SlideShare a Scribd company logo
1 of 20
Download to read offline
Auditoría de Seguridad
         SEGAL

         08/11/2012
ÍNDICE:
 Entorno:……………………………………………………………………………..………………………………………3

 Introducción:………………………………………………………………………………………………………………4

 WebScarab:………………………………………………………………………………………………………………..5

        Instalación:…….…………………………………………………………………………………………………6

        Utilización:……………………………………………………………………………………………….……….7

 Nessus:…………………..……………………………………………………………………………………………..…..8

        Instalación:…….…………………………………………………………………………………………….…..9

Utilización:……………………………………………………………………………………………………….………..10

Wireshark:…………………………………………………………………………………………………….…………..11

        Instalación:…….…………………………………………………………………………………….…………12

        Utilización:………………………………………………………………………………………………………13

Nmap:……………….………………………………………………………………………………………….…………..15

        Instalación:…….…………………………………………………………………………………….…………16

        Utilización:………………………………………………………………………………………………………17

Detección, comprobación y evaluación de vulnerabilidades……………………………………….18

Web Elegida:….…………………………………………………………………………………………..………………20




    2
ENTORNO
                                                 El empleo de las herramientas se
                                                 desarrollará en diversos entornos como
                                                 pueden ser Windows y Linux que son
                                                 con los que habitualmente trabajamos y
                                                 los más extendidos sin tener en cuenta
                                                 los sistemas operativos de Apple.

                                                 La máquina Windows en la que
                                                 trabajamos es un Sistema Operativo de
                                                 64 bits, dispone de un procesador Intel
                                                 Core i3 a 2.4 GHz y dispone una
                                                 memoria RAM de 4.00Gb.

                                                El sistema operativo es una versión
                                                estable; por lo que en un principio a la
     hora de instalar las herramientas no debería de dar ninguna clase de problema.

     Sin embargo, hay muchas de las herramientas que mencionamos más adelante que no
     están disponibles para entornos Windows y por lo tanto su instalación se llevará a
     cabo en máquinas Linux.

     Así pues, las máquinas Linux de las que disponemos son máquinas virtuales
     construidas en el sistema operativo Windows nombrado unas líneas atrás. La
     distribución de Linux empleada es la denominada Debian. Es una distribución que
     carece de entorno gráfico y que por lo tanto consume menos recursos de nuestra
     máquina real.

     No obstante, nuestra máquina
     virtual dispone de una memoria
     RAM de 512Mb, un procesador
     virtual que adquiere parte del
     físico sin consumir demasiado y un
     disco duro de 8GB (suficiente para
     trabajar        con       nuestras
     herramientas).

     Por lo tanto, podemos decir que
     disponemos de una máquina real Windows y una máquina virtual Debian en la que
     llevaremos a cabo todas las instalaciones de las herramientas de seguridad. Aunque,
     sin embargo, la mayor parte de las herramientas las instalaremos en Windows en lugar
     de Linux.




 3
INTRODUCCIÓN
                                  El presente documento trata sobre una auditoría de
                                  seguridad. Dicho documento contendrá un análisis de
                                  seguridad sobre una página web específica con la resolución
                                  de posibles fallos y errores con las herramientas
                                  introducidas en un documento PDF ofrecido en clase.

                                  Las auditorías de seguridad informática nos dejan conocer
                                  en el momento de su realización cuál es la situación exacta
                                  en cuanto a la protección, medidas y control de un sistema
                                  informático.

                                  Estas herramientas procederán a darnos una solución a los
                                  problemas de la página web elegida así como un exhausto
                                  análisis de seguridad el cual adjuntaremos en este
documento. No obstante, se adjuntarán los pasos necesarios para la correcta instalación de las
herramientas elegidas y el procedimiento sobre cómo utilizarlas.

Así pues, las herramientas empleadas serán un total de entre 5 y 10. Entre de las cuales
podríamos destacar Nessus, WebScarab, Nmap y Rkhunter, entre otras.



La decisión acerca de la instalación de las herramientas sobre una máquina Windows en lugar
de una con entorno GNU/Linux es muy simple de explicar. Podría empezar diciendo que la
interfaz gráfica de Windows requiere menos complejidad y desgraciada o afortunadamente
(depende de la persona) menos conocimientos acerca del sistema operativo en cuestión.

Sin embargo, las instalaciones posibles las vamos a realizar en entornos Windows ya que así
nos privamos de encender una máquina virtual Linux después de encender la máquina real
Windows. Sobre todo es por comodidad, aunque en la instalación de las aplicaciones o
herramientas, se explicará cómo instalarlo en cualquiera de las dos máquinas por lo que si
alguien quisiera realizarlo en una máquina con sistema operativo Linux podría hacerlo
perfectamente.

La intención ha sido desde un primer momento instalar al menos 5 herramientas de detección
de vulnerabilidades, pero el tiempo aprieta y nos hemos visto acorralados por él. Es por ello
que en este documento solamente se explicará la instalación y utilización de tres de las
herramientas aunque en un principio en el índice hubiera puesto 5 al menos. Dichas
herramientas de evaluación de vulnerabilidades serán las más importantes: Nessus,
WebScarab y Nmap.




     4
WebScarab
WebScarab es una herramienta basada en java que
permite analizar las conexiones HTTP y HTTPS que se
realicen en una red.

 Podríamos hacer una comparación con las
funcionalidades que ofrecen diversos sniffers como
es el caso de Whireshark, con la única diferencia de
que en WebScarab analiza el tráfico de internet,
como hemos mencionado anteriormente, HTTP y
HTTPS, mientras que los sniffers son bastante más
completos analizando más que solo el tráfico de la
red.

Esta herramienta de testeo web, actúa como un proxy que intercepta al navegador web, y con
ello las peticiones que hace, así como las respuestas que devuelve. Como hemos visto durante
el curso, un proxy es una máquina que se sitúa entre dos ordenadores con la finalidad de que
el ordenador de destino no sepa el origen del mensaje por diversos motivos como seguridad o
anonimato.




     5
INSTALACIÓN
La instalación de esta herramienta se puede realizar tanto en sistemas operativos Linux como
en Windows. La que procederemos a explicar es en torno a un sistema operativo Windows.

    1- Visitar http://sourceforge.net/projects/owasp/files/WebScarab/


    2- Pinchamos en donde pone: 20070504-1631


    3- Seleccionamos: webscarab-installer-20070504-1631.jar y descargamos el instalador
       en java.


    4- Doble clic. Seguimos los pasos.




NOTA:           Si   no   tenemos     Java   instalado    podemos     instalarlo     entrando   a:
http://www.oracle.com/technetwork/java/javase/downloads/jdk7u9-downloads-
1859576.html y seleccionamos el “jdk” que nos convenga. Seguimos los pasos de la
instalación.

La instalación en Linux presenta una similitud con la instalación realizada en Windows ya que,
como es una herramienta basada en java; necesitaremos disponer de Java en nuestro sistema
operativo. A continuación procedemos a la instalación de WebScarab en Linux:

    1- Vamos          a         la       página        oficial      de                  descarga:
       http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/


    2- Descargamos la el archivo con extensión .jar


    3- Pasamos nuestro fichero “.jar” a la máquina Linux correspondiente y lo dejamos en un
       directorio como por ejemplo /home/alain mediante la utilización de WinSCP.


    4- Ejecutamos el siguiente comando dentro de /home/alain:

          “java -jar ./webscarab-installer-20070504-1631.jar”



***NOTA***

Probablemente nos dé un fallo con el proxy. Para ello deberemos ir a opciones de internet de
nuestro navegador y cambiar la configuración del proxy por la siguiente:

Proxy HTTP: localhost:8008                               Proxy SSL: localhost:8008



      6
UTILIZACIÓN
Bien, ahora que sabemos para qué se utiliza y cómo se instala WebScarab, necesitaremos
aprender cómo utilizar esta herramienta. Para empezar a utilizar esta herramienta deberemos
iniciarla con un doble clic en Windows y se nos abrirá la interfaz de WebScarab.

Para empezar a interceptar los paquetes HTTP y HTTPS deberemos configurar dicha
herramienta como proxy. Para ello deberemos ir a nuestro navegador (Internet Exporer),
pinchamos en herramientas, opciones de internet; nos situamos en la pestaña denominada
conexiones y en configuración de LAN seleccionamos “Usar un Proxy para la LAN”.
Introducimos localhost y el puerto 8008.

