Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

FICHA TÉCNICA ANEXO 1 Código: CC-F

Anuncio 
FICHA TÉCNICA
ANEXO 1
Código: CC-F-077
Versión: 001
Página 1 de 6
DENOMINACIÓN DEL BIEN O SERVICIO
Servicios de análisis de penetración a la red del Municipio de Envigado simular
comportamientos y técnicas que puedan ser utilizadas por intrusos / atacantes con
el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante
posibles ataques identificando, detección de vulnerabilidades y factibilidad de
explotación de las mismas.
CÓDIGO IDENTIFICACIÓN BIEN O SERVICIO
CLASIFICACION UNSPSC
81111801
TIPO DE BIEN O SERVICIO
Seguridad de los computadores, redes o internet.
DENOMINACIÓN TÉCNICA DEL BIEN O SERVICIO
Servicio de Penetration Test Externo Hasta 8 IPs
UNIDAD DE MEDIDA
SERVICIO
DESCRIPCIÓN GENERAL
El Municipio de Envigado necesita simular comportamientos y técnicas que puedan
ser utilizadas por intrusos / atacantes con el objetivo de analizar el nivel de seguridad
y la exposición de los sistemas ante posibles ataques identificando, en primera
instancia, irregularidades en la seguridad de la información de la Alcaldia de
Envigado, con el propósito de detectar debilidades de configuración y
vulnerabilidades sobre los servidores y servicios de TI que tenemos.
Código: CC-F-077
FICHA TÉCNICA
ANEXO 1
Versión: 001
Página 2 de 6
Se necesita evaluar los servidores Hyperion, Cosmos que están en la red interna
del Municipio de Envigado, además analizar los servicios de la página web
www.envigado.gov.co con los Botones de pagos Impuesto predial Iyc valorización,
Pagos comparendos y semaforización.
Análisis del switche core, firewall y balanceador de cargas análisis de intentos de
intrusión externos (y/o internos) a través de conexiones desde Internet, hacia las IPs
y/o aplicaciones web definidas dentro del alcance. Para esto se evaluaran primero
todas las IPs perteneciente al cliente, para posteriormente seleccionar las IPs para
realizar los tests.
Prueba de Aplicaciones de Internet: Una prueba de aplicaciones de Internet, emplea
diferentes técnicas en busca de fallas de seguridad en aplicaciones / servidor, que
Código: CC-F-077
FICHA TÉCNICA
ANEXO 1
Versión: 001
Página 3 de 6
han sido desarrolladas por el administrador del sistema, sin importar su lenguaje de
programación o la tecnología que utilice.
Consultas DNS inversas: Detección de nombres o direcciones IP ocultas de algunos
equipos de alta criticidad; por consiguiente, estas consultas nos permitirán descubrir
equipos que no posean ambos registros o en su defecto que los nombres y
direcciones IP no coincidan con una configuración apropiada.
Aproximaciones y escaneos TCP y UDP. Dentro de las diversas técnicas de
escaneo, se aplicará el método de aproximación TCP y UDP para complementar
con otras técnicas y así poder determinar de manera más precisa servicios,
protocolos y reacciones del servidor objetivo.
Escaneo de Puertos: Esta es una prueba activa sobre los puertos del sistema en la
capa de red y de transporte. Dentro del objetivo de esta etapa se encuentra
identificar puertos abiertos, reconocer direcciones IP de sistemas vivos, listar
protocolos utilizados ya sean encapsulados o de ruteo, etc.
Identificación de Servicios: Esta etapa consiste en la identificación de la aplicación
escuchando detrás de un puerto, como también de cualquier otra aplicación que sea
componente de esta.
Identificación del Sistema Operativo: Esta es la prueba activa de las respuestas de
un sistema, que permite identificar tanto a un único sistema operativo como a su
versión.
Investigación y Verificación de Vulnerabilidades: El objetivo de esta etapa es la
identificación, comprensión, y verificación de debilidades, malas configuraciones y
vulnerabilidades en los servicios expuestos y características de red.
Detección de Back Doors: Identificación de códigos arbitrarios que permitan la
intrusión a la red interna de la organización.
SQL Injection: Las pruebas de SQL Injection tienen por objeto determinar errores de
programación que presentan muchos desarrollos web, en la conformación de
formularios, y campos de validación interactiva. La efectividad de estas pruebas
podría permitir el acceso total a la base de datos relacionada con el desarrollo.
Scan CGI: El objeto de este escaneo es descubrir archivos CGI, en todo el árbol de
directorios web, principalmente en aquellos directorios definidos como de ejecución
local para este tipo de archivos. Existen muchos CGI públicos con vulnerabilidades
Código: CC-F-077
FICHA TÉCNICA
ANEXO 1
Versión: 001
Página 4 de 6
capaces de permitir el acceso remoto al equipo, y pueden encontrarse scripts CGI
propietarios con errores de programación que permitan accesos similares.
Análisis de Gestión de Configuraciones: Se validará la seguridad de la
infraestructura utilizada por la aplicación web.
Las pruebas a realizar son las siguientes:
web, análisis de vulnerabilidades, análisis de sus mecanismos de autenticación e
identificación de todos los puertos utilizados por la aplicación web.
iguración de la aplicación, a través de búsqueda de directorios
y archivos comunes, comentarios de los desarrolladores, así como la obtención y
eventual análisis de logs de operación generados por la aplicación.
ón de la aplicación web o de su
infraestructura relacionada.
(Cross-Site Tracing).
Análisis de Validación de Datos: Se evaluarán los distintos repositorios,
mecanismos de acceso y protección, relacionados con la validación de datos
utilizados por la aplicación web objeto de las pruebas.
Las pruebas a realizar son las siguientes:


Pruebas diversas de XSS (Cross Site Scripting) y de “Cross Site Flashing”.
Pruebas de Inyección de SQL.








