configuración del

servidor.

Ilustración 19. Parametros en el servidor (X-)

Se puede observar varios parámetros que fueron de ayuda para mitigar las vulnerabilidades de
medio y bajo nivel nombradas de igual forma.
 Ilustración 20. Vulnerabilidades de error formato cadena.

En estas vulnerabilidades se muestra que los controles de validación utilizado por asp arrojan
vulnerabilidad cuando se valida la selección de un control droupdown.

Ilustración 21.enableEventValidation

Se demuestra lo que debe habilitarse recomendado por la herramienta.

Ilustración 22.codigo enableeventvalidation

Se agrego la característica a las paginas afectadas.

Ilustración 23. Vulnerabilidades bajo nivel.

Se puede observar las vulnerabilidades de bajo nivel como cross-domin archivo de inclusión de
fuente JavaScript, autocompletar contraseñas en el navegador, protección de navegador web
xss no habilitado y ausencia del x-content-type-options.

Ilustración 24. cross-domain

La vulnerabilidad de cross-domin archivo de inclusión de fuente JavaScript fue mitigada evitando

hacer referencia a archivos o librerías fuera del servidor.

Ilustración 25. Vulnerabilidades password autocomplete

Se muestran las paginas con textbox o input de tipo password y muestra como advertencia
que es baja y que se debe al comportamiento con el navegador.

Ilustración 26. Input password vulnerabilidad baja

Se debe a que los navegadores guardan la información de estos campos o controles y suelen
llenarlo automáticamente. Se configuro para que no lo haga automático, pero aun así el
navegador guarda las credenciales.

Ilustración 27. autocomplete off