Con estas opciones lo que hacemos es que toda la información que reciba o envíe nuestra
máquina tenga que pasar obligatoriamente por el proxy, que en este caso es WebScarab.

Una vez tengamos esas opciones configuradas correctamente para una buena utilización de la
herramienta deberemos abrir las páginas que queramos y mientras vamos navegando por las
páginas, automáticamente la herramienta mostrará el tráfico que estemos generando así
como darnos la opción de seguir adelante, cancelar la operación o abortar todo.

Una vez paremos de navegar por la red, WebSacarab para automáticamente.




     7
NESSUS
Nessus es una herramienta que investiga las direcciones web que le demos nosotros y hace
una evaluación de dicha página web.

Esta herramienta es una de las herramientas
más famosas en torno a los sistemas operativos
Linux, entre las que analizan y evalúan
vulnerabilidades.

Podríamos decir que Nessus se divide en
“nessusd” (demonio que realiza el escaneo) y
“nessus” (cliente que muestra al usuario el
estado de los escaneos y el avance del análisis).

Si se desea, los escaneos pueden ser extraídos
en diversos formatos.

Adjuntaremos uno de estos documentos sobre
la analítica de la página web escogida para la
realización de este trabajo.




      8
INSTALACIÓN
Como hemos comentado anteriormente, Nessus es una herramienta disponible para sistemas
operativos Linux, y por lo tanto la instalación se deberá realizar en una de las muchas
distribuciones que existen para este entorno.

Nuestra máquina elegida ha sido Debian, máquina que utilizamos para trabajar diariamente en
clase.

NOTA: La instalación se llevará a cabo en una máquina virtual que no dispone de entorno
gráfico y que por lo tanto se realizará mediante el uso de comandos. La instalación se realizará
como root.



    1- Entramos a nuestra máquina y nos ponemos como root para realizar la instalación.


    2- ***Tecleamos: “apt-get install nessus nessusd”***


    3- Tecleamos: “nessus-adduser” para crear un nuevo usuario para Nessus.


    4- Ponemos en marcha el servidor: “nessusd”



***NOTA***

Nessus instala el cliente mientras que nessusd instala el servidor. Quizás se diese el caso de
querer instalar únicamente el servidor (o el cliente) por lo que no es estrictamente necesario
escribir la forma de instalación tal y como hemos mencionado, sino que podríamos poner para
instalar únicamente el cliente: “apt-get install nessus” y para instalar el servidor “apt-get
install nessusd”.

Lo que sí es importante y 100% esencial es la necesidad de disponer de los dos paquetes de
instalación para poder utilizar adecuadamente esta herramienta. Dicho esto, pasemos a ver el
modo de utilización.




     9
UTILIZACIÓN
Esta herramienta de testeo de webs, es muy sencilla e intuitiva a la hora de utilizarla. Una vez
tengamos instalado Nessus en Linux como servidor; nuestra máquina Windows hará las veces
de cliente por lo que para que podamos conectarnos perfectamente al servidor de Nessus
deberemos hacer lo siguiente:

    1- Nos desplazamos hasta la barra de direcciones de nuestro navegador web y en ella
       introducimos la dirección ip de nuestra máquina virtual Linux seguida de dos puntos
       8834.
       Lo que hacemos con esto es especificar al navegador a qué puerto tiene que
       conectarse para hacer una conexión exitosa con Nessus. Un ejemplo sería el siguiente:

                       192.168.1.20:8834

         En el ejemplo podemos apreciar nuestra dirección ip de la máquina Linux seguida de
         los dos puntos más el 8834 comentados anteriormente.

    2- Como el servidor requiere de una conexión segura, antes de la dirección ip deberemos
       poner https:// quedando nuestra barra de direcciones de la siguiente forma:
       https://192.168.1.20:8834.

    3- Una vez dentro de Nessus, seguramente nos aparezca un mensaje diciéndonos que no
       estamos utilizando una conexión segura. Ignoramos el mensaje y seguimos hacia
       adelante.

    4- Una vez dentro, nos solicitará un usuario y una contraseña. En este apartado
       deberemos introducir el usuario con el cuál estemos trabajando en Linux esté
       lanzando el servidor, seguido de su contraseña.

    5- Ya dentro de la aplicación, para lanzar un análisis de una página web cualquiera lo que
       deberemos hacer es pinchar en la pestaña que dice “Scans”. Pinchamos en “add”.
       Introducimos un nombre, el tipo lo dejamos en “run now” para que se ejecute el
       análisis ahora mismo, en la política seleccionamos “web app tests” y en las etiquetas
       ponemos la dirección de la página web a testear mismamente.

    6- Se lanzará el escaneo de la página web elegida. Esperaremos hasta que termine el
       escaneo y finalmente dispondremos de los fallos y errores acerca de esa página en
       concreto. O quizás no.




    10
WireShark
                                      Wireshark es una herramienta de las denominadas
                                      sniffers.

                                      Wireshark es una herramienta muy similar a la que
                                      hemos explicado anteriormente (WebScarab); sin
                                      embargo, Wireshark permite analizar el tráfico
                                      completo de una red mientras que WebScarab
                                      únicamente analiza los protocolos HTTP y HTTPS.

                                      Generalmente, estas herramientas son utilizadas para
                                      el análisis de protocolos y solucionar problemas en
                                      redes de comunicaciones.

                                        Para capturar paquetes directamente de la red, es
necesario tener permisos elevados, como por ejemplo ser administrador en Windows o
ejecutarlo como súper usuario en Linux.

Esta herramienta es un software libre y se puede instalar en una gran cantidad de sistemas
operativos Unix como por ejemplo Linux, Solaris y FreeBSD entre otros.

No obstante, esta herramienta también está disponible para sistemas operativos Windows así
como Mac OS X.




   11
INSTALACIÓN
La instalación de Wireshark en sistemas operativos Windows es muy sencillo; es básicamente
como cualquier otra instalación en Windows por lo que:

         1- Vamos a la web oficial de Wireshark: http://www.wireshark.org/



         2- Download Wireshark y seleccionamos Windows Installer. Dependiendo del
            sistema, puede ser de 64 o de 32 bits. Como ya hemos explicado al principio,
            nuestro sistema es de 64 bits por lo que elegiremos el instalador de 64 bits.



         3- Seguimos los pasos indicados en el asistente de instalación e instalamos sin
            problemas.



La instalación en Linux puede ser, quizás un poco más compleja ya que se necesita al menos un
limitado conocimiento acerca de los comandos de este sistema. Sin embargo, los pasos a
seguir para su instalación dentro de nuestra máquina virtual son muy sencillos. Para su
correcta instalación:

   1- Nos ponemos como root. Para ello: “su”.


   2- Una vez estemos como root. Escribimos lo siguiente: “apt-get install wireshark”.


   3- Instalación finalizada.




    12
UTILIZACION
El primer paso a la hora de utilizar Wireshark es seleccionar nuestra tarjeta de red que está
conectada y darle a “start”.

La herramienta empezará a analizar todo el tráfico de la red, y cuando digo todo, me refiero a
TODO. Paquetes, peticiones, protocolos… Para analizar un protocolo en concreto como puede
ser HTTP o HTTPS, mientras está lanzado el escaneo o testeo de la red (o cuando ya haya
terminado de escanear la red) podremos introducir dentro del cuadro de búsqueda la palabra
clave HTTP y la aplicación nos ofrecerá todo el tráfico HTTP que se haya producido o se esté
produciendo en nuestra red.

Si un ordenador está dentro de nuestra red, podemos analizar todo lo que está enviando y
recibiendo así como las direcciones de las que provienen las respuestas.

Esta herramienta está orientada sobre todo a los administradores de una empresa que quieran
controlar el tráfico de la red. Sin embargo también es muy peligroso para una empresa ya que
todo el tráfico de esa empresa viaja por la red sin ninguna clase de cifrado por lo que cualquier
persona que se haya podido conectar a la red de la empresa y tenga un sniffer, podría ver toda
la información que envían y reciben los ordenadores de la empresa.

