UNIVERSIDAD ESTATAL DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FISICAS

INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

INTEGRANTES:

 Canevaro Tomalá Carlos

 Paredes Sevillano Fabricio
 Andrade Ronquillo Heidy
 Morán Sánchez Maylin

TEMA: REALIZAR UN ANALICIS DE SEGURIDAD EN UNA PÁGINA WEB

REALIZADA POR EL GRUPO DE ALUMNOS.

MATERIA: AUDITORIA DE SEGURIDADES PARA REDES

DOCENTE: ING. JENNY ELIZABETH ARIZAGA

CURSO: NO8/3
 Tabla de Contenido

INTRODUCION .......................................................................................................... 2

Itenario de la Auditoria ................................................................................................ 3

Cuadro De Actividades Del Grupo De Trabajo. ...................................................... 3

Cronograma de acciones .......................................................................................... 3

DESARROLLO ........................................................................................................... 4

1. Desarrollo de la pagina web e instalación de Xampp ........................................ 4

XAMPP .................................................................................................................... 4

2. Pantalla de la base de dato creada ...................................................................... 4

3. Creación de la pagina web en la aplicación Visual Studio Code aplicando

HTML como lenguaje estructurado y CSS de estilo y PHP para la conexión a la base de
dato. 5

Interfaz de usuario (Pagina web) .............................................................................. 6

4. Nmap escaneo a la página WEB ........................................................................ 7

Items que utilizamos para el escaneo ............................................................. 8

5. Acunetix ........................................................................................................... 12

Analisis con la herramienta acunetix a la página web ................................. 14

6. Norma internacional – ISO 27001: 2013 ......................................................... 19

7. Conclusiones: ................................................................................................... 22

8. Recomendaciones ............................................................................................ 23
 INTRODUCION

Hemos visto y escuchamos paginas web que han tenido fallos como dejar de estar
disponibles debido a ataques de denegación de servicio, o presentan información
modificada (y con frecuencia dañada) en sus páginas de inicio, en otros casos de alto
nivel, millones de contraseñas, direcciones de correo electrónico y detalles de tarjetas de
crédito han sido filtrados al dominio público.

El propósito de la seguridad web es prevenir ataques de esta (o de cualquier otra)

clase, más formalmente, la seguridad es la acción/práctica de proteger sitios web del
acceso, uso, modificación, destrucción o interrupción, no autorizados.

La seguridad, en informática como en otras áreas, se basa en la protección de activos.

Estos activos pueden ser elementos tan tangibles como un servidor o una base de datos,
o pueden ser la reputación de una empresa, generalmente podemos evaluar la seguridad
de un activo en base a tres aspectos principales que no necesitan explicación: integridad,
disponibilidad, confidencialidad.

Para este caso practico usaremos la herramienta NMAP para el escaneo de puertos en
la máquina virtual KALI LINUX también instalaremos acunetix puede escanear
cualquier sitio Web que es accesible a través del protocolo HTTP / HTTPS,
básicamente, si el sitio Web se puede ver en un navegador, Acunetix puede escanearlo,
También proporciona herramientas de pruebas de penetración manuales que aumentan y
contribuyen a las pruebas automatizadas, así como ayudar con la prueba de
vulnerabilidades lógicas.
 Itenario de la Auditoria

Cuadro De Actividades Del Grupo De Trabajo.

ACTIVIDAD DURACIÓN INICIO FIN

Reunión de auditores para dividir temas del caso a elaborar 1 11/02/2021 12/02/2021

Investigación e implementación de uso de herramientas 4 12/02/2021 12/02/2021

Ejecución de herramientas 4 12/02/2021 13/02/2021

Reunión de auditores para analizar los avances acerca del desarrollo de 4 13/02/2021 13/02/2021
página web

Análisis de los resultados 1 13/02/2021 14/02/2021

Determinación y descripción de análisis obtenidos 1 14/02/2021 15/02/2021

Documentación e informe 1 15/02/2021 15/02/2021

Finalización de informe y auditoria 1 15/02/2021 16/02/2021

Cronograma de acciones

DETALLE SUPERVISOR FECHA ESTADO

Reunión de auditores para dividir temas del Canevaro Carlos 11/02/2021 Listo
caso a elaborar

Investigación e implementación de uso de Canevaro Carlos 12/02/2021 Listo

herramientas
Investigación e implementación de uso de Canevaro Carlos 12/02/2021 Listo
herramientas
Ejecución de herramientas Canevaro Carlos 13/02/2021 Listo
Reunión de auditores para analizar los Canevaro Carlos 13/02/2021 Listo
avances acerca del desarrollo de página web