Pruebas de Inyección de LDAP.
Pruebas de Inyección de ORM.
Pruebas de Inyección de XML.
Pruebas de Inyección de SSI.
Pruebas de Inyección de XPath.
Pruebas de Inyección de IMAP/SMTP.
Pruebas de Inyección de Código.
Pruebas de Inyección de Comandos del Sistema Operativo.
Análisis de Servicios Web: Se evaluarán los servicios de la aplicación web,
relacionados con SOA (Service Oriented Architecture)
Código: CC-F-077
FICHA TÉCNICA
ANEXO 1
Versión: 001
Página 5 de 6

Obligaciones específicas:



Cumplir con el objeto del contrato en la forma y oportunidad pactada.
Cumplir con los requisitos y especificaciones ofertadas y contratadas.
Dar cumplimiento a las especificaciones generales y particulares de los pliegos
de condiciones, a los estudios previos, ficha técnica y a la propuesta
presentada por el contratista.
Acatar las órdenes e instrucciones impartidas por el supervisor del contrato.
Cumplir con las obligaciones de carácter laboral adquiridas con el personal a
cargo, la seguridad social integral y los parafiscales.
Presentar la cuenta de cobro o factura en los tiempos establecidos para el
pago del contrato.
Informar oportunamente al supervisor sobre alguna anomalía o dificultad
presentada durante la ejecución del contrato
Todas las demás descritas en la propuesta presentada al Municipio de
Envigado.
Asistir a las reuniones acordadas.
Atender las recomendaciones que le efectúe el Municipio de Envigado por
intermedio de los funcionarios designados para ejercer la vigilancia y control
de la ejecución contractual.
Cumplir con las cantidades y especificaciones técnicas establecidas en el
cuadro de propuesta económica y fichas técnicas.
Cuando se requieran cambios, estos se deberán realizar en un plazo máximo
de 2 días.
El contratista no podrá ceder el presente contrato total o parcialmente a
persona alguna.
No acceder a peticiones o amenazas de quienes actúen por fuera de la Ley
con el fin de obligarlos a hacer u omitir algún acto o hecho.











GARANTIA COMERCIAL O PRESUNTA
Soporte técnico ilimitado durante el servicio
NOMBRE Y FIRMA DEL FUNCIONARIO QUE ELABORA
Deisy Ortiz
NOMBRE Y FIRMA DEL SECRETARIO DE DESPACHO (E)
Código: CC-F-077
FICHA TÉCNICA
ANEXO 1
Versión: 001
Página 6 de 6
Angela Maria Botero:
VoBo DE LA DIRECCIÓN DE TICS
LUIS FELIPE ROSSO RICAUTE:
GUÍA
Denominación del bien o servicio: Ingrese en este campo la denominación común del bien o servicio en
texto claro. Ejm: Impresora.
Denominación técnica del bien o servicio: Ingrese en este campo la denominación técnica del bien o servicio
usando la terminología a que haya lugar. Ejm: Impresora Láser Multifuncional.
Unidad de medida: Ingrese en este campo el nombre de la unidad de medida que va a usar para cuantificar
el producto o servicio a adquirir, como: Libra, caja, docenas.
Descripción General: Ingrese en este campo el texto de descripción detallada de las características técnicas
del bien o servicio. Ejm: Impresora láser multifuncional, con capacidad de copiado, e impresión de hasta 30
páginas por minuto en negro y 24 páginas en color con calidad 4800x1200, Ethernet integrado y un
alimentador de poder.
Garantía comercial o presunta: Ingrese en este campo la garantía mínima que se ofrece normalmente en el
mercado para este bien o servicio.
Documentos relacionados
ANEXO 3 Ficha técnica de la práctica laboral
ANEXO 3 Ficha técnica de la práctica laboral
Descagar solicitud para el personal docente e investigador (se abrirá en ventana nueva)
Descagar solicitud para el personal docente e investigador (se abrirá en ventana nueva)
Descagar solicitud para el personal de administración y servicios (se abrirá en ventana nueva)
Descagar solicitud para el personal de administración y servicios (se abrirá en ventana nueva)
FICHA DE INSCRIPCION 1. INFORMACION DEL ALUMNO (A
FICHA DE INSCRIPCION 1. INFORMACION DEL ALUMNO (A
Cintigrama Renal DMSA
Cintigrama Renal DMSA
Soporte apoyapulgar regulable para una mejor adaptación en
Soporte apoyapulgar regulable para una mejor adaptación en
INVITACION PÚBLICA A CONTRATAR
INVITACION PÚBLICA A CONTRATAR
MÁQUINA DE INYECCIÓN EXTRACCIÓN SX 44
MÁQUINA DE INYECCIÓN EXTRACCIÓN SX 44
Descagar solicitud para los alumnos (se abrirá en ventana nueva)
Descagar solicitud para los alumnos (se abrirá en ventana nueva)
Descargar
Anuncio
Anuncio