Cuando está capturando el tráfico de la red podemos apreciar una serie de columnas. Dichas
columnas son:

    -    No.: muestra la posición en la que se realizó esa petición.
    -    Time: el tiempo que le ha llevado.
    -    Source: la dirección ip de la que proviene.
    -    Destination: la dirección a la que se dirige.
    -    Protocol: El protocolo que ha sido utilizado.
    -    Lenght: Longitud del tráfico.
    -    Info: información sobre la respuesta.

Finalmente, para parar la herramienta deberemos clicar en             que se sitúa arriba a la
izquierda junto con las opciones de “listar las interfaces disponibles”, “mostrar las opciones
capturadas”, “comenzar una captura nueva” y “reiniciar la captura”.




    13
14
Nmap
Esta herramienta se utiliza para descubrir servicios y servidores y para saber qué grado de
seguridad dispone un sistema informático. Nmap tiene más posibilidades que simplemente la
de descubrir servicios y servidores; entre
sus características podemos destacar:

   -    Descubrimiento de servidores.
   -    Identificación    de     puertos
        abiertos.
   -    Sabe los servicios que esté
        ejecutando el ordenador.
   -    Sabe que sistema operativo y
        versión está utilizando el
        ordenador.
   -    Puede adquirir características
        hardware limitadas sobre la
        máquina        que      estemos
        analizando.

Esta herramienta la podemos utilizar tanto en sistemas operativos GNU/Linux así como en
sistemas operativos Windows.

Nmap será instalado en este caso en una máquina Windows ya que resulta, quizás, menos
engorroso y más sencillo.




   15
INSTALACIÓN
Para realizar una correcta instalación seguiremos los pasos a continuación. Como hemos dicho
en la página anterior se llevará a cabo en una máquina Windows, sin embargo también la
podremos realizar en una maquina GNU/Linux sin ningún problema.

   1- Descargamos     el   ejecutable         desde    la    web     oficial   de     Nmap:
      http://nmap.org/download.html


   2- Ejecutamos el archivo descargado.


   3- Seguimos los pasos de la instalación.


   4- Finalmente nos dirá el asistente si queremos crear un acceso directo en el escritorio y
      en el menú de inicio.


   5- Ejecutamos la aplicación instalada.




   16
UTILIZACIÓN
Para empezar a utilizar Nmap tenemos que abrir la aplicación con un doble clic. A
continuación:

    1- Introducimos la web que deseemos escanear en el lugar denominado “Target”.



    2- Pinchamos en “Scan”.



    3- Empezará el escaneo de la página web introducida.




    17
EVALUACIÓN DE
VULNERABILIDADES.
Para analizar la página web utilizamos las herramientas anteriormente explicadas aunque
WireShark no nos sirviera realmente para analizar la página web. Por lo tanto, las herramientas
que utilizamos han sido Nmap y Nessus ya que WebScarab hace las veces de WireShark.

Así pues, las vulnerabilidades obtenidas con la herramienta Nessus fueron de lo más variadas y
variopintas. Nessus dio una serie de vulnerabilidades de distintos grados. Obtuvimos una
amenaza crítica, tres altas, cinco medias… Aunque la mayor parte de la web estaba bien
segura.

Analizando el informe que nos dio Nessus la vulnerabilidad crítica consistía en que no disponía
de una versión soportada por el lenguaje de programación. La solución que obtenemos por
parte de Nessus es actualizar la versión de PHP que está instalada.

De las vulnerabilidades críticas pasamos a las altas. En las altas podemos encontrar tres
bloques distintos; sin embargo, aunque estos bloques Nessus los procese por separado no
vienen a decir más que la versión de PHP está un poco desfasada y por lo tanto se describen
los posibles ataques que se pueden llevar a cabo contra esta web.

De entre estos ataques podemos destacar la posibilidad de atacar dicha página web mediante
el uso de consumo de la memoria, fallo repentino a causa de varias funcionalidades, exif.c
permite el ataque a la web a través del uso de la memoria de forma arbitraria.

El servidor remoto es vulnerable a inyección a HTML por medio de los puertos abiertos que
hemos analizado con Nmap. No obstante, aunque los puertos los analice de una forma más
extendida esta aplicación, con Nessus también podemos obtener una descripción bastante
bien detallada. Así pues, seguiremos analizando las vulnerabilidades que nos ha mostrado
Nessus y más adelante pasaremos a analizar los puertos de una forma más exhaustiva con la
herramienta Nmap.

La inyección por medio de SQL también se hace presente dentro de las vulnerabilidades altas;
más concretamente, Nessus nos dice que cuando ha intentado importar una serie de variables,
ha dado una clase de error y que al estar SQL débil, es más sencillo atacar mediante inyección
SQL.

Nessus nos dice también que a causa de un error con “sapi/cgi/cgi_main.c” un atacante podría
obtener el código de origen de PHP desde el servidor web. La solución que nos da Nessus es
actualizar PHP a su última versión.

Una vez hemos analizado ya las vulnerabilidades altas y las vulnerabilidades críticas, pasemos a
analizar las vulnerabilidades que se encuentran en el medio del análisis y que aunque no sean
muy importantes conviene mantenerlas al día y bien actualizadas. Una de estas
vulnerabilidades hace referencia a XSS; más concretamente que un atacante podría utilizar
mediante HTML y scripts el navegador de un usuario. La solución a este fallo es actualizar o
contactar con el desarrollador de ese software si la amenaza sigue persistiendo.


    18
Un atacante podría también usar un software java malicioso para dañar la página ya que los
scripts CGI fallan a la hora de utilizar un JavaScript malicioso. También nos muestra una
vulnerabilidad con respecto a las inyecciones IFRAME. Para solucionar estas dos incidencias lo
que deberíamos hacer es restringir el acceso a aplicaciones vulnerables (o que provengan de
sitios sin certificación, es decir, que no sean de confianza), actualizar o contactar con el
vendedor.

PHP está configurado en el servidor remoto de tal forma que un atacante podría hacerse con
mucha información sensible gracias al empleo de una URL (o varias) en concreto. Como por
ejemplo el desencadenamiento de URLS o la utilización de los Huevos de Pascua construidos
en PHP. Podemos hacer frente a este problema accediendo a la configuración de PHP y en
“php.ini”, en “expose_php” lo deberíamos de poner en “off”. Para que los cambios surjan
efecto deberemos reiniciar la red.

Con la finalidad de evitar bugs, existen tutoriales a disposición de la gente que los solicite que
dicen que tienes que llamar a la función PHP “phpinfo()”. Con esto lo que se hace es que,
accediendo por ejemplo a un archivo de los que este tutorial presenta, un atacante puede
descubrir un montón de información sobre el servidor web remoto. Por ejemplo: el usuario
que instaló PHP y si es administrador o no, la dirección IP del host, la versión del sistema
operativo, la versión del servidor web e información acerca de la instalación remota de PHP.
Para poder solucionar lo anteriormente descrito, debemos eliminar lo mencionado.

La última vulnerabilidad de grado medio está relacionada con el uso de JavaScript que es
exactamente lo mismo que hemos comentado unos párrafos más arriba. La solución al
JavaScript malicioso es contactar con el proveedor para un parche o actualizar la versión.

Con esta última vulnerabilidad terminamos las amenazas críticas, altas y medias; también
existen aquellas vulnerabilidades que son de menor grado pero que sin embargo no vamos a
hacer mayor hincapié ya que no son maliciosas ni dañinas en absoluto para el sistema.

En cuanto a la detección de puertos mediante la herramienta Nmap no podemos sacar gran
cosa. Esta herramienta nos dice que la página web tiene un puerto cerrado y otro puerto
abierto; estos puertos son el 80 y el 443, que hacen referencia a http y https respectivamente.

El puerto que nos dice que está cerrado es el 443, es decir, la conexión https. Por lo tanto será
improbable llegar a hacer una conexión segura por medio de este puerto ya que no está
disponible.

Por otro lado el puerto que está abierto es el correspondiente a http, es decir, el puerto 80. A
través de este puerto podremos conectarnos a la web que a continuación describiremos.