Reunión de auditores para analizar los Canevaro Carlos 14/02/2021 Listo

avances acerca del desarrollo de página web

Análisis de los resultados Canevaro Carlos 15/02/2021 Listo

Determinación y descripción de análisis Canevaro Carlos 15/02/2021 Listo
obtenidos
 Documentación e informe Canevaro Carlos 16/02/2021 Listo

Finalización de informe y auditoria Canevaro Carlos 16/02/2021 Listo

DESARROLLO
1. Desarrollo de la pagina web e instalación de Xampp

XAMPP

2. Pantalla de la base de dato creada

3. Creación de la pagina web en la aplicación Visual Studio Code aplicando
HTML como lenguaje estructurado y CSS de estilo y PHP para la conexión a la
base de dato.

.
Interfaz de usuario (Pagina web)
4. Nmap escaneo a la página WEB

Nmap

Nmap es una herramienta extremadamente versátil y seguro que hay quien no la ha

usado habitualmente para escanear redes en su conjunto-

Las características de Nmap incluyen:

 Descubrimiento de host: identificación de hosts en una red. Por ejemplo,

enumerar los hosts que responden a solicitudes TCP y / o ICMP o que tienen
un puerto en particular abierto.
 Escaneo de puertos : enumera los puertos abiertos en los hosts de destino.
 Detección de versión: interrogación de servicios de red en dispositivos
remotos para determinar el nombre de la aplicación y el número de versión.
 Detección de SO : determinación del sistema operativo y las características de
hardware de los dispositivos de red.
 Interacción programable con el objetivo, utilizando Nmap Scripting Engine
(NSE) y el lenguaje de programación Lua .
 Nmap puede proporcionar más información sobre los objetivos, incluidos los
nombres DNS inversos , los tipos de dispositivos y las direcciones MAC .
(V., 2010)

Usos típicos de Nmap:

 Auditar la seguridad de un dispositivo o cortafuegos identificando las

conexiones de red que se pueden realizar a través de él.
 Identificación de puertos abiertos en un host de destino en preparación para
la auditoría.
 Inventario de redes , mapeo de redes , mantenimiento y gestión de activos.
 Auditar la seguridad de una red identificando nuevos servidores.
 Generación de tráfico a hosts en una red, análisis de respuesta y medición del
tiempo de respuesta.
 Encontrar y explotar vulnerabilidades en una red.
 Ventajas:

Este programa incluso en sus versiones graficas es muy poderoso, y tiene opciones
para realizar escaneos muy difícilmente detectables por las “victimas” o supervisores de
red. Escanea cualquier rango de puertos que desees e incluso detecta el sistema
operativo de la víctima, dando lugar a que el hacker identifique más claramente como
puede acceder al equipo remoto.

Desventajas:

Entre más complejo sea el tipo de escaneo que se quiere realizar, el proceso de
escaneo puede ser más tardado y tardar varios minutos antes de finalizar, la velocidad
del escaneo depende básicamente de 3 factores, velocidad de la computadora de quien
escanea(hacker), latencia en la red(si la red es lenta o rápida), y velocidad de respuesta y
medidas de seguridad de la computadora escaneada(victima). (Wiki, s.f.)

Items que utilizamos para el escaneo

los puertos abiertos que se encuentran vulnerables en el servidor de la página web

nmap -p <número_puerto> el escaneo se centra en un puerto concreto

 Lanzar un escaneo TCP SYN

Mediante este comando se puede llevar a cabo una técnica conocida como
escaneo half-opening. Se le conoce así porque comienza como una conexión normal,
pero no llega a establecerse un handshake por ambas partes, sino que enviamos un único
paquete SYN y esperamos la respuesta.

Escaneo de sistema operativo, es una opción simple que se limita a marcar el tipo de
dispositivo, sistema operativo y MAC, entre otros datos.
 Escaneo de Sistema Operativo y servicios

Escaneo de servicios estandar

Si queremos evaluar únicamente los servicios con puerto asociado, es muy posible
que la base de datos de Nmap (con más de 2000 entradas) encuentre algo interesante:
 Escaneo de puertos con Nmap

F: la opción -F indica que el escaneo sea Fast (rápido). Es decir, no se analizarán

tantos puertos como con un análisis corriente. Aquí se analizan los 100 puertos más
comunes.

Escaneo de red completa sigiloso con detección de SO

Este tipo de escaneo se diferencia del anterior en que añade algunos datos
adicionales, como son:
  Tipo de dispositivo (device type): normalmente aparecerá “general purpose”
o propósito general en ambientes domésticos.
 Sistema operativo: intentará reconocer el sistema o kernel (en versiones
Linux).
 Distancia de red (network distance): se lanzará además una traza de red que
nos indicará cuantos saltos nos separan del dispositivo/red analizado.

5. Acunetix

Acunetix Web Vulnerability Scanner es una herramienta que será capaz de escanear
sitios web en busca de posibles fallos de seguridad que puedan poner en peligro la
integridad de la página publicada en Internet, esta aplicación ejecuta una serie de
pruebas, totalmente configurables por el usuario, para identificar las vulnerabilidades
tanto en la programación de la página como en la configuración del servidor.

Características

 Las herramientas de testeo de inyección SQL y de Cross site scripting

más avanzadas y profundas de la industria.
 Herramientas para fácil aseguramiento de formularios web y contraseñas.
 Facilidad de generación de informes amplios, incluyendo informes de
cumplimiento PCI.
 Acunetix escanea y analiza sitios web incluyendo contenido flash, SOAP
y AJAX.
 Un cliente de analizador automático de secuencia de comandos que
permite realizar pruebas de seguridad de Ajax y aplicaciones Web 2.0.
 Herramientas avanzadas de penetración, como HTTP Editor y HTTP
Fuzzer.
 Soporte para páginas con CAPTCHA, single sign-on y mecanismos con
factor de autenticación.
 El escaneo inteligente detecta el tipo de servidor web y lenguaje de la
aplicación.
 Función del Acunetix

 Crawling (rastreador).- El rastreador analiza la Website entera desde la URL inicial

para descubrir todos los directorios, archivos, tambien revisará y analizará la
estructura completa de directorios del sitio Web.
 Escaneo de vulnerabilidades.- Acunetix WVS lanzará una serie de ataques de
vulnerabilidades en cada página, pruebas en contra de los controles en cada página,
similar a lo que los hackers podrían hacer para atacar a un sitio Web.
 Resultados que se muestran en el nodo de Alertas.-Todas las vulnerabilidades
encontradas se mostrarán con información detallada en la interfaz gráfica del
software en la zona de alerta (AlertsNode), cada alerta contiene información acerca
de la vulnerabilidad, ejemplos posibles para su solución, y CVE, CWE, e
información CVSS.

Ventajas de Acunetix

 Le permite ubicar y arreglar la vulnerabilidad rápidamente gracias a la habilidad de

entregar más información sobre la vulnerabilidad, tal como el número de la línea de
código fuente, query SQL afectado, etc.
 Reduce significativamente los falsos positivos al escanear un sitio web porque
podemos entender mejor el comportamiento interno de la aplicación web.
 Puede alertarlo de problemas de configuración de aplicación web que pueden
hacerla vulnerable o exponer detalles internos de la aplicación. Por ej.: Si se
permiten ‘errores del cliente’ .NET, esto podría exponer detalles de la aplicación a
un usuario malicioso.
 Detectar muchas vulnerabilidades de inyección de SQL. Antes, las vulnerabilidades
de inyección de SQL solo podían encontrarse si se reportaban errores de la base de
datos o vía otras técnicas comunes.
 Habilidad para probar vulnerabilidades de creación y borrado arbitrario de archivos.
Por ej.: a través de un script vulnerable un usuario malicioso puede crear un archivo
en el directorio de la aplicación web y ejecutarlo para tener permisos de acceso o
borrar archivos sensibles de la aplicación web.
 Habilidad para probar inyección de email. Por ej.: Un usuario malicioso puede
agregar información adicional tal como una lista de destinatarios o información
 adicional al mensaje a un formulario web vulnerable, para enviar anónimamente
spam a un gran número de destinatarios.

Analisis con la herramienta acunetix a la página web

Realizamos un análisis completo con acunetix , tiempo de escaneo 1 hora 40 mint

Nivel de alerta de riesgo medio 2: vulnerabilidades causadas por una mala

configuración del servidor y fallas en la codificación del sitio, que facilitan la
interrupción y la intrusión del servidor.

Vulnerabilidad

Esta es la lista de vulnerabilidades detectadas ordenadas por gravedad.

 Acunetix encontró un mensaje de error o advertencia que puede revelar información
confidencial. El mensaje también puede contener la ubicación del archivo que produjo
una excepción no controlada.