La conclusión a la que podemos llegar teniendo en cuenta todas las herramientas que hemos
utilizado es que la web presenta una serie de vulnerabilidades a través de las cuales podemos
llegar a interferir en el funcionamiento del servidor. Para solucionar el problema de las
vulnerabilidades deberemos actualizar las versiones en las cuales nos ha dado error o alguna
clase de problemas. No obstante, aunque las herramientas nos hayan dado esta serie de
errores, la web puede funcionar perfectamente aunque con el riesgo correspondiente que
hemos descrito anteriormente.



    19
WEB ELEGIDA
La web que se ha elegido ha sido
http://markosweb.com ya que presentan las
vulnerabilidades que a continuación se muestran.
Así pues, podemos destacar una serie de
vulnerabilidades muy perjudiciales para la
seguridad de dicha web como por ejemplo
vulnerabilidades críticas y altas relacionadas con
el uso del PHP y otras tantas de grado medio.

Aunque no sea relevante, y apenas proceda con la
evaluación; esta web ofrece una serie de servicios
más o menos informáticos como por ejemplo la
puntación SEO, monitoreo de sitios web, análisis
de los progresos del sitio, detectar secretos web y
tendencias ocultas, supervisión del rendimiento,
sitio seguro contra phising y malware y una
supervisión de la salud global del sitio web en
cuestión.




    20

More Related Content

What's hot (17)

Herramientas
HerramientasHerramientas
Herramientas
 
Elastix lab uece-book-esp
Elastix  lab uece-book-espElastix  lab uece-book-esp
Elastix lab uece-book-esp
 
Phishing
PhishingPhishing
Phishing
 
fases de instalación de un sistema operativo
fases de instalación de un sistema operativofases de instalación de un sistema operativo
fases de instalación de un sistema operativo
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Elastix lab ect-book-esp
Elastix  lab ect-book-espElastix  lab ect-book-esp
Elastix lab ect-book-esp
 
Elastix slide book-ect(1)
Elastix  slide book-ect(1)Elastix  slide book-ect(1)
Elastix slide book-ect(1)
 
Elastix slide book-ece
Elastix  slide book-eceElastix  slide book-ece
Elastix slide book-ece
 
LAS FASES DE UN SISTEMA OPERATIVO
LAS FASES DE UN SISTEMA OPERATIVO LAS FASES DE UN SISTEMA OPERATIVO
LAS FASES DE UN SISTEMA OPERATIVO
 
Maquinas virtuales
Maquinas  virtualesMaquinas  virtuales
Maquinas virtuales
 
Trabajo
TrabajoTrabajo
Trabajo
 
Elx1 o1 lab1-instalacion de elastix
Elx1 o1 lab1-instalacion de elastixElx1 o1 lab1-instalacion de elastix
Elx1 o1 lab1-instalacion de elastix
 
Que es una máquina virtual
Que es una máquina virtualQue es una máquina virtual
Que es una máquina virtual
 
Maquinas virtiuales
Maquinas virtiualesMaquinas virtiuales
Maquinas virtiuales
 
FASES DE INSTALACION DE UN SISTEMA OPERATIVO
FASES DE INSTALACION DE UN SISTEMA OPERATIVOFASES DE INSTALACION DE UN SISTEMA OPERATIVO
FASES DE INSTALACION DE UN SISTEMA OPERATIVO
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Elastix lab ece-book-esp
Elastix  lab ece-book-espElastix  lab ece-book-esp
Elastix lab ece-book-esp
 

Viewers also liked

005 coordenadas rectangulares
005 coordenadas rectangulares005 coordenadas rectangulares
005 coordenadas rectangularesJefferson Antamba
 
Línea del tiempo
Línea del tiempoLínea del tiempo
Línea del tiemporosivega
 
Sistemas operativos distribuidos.
Sistemas operativos distribuidos.Sistemas operativos distribuidos.
Sistemas operativos distribuidos.scorpion_esab
 
Sentencia absorcionantigüedad
Sentencia absorcionantigüedadSentencia absorcionantigüedad
Sentencia absorcionantigüedadCgt Avanade Malaga
 
Energías renovables
Energías renovablesEnergías renovables
Energías renovablesChiquiPollo
 
Sesion 9
Sesion 9Sesion 9
Sesion 9stv1214
 
Que es la tecnica
Que es la tecnicaQue es la tecnica
Que es la tecnicamimivillar
 
Anteproyecto de investigación doctoral copia
Anteproyecto de investigación doctoral   copiaAnteproyecto de investigación doctoral   copia
Anteproyecto de investigación doctoral copiaMajinRuiz63
 
Química2 bach 6.2 fundamentos de la termodinámica
Química2 bach 6.2 fundamentos de la termodinámicaQuímica2 bach 6.2 fundamentos de la termodinámica
Química2 bach 6.2 fundamentos de la termodinámicaTarpafar
 
Presentación sobre Gerena
Presentación sobre GerenaPresentación sobre Gerena
Presentación sobre GerenaJuanle25
 
Fisica2 bach 5.6 lentes delgadas
Fisica2 bach 5.6 lentes delgadasFisica2 bach 5.6 lentes delgadas
Fisica2 bach 5.6 lentes delgadasTarpafar
 
La familia microempresaria y sus necesidades de crédito
La familia microempresaria y sus necesidades de créditoLa familia microempresaria y sus necesidades de crédito
La familia microempresaria y sus necesidades de créditoFredis Pereira
 
Manejo contable
Manejo contableManejo contable
Manejo contabledloacon
 

Viewers also liked (20)

005 coordenadas rectangulares
005 coordenadas rectangulares005 coordenadas rectangulares
005 coordenadas rectangulares
 
Tema 11
Tema 11Tema 11
Tema 11
 
Línea del tiempo
Línea del tiempoLínea del tiempo
Línea del tiempo
 
Sistemas operativos distribuidos.
Sistemas operativos distribuidos.Sistemas operativos distribuidos.
Sistemas operativos distribuidos.
 
Sentencia absorcionantigüedad
Sentencia absorcionantigüedadSentencia absorcionantigüedad
Sentencia absorcionantigüedad
 
Energías renovables
Energías renovablesEnergías renovables
Energías renovables
 
Sesion 9
Sesion 9Sesion 9
Sesion 9
 
Que es la tecnica
Que es la tecnicaQue es la tecnica
Que es la tecnica
 
Anteproyecto de investigación doctoral copia
Anteproyecto de investigación doctoral   copiaAnteproyecto de investigación doctoral   copia
Anteproyecto de investigación doctoral copia
 
Química2 bach 6.2 fundamentos de la termodinámica
Química2 bach 6.2 fundamentos de la termodinámicaQuímica2 bach 6.2 fundamentos de la termodinámica
Química2 bach 6.2 fundamentos de la termodinámica
 
Culturadigital mayo22del 2012convertido
Culturadigital mayo22del 2012convertidoCulturadigital mayo22del 2012convertido
Culturadigital mayo22del 2012convertido
 
Presentación sobre Gerena
Presentación sobre GerenaPresentación sobre Gerena
Presentación sobre Gerena
 
El turismo en el cuyo2
El turismo en el cuyo2El turismo en el cuyo2
El turismo en el cuyo2
 
House t 2014
House t 2014House t 2014
House t 2014
 
Etica para amador filosofia
Etica para amador filosofiaEtica para amador filosofia
Etica para amador filosofia
 
Fisica2 bach 5.6 lentes delgadas
Fisica2 bach 5.6 lentes delgadasFisica2 bach 5.6 lentes delgadas
Fisica2 bach 5.6 lentes delgadas
 
La familia microempresaria y sus necesidades de crédito
La familia microempresaria y sus necesidades de créditoLa familia microempresaria y sus necesidades de crédito
La familia microempresaria y sus necesidades de crédito
 
Manejo contable
Manejo contableManejo contable
Manejo contable
 
Clinica de la_vida
Clinica de la_vidaClinica de la_vida
Clinica de la_vida
 
proyecto de grado
proyecto de gradoproyecto de grado
proyecto de grado
 

Similar to Auditoria de Seguridad Informatica

presentación de sistemas operativos
presentación de sistemas operativos presentación de sistemas operativos
presentación de sistemas operativos EDiith Palafox
 
Instalación KOHA: desarrollo, requerimientos y configuración
Instalación KOHA: desarrollo, requerimientos y configuraciónInstalación KOHA: desarrollo, requerimientos y configuración
Instalación KOHA: desarrollo, requerimientos y configuraciónSocialBiblio
 
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIE
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIEVIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIE
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIEmiranda torres
 
Como instalar un Sistema Operativo "Debían"
Como instalar un Sistema  Operativo "Debían"Como instalar un Sistema  Operativo "Debían"
Como instalar un Sistema Operativo "Debían"Nestor Navarro Vazquez
 
Manual de usuario configuración de windows server inac grupo 4
Manual de usuario configuración de windows server inac grupo 4Manual de usuario configuración de windows server inac grupo 4
Manual de usuario configuración de windows server inac grupo 4DIEGOGUERREROCUELLAR
 
VIRTUALIZAR MEDIANTE SANDBOXIE EL LINUX
VIRTUALIZAR MEDIANTE SANDBOXIE EL  LINUXVIRTUALIZAR MEDIANTE SANDBOXIE EL  LINUX
VIRTUALIZAR MEDIANTE SANDBOXIE EL LINUXDa Gonzalez
 
1 sistemas operativo
1 sistemas operativo1 sistemas operativo
1 sistemas operativoraphel19
 
maquina virtual
 maquina virtual maquina virtual
maquina virtualSkater Jey
 
APLICACIONES SERVIDOR WEB
APLICACIONES SERVIDOR WEBAPLICACIONES SERVIDOR WEB
APLICACIONES SERVIDOR WEBIvanmer15
 
Temario java web_j2_ee_02
Temario java web_j2_ee_02Temario java web_j2_ee_02
Temario java web_j2_ee_02anyeni
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOAnyeni Garay
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOanyeni
 
Temario java web_j2_ee_02
Temario java web_j2_ee_02Temario java web_j2_ee_02
Temario java web_j2_ee_02anyeni
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOanyeni
 
Servidor WEB
Servidor WEBServidor WEB
Servidor WEBLenidav
 

Similar to Auditoria de Seguridad Informatica (20)

COMO INSTALAR MySQL EN LINUX
COMO INSTALAR  MySQL EN LINUXCOMO INSTALAR  MySQL EN LINUX
COMO INSTALAR MySQL EN LINUX
 
Plantilla fase2
Plantilla fase2Plantilla fase2
Plantilla fase2
 
Sistema Operativo
Sistema OperativoSistema Operativo
Sistema Operativo
 
presentación de sistemas operativos
presentación de sistemas operativos presentación de sistemas operativos
presentación de sistemas operativos
 
SERVIDOR WEB PARA LINUX
SERVIDOR WEB PARA LINUXSERVIDOR WEB PARA LINUX
SERVIDOR WEB PARA LINUX
 
Instalación KOHA: desarrollo, requerimientos y configuración
Instalación KOHA: desarrollo, requerimientos y configuraciónInstalación KOHA: desarrollo, requerimientos y configuración
Instalación KOHA: desarrollo, requerimientos y configuración
 
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIE
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIEVIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIE
VIRTUALIZACIÓN DEL SISTEMA OPERATIVO LINUX MEDIANTE LA MÁQUINA VIRTUAL SANDBOXIE
 
Como instalar un Sistema Operativo "Debían"
Como instalar un Sistema  Operativo "Debían"Como instalar un Sistema  Operativo "Debían"
Como instalar un Sistema Operativo "Debían"
 
Manual de usuario configuración de windows server inac grupo 4
Manual de usuario configuración de windows server inac grupo 4Manual de usuario configuración de windows server inac grupo 4
Manual de usuario configuración de windows server inac grupo 4
 
VIRTUALIZAR MEDIANTE SANDBOXIE EL LINUX
VIRTUALIZAR MEDIANTE SANDBOXIE EL  LINUXVIRTUALIZAR MEDIANTE SANDBOXIE EL  LINUX
VIRTUALIZAR MEDIANTE SANDBOXIE EL LINUX
 
TAREA 2
TAREA 2TAREA 2
TAREA 2
 
1 sistemas operativo
1 sistemas operativo1 sistemas operativo
1 sistemas operativo
 
maquina virtual
 maquina virtual maquina virtual
maquina virtual
 
APLICACIONES SERVIDOR WEB
APLICACIONES SERVIDOR WEBAPLICACIONES SERVIDOR WEB
APLICACIONES SERVIDOR WEB
 
Temario java web_j2_ee_02
Temario java web_j2_ee_02Temario java web_j2_ee_02
Temario java web_j2_ee_02
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLO
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLO
 
Temario java web_j2_ee_02
Temario java web_j2_ee_02Temario java web_j2_ee_02
Temario java web_j2_ee_02
 
TEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLOTEMA Nº 2: ENTORNO DE DESARROLLO
TEMA Nº 2: ENTORNO DE DESARROLLO
 
Servidor WEB
Servidor WEBServidor WEB
Servidor WEB
 

Recently uploaded

TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Taller de tecnología conclucion tonotoss
Taller de tecnología conclucion tonotossTaller de tecnología conclucion tonotoss
Taller de tecnología conclucion tonotossgijhonpa
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Calculadora cientifica corregida para enviar.docx
Calculadora cientifica  corregida para enviar.docxCalculadora cientifica  corregida para enviar.docx
Calculadora cientifica corregida para enviar.docxzoecaicedosalazar
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu softwareFrancisco Javier Barrena
 
Trabajo de Electricidad y Electrónica grado 10-3
Trabajo de Electricidad y Electrónica grado 10-3Trabajo de Electricidad y Electrónica grado 10-3
Trabajo de Electricidad y Electrónica grado 10-3wwwcuentanuevacom
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Trabajo de La Electricidad y La Electrónica
Trabajo de La Electricidad y La ElectrónicaTrabajo de La Electricidad y La Electrónica
Trabajo de La Electricidad y La ElectrónicaCamilaCordoba30
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
TRABAJO EN GRUPO.pdf tecnología décimo :)
TRABAJO EN GRUPO.pdf tecnología décimo :)TRABAJO EN GRUPO.pdf tecnología décimo :)
TRABAJO EN GRUPO.pdf tecnología décimo :)edepjuanorozco
 
PPT de introducción a la unidad 1 de 5 Basico.pptx
PPT de introducción a la unidad 1 de 5 Basico.pptxPPT de introducción a la unidad 1 de 5 Basico.pptx
PPT de introducción a la unidad 1 de 5 Basico.pptxProfeVivianaRS
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
taller de la electricidad y electrónica
taller de  la electricidad y electrónicataller de  la electricidad y electrónica
taller de la electricidad y electrónicaErickAlegria3
 
La Electricidad y La Electrónica por el grado 10-5
La Electricidad y La Electrónica por el grado 10-5La Electricidad y La Electrónica por el grado 10-5
La Electricidad y La Electrónica por el grado 10-5CamilaCordoba30
 

Recently uploaded (20)

TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Taller de tecnología conclucion tonotoss
Taller de tecnología conclucion tonotossTaller de tecnología conclucion tonotoss
Taller de tecnología conclucion tonotoss
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Calculadora cientifica corregida para enviar.docx
Calculadora cientifica  corregida para enviar.docxCalculadora cientifica  corregida para enviar.docx
Calculadora cientifica corregida para enviar.docx
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
 
Trabajo de Electricidad y Electrónica grado 10-3
Trabajo de Electricidad y Electrónica grado 10-3Trabajo de Electricidad y Electrónica grado 10-3
Trabajo de Electricidad y Electrónica grado 10-3
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Trabajo de La Electricidad y La Electrónica
Trabajo de La Electricidad y La ElectrónicaTrabajo de La Electricidad y La Electrónica
Trabajo de La Electricidad y La Electrónica
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
TRABAJO EN GRUPO.pdf tecnología décimo :)
TRABAJO EN GRUPO.pdf tecnología décimo :)TRABAJO EN GRUPO.pdf tecnología décimo :)
TRABAJO EN GRUPO.pdf tecnología décimo :)
 
PPT de introducción a la unidad 1 de 5 Basico.pptx
PPT de introducción a la unidad 1 de 5 Basico.pptxPPT de introducción a la unidad 1 de 5 Basico.pptx
PPT de introducción a la unidad 1 de 5 Basico.pptx
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
taller de la electricidad y electrónica
taller de  la electricidad y electrónicataller de  la electricidad y electrónica
taller de la electricidad y electrónica
 