La estructura de la Pagina Web

Puede utilizar la estructura del sitio para asegurarse de que Acunetix haya cubierto
todo el sitio y para identificar vulnerabilidades que afecten a un archivo o carpeta
específicos del sitio escaneado.

Para estas vulnerabilidades:

El impacto de esta vulnerabilidad

 Posible divulgación de información sensible.

 Una sola máquina puede desactivar el servidor web de otra máquina con un
ancho de banda mínimo y efectos secundarios en servicios y puertos no
relacionados.
 Las variables de entorno pueden filtrar información confidencial a un posible
atacante. Un atacante puede utilizar esta información para realizar más
ataques.

Cómo solucionar esta vulnerabilidad

 Consultas las referencias web para obtener información sobre cómo proteger
su servidor web contra este tipo de ataque.
 Restrinja el acceso a este archivo CGI o elimínelo de su sistema.
 Una lista de eventos relacionados con la exploración.

Acusensor

La Tecnología AcuSensor de Acunetix es una tecnología nueva de seguridad que le

permite identificar más vulnerabilidades que un Escáner de Aplicaciones Web
tradicional, a la vez que genera menos falsos positivos, adicionalmente, indica
exactamente dónde está la vulnerabilidad en su código y le entrega información de
depuración.

Cuando se usa la Tecnología AcuSensor, se comunica con el servidor web para

conocer la configuración de la aplicación web y las plataformas (tales como PHP y
.NET) .
 CSRF

el Cross Site Request Forgery (CSRF o XSRF) es un tipo de ataque que se suele usar
para estafas por Internet, los delincuentes se apoderan de una sesión autorizada por el
usuario (session riding) para realizar actos dañinos, el proceso se lleva a cabo mediante
solicitudes HTTP.

Directory and file Checks

Algunos sitios pueden cancelar la sesión de usuario actual cuando solicita un recurso
que no existe o lo redireccionan a la página de inicio de sesión, la navegación forzada
(directorios comunes) es una verificación de seguridad en la que el escáner de
vulnerabilidades web intenta detallar y acceder a los recursos que no están vinculados
desde la aplicación web, pero que aún son accesibles, si se descubren recursos como
archivos de respaldo y portales de administración, podrían ayudar a un atacante a crear
un ataque contra su sitio web.
 High Risk Alerts

el perfil de análisis de Alertas de alto riesgo solo buscará las vulnerabilidades web
más peligrosas.
6. Norma internacional – ISO 27001: 2013

URL 192.168.100.9

Fecha de escaneo 12/02/2021

Duración 1hora 40 minutos

Perfil Análisis completo

Cumplimiento según categorías: un informe detallado

Esta sección es un informe detallado que explica cada vulnerabilidad encontrada

según las categorías de cumplimiento individuales.

(8.1.1) Inventario de activos

Se deben identificar los activos asociados con la información y las instalaciones de

procesamiento de información y se debe elaborar y mantener un inventario de estos
activos.

No hay alertas en esta categoría.

(8.2.3) Manejo de activos

Los procedimientos para el manejo de activos deben desarrollarse e implementarse

de acuerdo con el esquema de clasificación de información adoptado por la
organización.

No hay alertas en esta categoría.

(9.1.2) Acceso a redes y servicios de red

A los usuarios solo se les proporcionará acceso a la red y los servicios de red para los
que hayan sido específicamente autorizados a utilizar.

No hay alertas en esta categoría.

(9.2.3) Gestión de derechos de acceso privilegiado

La asignación y el uso de derechos de acceso privilegiado se restringirán y

controlarán.

No hay alertas en esta categoría.

(9.2.4) Gestión de la información secreta de autenticación de los usuarios

La asignación de información de autenticación secreta se controlará mediante un

proceso de gestión formal.

No hay alertas en esta categoría.

(9.3.1) Uso de información de autenticación secreta

Se requerirá que los usuarios sigan las prácticas de la organización en el uso de

información secreta de autenticación.

No hay alertas en esta categoría.

(9.4.1) Restricción de acceso a la información

El acceso a la información y las funciones del sistema de aplicación se restringirá de

acuerdo con la política de control de acceso.

No hay alertas en esta categoría.

(9.4.2) Procedimientos de inicio de sesión seguro

Cuando lo requiera la política de control de acceso, el acceso a los sistemas y

aplicaciones se controlará mediante un procedimiento de inicio de sesión seguro.

No hay alertas en esta categoría.

(9.4.3) Sistema de gestión de contraseñas

Los sistemas de gestión de contraseñas serán interactivos y garantizarán la calidad de

las contraseñas.