La Electricidad y La Electrónica por el grado 10-5
La Electricidad y La Electrónica por el grado 10-5La Electricidad y La Electrónica por el grado 10-5
La Electricidad y La Electrónica por el grado 10-5
 

Auditoria de Seguridad Informatica

  • 1. Auditoría de Seguridad SEGAL 08/11/2012
  • 2. ÍNDICE: Entorno:……………………………………………………………………………..………………………………………3 Introducción:………………………………………………………………………………………………………………4 WebScarab:………………………………………………………………………………………………………………..5 Instalación:…….…………………………………………………………………………………………………6 Utilización:……………………………………………………………………………………………….……….7 Nessus:…………………..……………………………………………………………………………………………..…..8 Instalación:…….…………………………………………………………………………………………….…..9 Utilización:……………………………………………………………………………………………………….………..10 Wireshark:…………………………………………………………………………………………………….…………..11 Instalación:…….…………………………………………………………………………………….…………12 Utilización:………………………………………………………………………………………………………13 Nmap:……………….………………………………………………………………………………………….…………..15 Instalación:…….…………………………………………………………………………………….…………16 Utilización:………………………………………………………………………………………………………17 Detección, comprobación y evaluación de vulnerabilidades……………………………………….18 Web Elegida:….…………………………………………………………………………………………..………………20 2
  • 3. ENTORNO El empleo de las herramientas se desarrollará en diversos entornos como pueden ser Windows y Linux que son con los que habitualmente trabajamos y los más extendidos sin tener en cuenta los sistemas operativos de Apple. La máquina Windows en la que trabajamos es un Sistema Operativo de 64 bits, dispone de un procesador Intel Core i3 a 2.4 GHz y dispone una memoria RAM de 4.00Gb. El sistema operativo es una versión estable; por lo que en un principio a la hora de instalar las herramientas no debería de dar ninguna clase de problema. Sin embargo, hay muchas de las herramientas que mencionamos más adelante que no están disponibles para entornos Windows y por lo tanto su instalación se llevará a cabo en máquinas Linux. Así pues, las máquinas Linux de las que disponemos son máquinas virtuales construidas en el sistema operativo Windows nombrado unas líneas atrás. La distribución de Linux empleada es la denominada Debian. Es una distribución que carece de entorno gráfico y que por lo tanto consume menos recursos de nuestra máquina real. No obstante, nuestra máquina virtual dispone de una memoria RAM de 512Mb, un procesador virtual que adquiere parte del físico sin consumir demasiado y un disco duro de 8GB (suficiente para trabajar con nuestras herramientas). Por lo tanto, podemos decir que disponemos de una máquina real Windows y una máquina virtual Debian en la que llevaremos a cabo todas las instalaciones de las herramientas de seguridad. Aunque, sin embargo, la mayor parte de las herramientas las instalaremos en Windows en lugar de Linux. 3
  • 4. INTRODUCCIÓN El presente documento trata sobre una auditoría de seguridad. Dicho documento contendrá un análisis de seguridad sobre una página web específica con la resolución de posibles fallos y errores con las herramientas introducidas en un documento PDF ofrecido en clase. Las auditorías de seguridad informática nos dejan conocer en el momento de su realización cuál es la situación exacta en cuanto a la protección, medidas y control de un sistema informático. Estas herramientas procederán a darnos una solución a los problemas de la página web elegida así como un exhausto análisis de seguridad el cual adjuntaremos en este documento. No obstante, se adjuntarán los pasos necesarios para la correcta instalación de las herramientas elegidas y el procedimiento sobre cómo utilizarlas. Así pues, las herramientas empleadas serán un total de entre 5 y 10. Entre de las cuales podríamos destacar Nessus, WebScarab, Nmap y Rkhunter, entre otras. La decisión acerca de la instalación de las herramientas sobre una máquina Windows en lugar de una con entorno GNU/Linux es muy simple de explicar. Podría empezar diciendo que la interfaz gráfica de Windows requiere menos complejidad y desgraciada o afortunadamente (depende de la persona) menos conocimientos acerca del sistema operativo en cuestión. Sin embargo, las instalaciones posibles las vamos a realizar en entornos Windows ya que así nos privamos de encender una máquina virtual Linux después de encender la máquina real Windows. Sobre todo es por comodidad, aunque en la instalación de las aplicaciones o herramientas, se explicará cómo instalarlo en cualquiera de las dos máquinas por lo que si alguien quisiera realizarlo en una máquina con sistema operativo Linux podría hacerlo perfectamente. La intención ha sido desde un primer momento instalar al menos 5 herramientas de detección de vulnerabilidades, pero el tiempo aprieta y nos hemos visto acorralados por él. Es por ello que en este documento solamente se explicará la instalación y utilización de tres de las herramientas aunque en un principio en el índice hubiera puesto 5 al menos. Dichas herramientas de evaluación de vulnerabilidades serán las más importantes: Nessus, WebScarab y Nmap. 4
  • 5. WebScarab WebScarab es una herramienta basada en java que permite analizar las conexiones HTTP y HTTPS que se realicen en una red. Podríamos hacer una comparación con las funcionalidades que ofrecen diversos sniffers como es el caso de Whireshark, con la única diferencia de que en WebScarab analiza el tráfico de internet, como hemos mencionado anteriormente, HTTP y HTTPS, mientras que los sniffers son bastante más completos analizando más que solo el tráfico de la red. Esta herramienta de testeo web, actúa como un proxy que intercepta al navegador web, y con ello las peticiones que hace, así como las respuestas que devuelve. Como hemos visto durante el curso, un proxy es una máquina que se sitúa entre dos ordenadores con la finalidad de que el ordenador de destino no sepa el origen del mensaje por diversos motivos como seguridad o anonimato. 5
  • 6. INSTALACIÓN La instalación de esta herramienta se puede realizar tanto en sistemas operativos Linux como en Windows. La que procederemos a explicar es en torno a un sistema operativo Windows. 1- Visitar http://sourceforge.net/projects/owasp/files/WebScarab/ 2- Pinchamos en donde pone: 20070504-1631 3- Seleccionamos: webscarab-installer-20070504-1631.jar y descargamos el instalador en java. 4- Doble clic. Seguimos los pasos. NOTA: Si no tenemos Java instalado podemos instalarlo entrando a: http://www.oracle.com/technetwork/java/javase/downloads/jdk7u9-downloads- 1859576.html y seleccionamos el “jdk” que nos convenga. Seguimos los pasos de la instalación. La instalación en Linux presenta una similitud con la instalación realizada en Windows ya que, como es una herramienta basada en java; necesitaremos disponer de Java en nuestro sistema operativo. A continuación procedemos a la instalación de WebScarab en Linux: 1- Vamos a la página oficial de descarga: http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/ 2- Descargamos la el archivo con extensión .jar 3- Pasamos nuestro fichero “.jar” a la máquina Linux correspondiente y lo dejamos en un directorio como por ejemplo /home/alain mediante la utilización de WinSCP. 4- Ejecutamos el siguiente comando dentro de /home/alain: “java -jar ./webscarab-installer-20070504-1631.jar” ***NOTA*** Probablemente nos dé un fallo con el proxy. Para ello deberemos ir a opciones de internet de nuestro navegador y cambiar la configuración del proxy por la siguiente: Proxy HTTP: localhost:8008 Proxy SSL: localhost:8008 6
  • 7. UTILIZACIÓN Bien, ahora que sabemos para qué se utiliza y cómo se instala WebScarab, necesitaremos aprender cómo utilizar esta herramienta. Para empezar a utilizar esta herramienta deberemos iniciarla con un doble clic en Windows y se nos abrirá la interfaz de WebScarab. Para empezar a interceptar los paquetes HTTP y HTTPS deberemos configurar dicha herramienta como proxy. Para ello deberemos ir a nuestro navegador (Internet Exporer), pinchamos en herramientas, opciones de internet; nos situamos en la pestaña denominada conexiones y en configuración de LAN seleccionamos “Usar un Proxy para la LAN”. Introducimos localhost y el puerto 8008. Con estas opciones lo que hacemos es que toda la información que reciba o envíe nuestra máquina tenga que pasar obligatoriamente por el proxy, que en este caso es WebScarab. Una vez tengamos esas opciones configuradas correctamente para una buena utilización de la herramienta deberemos abrir las páginas que queramos y mientras vamos navegando por las páginas, automáticamente la herramienta mostrará el tráfico que estemos generando así como darnos la opción de seguir adelante, cancelar la operación o abortar todo. Una vez paremos de navegar por la red, WebSacarab para automáticamente. 7