No hay alertas en esta categoría.

(9.4.4) Uso de programas de utilidad privilegiados

El uso de programas de servicios públicos que puedan ser capaces de anular los
controles del sistema y de las aplicaciones debe estar restringido y estrictamente
controlado.

No hay alertas en esta categoría.

(9.4.5) Control de acceso al código fuente del programa

Se restringirá el acceso al código fuente del programa.

No hay alertas en esta categoría.

(12.1.4) Separación de entornos operativos, de prueba y de desarrollo

Los entornos de desarrollo, pruebas y operativos deben estar separados para reducir
los riesgos de acceso no autorizado o cambios en el entorno operativo.

No hay alertas en esta categoría.

(12.2.1) Controles contra malware

Se implementarán controles de detección, prevención y recuperación para proteger

contra el malware, combinados con una adecuada concienciación del usuario.

No hay alertas en esta categoría.

(12.4.2) Protección de la información de registro

Las instalaciones de registro y la información de registro deben estar protegidas

contra la manipulación y el acceso no autorizado.

No hay alertas en esta categoría.

(12.4.3) Registros de administrador y operador

Las actividades del administrador del sistema y del operador del sistema deben
registrarse y los registros deben protegerse y revisarse periódicamente.

No hay alertas en esta categoría.

(12.5.1) Instalación de software en sistemas operativos

Se deben implementar procedimientos para controlar la instalación de software en los

sistemas operativos.

No hay alertas en esta categoría.

(13.1.1) Seguridad de los servicios de red

Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de

todos los servicios de red deben identificarse e incluirse en los acuerdos de servicios de
red, ya sea que estos servicios se proporcionen internamente o se subcontraten.

No hay alertas en esta categoría.

(13.2.1) Políticas y procedimientos de transferencia de información

Deberán existir políticas, procedimientos y controles formales de transferencia para

proteger la transferencia de información mediante el uso de todo tipo de instalaciones de
comunicación.

No hay alertas en esta categoría.

(13.2.3) Mensajería electrónica

La información relacionada con la mensajería electrónica deberá estar debidamente

protegida.

No hay alertas en esta categoría.

7. Conclusiones:

 Como conclusión, podemos remarcar que las herramientas libres como Nmap
son muy útiles ya que mejoran año tras año, si bien no es la funcionalidad
principal la de hacer escaneo de vulnerabilidades, podemos valernos de esta
potente herramienta para comenzar con la auditoría a nuestros equipos,
permitiéndonos conocer en primera instancia el estado actual y su nivel de
exposición con las vulnerabilidades más conocidas,
 La seguridad en una página web es un aspecto fundamental para tus clientes,
pero también para tu negocio, cuando pones en riesgo la seguridad de tus
 clientes, ten claro que se puede volver completamente en contra de tu negocio.
Algunas de las principales consecuencias de no cuidar la seguridad de tu página
web son:
 Pérdida de visibilidad en buscadores
 Bajan las conversiones
 El tráfico se desploma
 Dañas tu reputación online
 Tus ingresos y tus ventas caerán drásticamente

8. Recomendaciones

 No abra mensajes de correo de remitentes desconocidos.

 Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de
subastas o sitios de venta online, le solicitan contraseñas, información
confidencial, etc.
 Actualice regularmente su sistema operativo y el software instalado en su
equipo, poniendo especial atención a las actualizaciones de su navegador web.
Estar al día con las actualizaciones, así como aplicar los parches de seguridad
recomendados por los fabricantes, le ayudará a prevenir la posible intrusión de
hackers y la aparición de nuevos virus.
 Instale un Antivirus y actualícelo con frecuencia, analice con su antivirus todos
los dispositivos de almacenamiento de datos que utilice y todos los archivos
nuevos, especialmente aquellos archivos descargados de internet.
 Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados
de Internet.
 Utilizar contraseñas seguras, es decir, aquellas compuestas por ocho caracteres,
como mínimo, y que combinen letras, números y símbolos, es conveniente
además, que modifique sus contraseñas con frecuencia, en especial, le
recomendamos que cambie la clave de su cuenta de correo si accede con
frecuencia desde equipos públicos.
 Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique
si dichas páginas tienen algún sello o certificado que garanticen su calidad y
fiabilidad, extreme la precaución si va a realizar compras online o va a facilitar
información confidencial a través de internet
 Ponga especial atención en el tratamiento de su correo electrónico, ya que es una
de las herramientas más utilizadas para llevar a cabo estafas, introducir virus,
etc.