  • 8. NESSUS Nessus es una herramienta que investiga las direcciones web que le demos nosotros y hace una evaluación de dicha página web. Esta herramienta es una de las herramientas más famosas en torno a los sistemas operativos Linux, entre las que analizan y evalúan vulnerabilidades. Podríamos decir que Nessus se divide en “nessusd” (demonio que realiza el escaneo) y “nessus” (cliente que muestra al usuario el estado de los escaneos y el avance del análisis). Si se desea, los escaneos pueden ser extraídos en diversos formatos. Adjuntaremos uno de estos documentos sobre la analítica de la página web escogida para la realización de este trabajo. 8
  • 9. INSTALACIÓN Como hemos comentado anteriormente, Nessus es una herramienta disponible para sistemas operativos Linux, y por lo tanto la instalación se deberá realizar en una de las muchas distribuciones que existen para este entorno. Nuestra máquina elegida ha sido Debian, máquina que utilizamos para trabajar diariamente en clase. NOTA: La instalación se llevará a cabo en una máquina virtual que no dispone de entorno gráfico y que por lo tanto se realizará mediante el uso de comandos. La instalación se realizará como root. 1- Entramos a nuestra máquina y nos ponemos como root para realizar la instalación. 2- ***Tecleamos: “apt-get install nessus nessusd”*** 3- Tecleamos: “nessus-adduser” para crear un nuevo usuario para Nessus. 4- Ponemos en marcha el servidor: “nessusd” ***NOTA*** Nessus instala el cliente mientras que nessusd instala el servidor. Quizás se diese el caso de querer instalar únicamente el servidor (o el cliente) por lo que no es estrictamente necesario escribir la forma de instalación tal y como hemos mencionado, sino que podríamos poner para instalar únicamente el cliente: “apt-get install nessus” y para instalar el servidor “apt-get install nessusd”. Lo que sí es importante y 100% esencial es la necesidad de disponer de los dos paquetes de instalación para poder utilizar adecuadamente esta herramienta. Dicho esto, pasemos a ver el modo de utilización. 9
  • 10. UTILIZACIÓN Esta herramienta de testeo de webs, es muy sencilla e intuitiva a la hora de utilizarla. Una vez tengamos instalado Nessus en Linux como servidor; nuestra máquina Windows hará las veces de cliente por lo que para que podamos conectarnos perfectamente al servidor de Nessus deberemos hacer lo siguiente: 1- Nos desplazamos hasta la barra de direcciones de nuestro navegador web y en ella introducimos la dirección ip de nuestra máquina virtual Linux seguida de dos puntos 8834. Lo que hacemos con esto es especificar al navegador a qué puerto tiene que conectarse para hacer una conexión exitosa con Nessus. Un ejemplo sería el siguiente: 192.168.1.20:8834 En el ejemplo podemos apreciar nuestra dirección ip de la máquina Linux seguida de los dos puntos más el 8834 comentados anteriormente. 2- Como el servidor requiere de una conexión segura, antes de la dirección ip deberemos poner https:// quedando nuestra barra de direcciones de la siguiente forma: https://192.168.1.20:8834. 3- Una vez dentro de Nessus, seguramente nos aparezca un mensaje diciéndonos que no estamos utilizando una conexión segura. Ignoramos el mensaje y seguimos hacia adelante. 4- Una vez dentro, nos solicitará un usuario y una contraseña. En este apartado deberemos introducir el usuario con el cuál estemos trabajando en Linux esté lanzando el servidor, seguido de su contraseña. 5- Ya dentro de la aplicación, para lanzar un análisis de una página web cualquiera lo que deberemos hacer es pinchar en la pestaña que dice “Scans”. Pinchamos en “add”. Introducimos un nombre, el tipo lo dejamos en “run now” para que se ejecute el análisis ahora mismo, en la política seleccionamos “web app tests” y en las etiquetas ponemos la dirección de la página web a testear mismamente. 6- Se lanzará el escaneo de la página web elegida. Esperaremos hasta que termine el escaneo y finalmente dispondremos de los fallos y errores acerca de esa página en concreto. O quizás no. 10
  • 11. WireShark Wireshark es una herramienta de las denominadas sniffers. Wireshark es una herramienta muy similar a la que hemos explicado anteriormente (WebScarab); sin embargo, Wireshark permite analizar el tráfico completo de una red mientras que WebScarab únicamente analiza los protocolos HTTP y HTTPS. Generalmente, estas herramientas son utilizadas para el análisis de protocolos y solucionar problemas en redes de comunicaciones. Para capturar paquetes directamente de la red, es necesario tener permisos elevados, como por ejemplo ser administrador en Windows o ejecutarlo como súper usuario en Linux. Esta herramienta es un software libre y se puede instalar en una gran cantidad de sistemas operativos Unix como por ejemplo Linux, Solaris y FreeBSD entre otros. No obstante, esta herramienta también está disponible para sistemas operativos Windows así como Mac OS X. 11
  • 12. INSTALACIÓN La instalación de Wireshark en sistemas operativos Windows es muy sencillo; es básicamente como cualquier otra instalación en Windows por lo que: 1- Vamos a la web oficial de Wireshark: http://www.wireshark.org/ 2- Download Wireshark y seleccionamos Windows Installer. Dependiendo del sistema, puede ser de 64 o de 32 bits. Como ya hemos explicado al principio, nuestro sistema es de 64 bits por lo que elegiremos el instalador de 64 bits. 3- Seguimos los pasos indicados en el asistente de instalación e instalamos sin problemas. La instalación en Linux puede ser, quizás un poco más compleja ya que se necesita al menos un limitado conocimiento acerca de los comandos de este sistema. Sin embargo, los pasos a seguir para su instalación dentro de nuestra máquina virtual son muy sencillos. Para su correcta instalación: 1- Nos ponemos como root. Para ello: “su”. 2- Una vez estemos como root. Escribimos lo siguiente: “apt-get install wireshark”. 3- Instalación finalizada. 12
  • 13. UTILIZACION El primer paso a la hora de utilizar Wireshark es seleccionar nuestra tarjeta de red que está conectada y darle a “start”. La herramienta empezará a analizar todo el tráfico de la red, y cuando digo todo, me refiero a TODO. Paquetes, peticiones, protocolos… Para analizar un protocolo en concreto como puede ser HTTP o HTTPS, mientras está lanzado el escaneo o testeo de la red (o cuando ya haya terminado de escanear la red) podremos introducir dentro del cuadro de búsqueda la palabra clave HTTP y la aplicación nos ofrecerá todo el tráfico HTTP que se haya producido o se esté produciendo en nuestra red. Si un ordenador está dentro de nuestra red, podemos analizar todo lo que está enviando y recibiendo así como las direcciones de las que provienen las respuestas. Esta herramienta está orientada sobre todo a los administradores de una empresa que quieran controlar el tráfico de la red. Sin embargo también es muy peligroso para una empresa ya que todo el tráfico de esa empresa viaja por la red sin ninguna clase de cifrado por lo que cualquier persona que se haya podido conectar a la red de la empresa y tenga un sniffer, podría ver toda la información que envían y reciben los ordenadores de la empresa. Cuando está capturando el tráfico de la red podemos apreciar una serie de columnas. Dichas columnas son: - No.: muestra la posición en la que se realizó esa petición. - Time: el tiempo que le ha llevado. - Source: la dirección ip de la que proviene. - Destination: la dirección a la que se dirige. - Protocol: El protocolo que ha sido utilizado. - Lenght: Longitud del tráfico. - Info: información sobre la respuesta. Finalmente, para parar la herramienta deberemos clicar en que se sitúa arriba a la izquierda junto con las opciones de “listar las interfaces disponibles”, “mostrar las opciones capturadas”, “comenzar una captura nueva” y “reiniciar la captura”. 13
  • 14. 14
  • 15. Nmap Esta herramienta se utiliza para descubrir servicios y servidores y para saber qué grado de seguridad dispone un sistema informático. Nmap tiene más posibilidades que simplemente la de descubrir servicios y servidores; entre sus características podemos destacar: - Descubrimiento de servidores. - Identificación de puertos abiertos. - Sabe los servicios que esté ejecutando el ordenador. - Sabe que sistema operativo y versión está utilizando el ordenador. - Puede adquirir características hardware limitadas sobre la máquina que estemos analizando. Esta herramienta la podemos utilizar tanto en sistemas operativos GNU/Linux así como en sistemas operativos Windows. Nmap será instalado en este caso en una máquina Windows ya que resulta, quizás, menos engorroso y más sencillo. 15
  • 16. INSTALACIÓN Para realizar una correcta instalación seguiremos los pasos a continuación. Como hemos dicho en la página anterior se llevará a cabo en una máquina Windows, sin embargo también la podremos realizar en una maquina GNU/Linux sin ningún problema. 1- Descargamos el ejecutable desde la web oficial de Nmap: http://nmap.org/download.html 2- Ejecutamos el archivo descargado. 3- Seguimos los pasos de la instalación. 4- Finalmente nos dirá el asistente si queremos crear un acceso directo en el escritorio y en el menú de inicio. 5- Ejecutamos la aplicación instalada. 16
  • 17. UTILIZACIÓN Para empezar a utilizar Nmap tenemos que abrir la aplicación con un doble clic. A continuación: 1- Introducimos la web que deseemos escanear en el lugar denominado “Target”. 2- Pinchamos en “Scan”. 3- Empezará el escaneo de la página web introducida. 17
  • 18. EVALUACIÓN DE VULNERABILIDADES. Para analizar la página web utilizamos las herramientas anteriormente explicadas aunque WireShark no nos sirviera realmente para analizar la página web. Por lo tanto, las herramientas que utilizamos han sido Nmap y Nessus ya que WebScarab hace las veces de WireShark. Así pues, las vulnerabilidades obtenidas con la herramienta Nessus fueron de lo más variadas y variopintas. Nessus dio una serie de vulnerabilidades de distintos grados. Obtuvimos una amenaza crítica, tres altas, cinco medias… Aunque la mayor parte de la web estaba bien segura. Analizando el informe que nos dio Nessus la vulnerabilidad crítica consistía en que no disponía de una versión soportada por el lenguaje de programación. La solución que obtenemos por parte de Nessus es actualizar la versión de PHP que está instalada. De las vulnerabilidades críticas pasamos a las altas. En las altas podemos encontrar tres bloques distintos; sin embargo, aunque estos bloques Nessus los procese por separado no vienen a decir más que la versión de PHP está un poco desfasada y por lo tanto se describen los posibles ataques que se pueden llevar a cabo contra esta web. De entre estos ataques podemos destacar la posibilidad de atacar dicha página web mediante el uso de consumo de la memoria, fallo repentino a causa de varias funcionalidades, exif.c permite el ataque a la web a través del uso de la memoria de forma arbitraria. El servidor remoto es vulnerable a inyección a HTML por medio de los puertos abiertos que hemos analizado con Nmap. No obstante, aunque los puertos los analice de una forma más extendida esta aplicación, con Nessus también podemos obtener una descripción bastante bien detallada. Así pues, seguiremos analizando las vulnerabilidades que nos ha mostrado Nessus y más adelante pasaremos a analizar los puertos de una forma más exhaustiva con la herramienta Nmap. La inyección por medio de SQL también se hace presente dentro de las vulnerabilidades altas; más concretamente, Nessus nos dice que cuando ha intentado importar una serie de variables, ha dado una clase de error y que al estar SQL débil, es más sencillo atacar mediante inyección SQL. Nessus nos dice también que a causa de un error con “sapi/cgi/cgi_main.c” un atacante podría obtener el código de origen de PHP desde el servidor web. La solución que nos da Nessus es actualizar PHP a su última versión. Una vez hemos analizado ya las vulnerabilidades altas y las vulnerabilidades críticas, pasemos a analizar las vulnerabilidades que se encuentran en el medio del análisis y que aunque no sean muy importantes conviene mantenerlas al día y bien actualizadas. Una de estas vulnerabilidades hace referencia a XSS; más concretamente que un atacante podría utilizar mediante HTML y scripts el navegador de un usuario. La solución a este fallo es actualizar o contactar con el desarrollador de ese software si la amenaza sigue persistiendo. 18
  • 19. Un atacante podría también usar un software java malicioso para dañar la página ya que los scripts CGI fallan a la hora de utilizar un JavaScript malicioso. También nos muestra una vulnerabilidad con respecto a las inyecciones IFRAME. Para solucionar estas dos incidencias lo que deberíamos hacer es restringir el acceso a aplicaciones vulnerables (o que provengan de sitios sin certificación, es decir, que no sean de confianza), actualizar o contactar con el vendedor. PHP está configurado en el servidor remoto de tal forma que un atacante podría hacerse con mucha información sensible gracias al empleo de una URL (o varias) en concreto. Como por ejemplo el desencadenamiento de URLS o la utilización de los Huevos de Pascua construidos en PHP. Podemos hacer frente a este problema accediendo a la configuración de PHP y en “php.ini”, en “expose_php” lo deberíamos de poner en “off”. Para que los cambios surjan efecto deberemos reiniciar la red. Con la finalidad de evitar bugs, existen tutoriales a disposición de la gente que los solicite que dicen que tienes que llamar a la función PHP “phpinfo()”. Con esto lo que se hace es que, accediendo por ejemplo a un archivo de los que este tutorial presenta, un atacante puede descubrir un montón de información sobre el servidor web remoto. Por ejemplo: el usuario que instaló PHP y si es administrador o no, la dirección IP del host, la versión del sistema operativo, la versión del servidor web e información acerca de la instalación remota de PHP. Para poder solucionar lo anteriormente descrito, debemos eliminar lo mencionado. La última vulnerabilidad de grado medio está relacionada con el uso de JavaScript que es exactamente lo mismo que hemos comentado unos párrafos más arriba. La solución al JavaScript malicioso es contactar con el proveedor para un parche o actualizar la versión. Con esta última vulnerabilidad terminamos las amenazas críticas, altas y medias; también existen aquellas vulnerabilidades que son de menor grado pero que sin embargo no vamos a hacer mayor hincapié ya que no son maliciosas ni dañinas en absoluto para el sistema. En cuanto a la detección de puertos mediante la herramienta Nmap no podemos sacar gran cosa. Esta herramienta nos dice que la página web tiene un puerto cerrado y otro puerto abierto; estos puertos son el 80 y el 443, que hacen referencia a http y https respectivamente. El puerto que nos dice que está cerrado es el 443, es decir, la conexión https. Por lo tanto será improbable llegar a hacer una conexión segura por medio de este puerto ya que no está disponible. Por otro lado el puerto que está abierto es el correspondiente a http, es decir, el puerto 80. A través de este puerto podremos conectarnos a la web que a continuación describiremos. La conclusión a la que podemos llegar teniendo en cuenta todas las herramientas que hemos utilizado es que la web presenta una serie de vulnerabilidades a través de las cuales podemos llegar a interferir en el funcionamiento del servidor. Para solucionar el problema de las vulnerabilidades deberemos actualizar las versiones en las cuales nos ha dado error o alguna clase de problemas. No obstante, aunque las herramientas nos hayan dado esta serie de errores, la web puede funcionar perfectamente aunque con el riesgo correspondiente que hemos descrito anteriormente. 19
  • 20. WEB ELEGIDA La web que se ha elegido ha sido http://markosweb.com ya que presentan las vulnerabilidades que a continuación se muestran. Así pues, podemos destacar una serie de vulnerabilidades muy perjudiciales para la seguridad de dicha web como por ejemplo vulnerabilidades críticas y altas relacionadas con el uso del PHP y otras tantas de grado medio. Aunque no sea relevante, y apenas proceda con la evaluación; esta web ofrece una serie de servicios más o menos informáticos como por ejemplo la puntación SEO, monitoreo de sitios web, análisis de los progresos del sitio, detectar secretos web y tendencias ocultas, supervisión del rendimiento, sitio seguro contra phising y malware y una supervisión de la salud global del sitio web en cuestión. 20