INFORME EJECUTIVO CORRESPONDIENTE AL PERIODO COMPRENDIDO ENTRE EL dd Y dd DE mm DE aaaa SERVIDOR yyyyyyy NOMBRE DEL ESTUDIANTE1 NOMBRE DEL ESTUDIANTE2 Popayán, Noviembre de 2013 SERVIDOR yyyyy FORMATO PRELIMINAR AL DOCUMENTO INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL DD DE MMMMM DE 2013 Y DD DE MMMMMM DE 2013 Título: Fecha dd/mm/aaaa: dd/mm/aaaa Informe ejecutivo del estudiante nombre apellido, correspondiente al período comprendido entre el dd y el dd de mmmmmm de 2013, en calidad de Consultor del Área de Seguridad de la Información. Sumario: Palabras Claves: Formato: Sitio: Código: Autor (es): DOC Servidor yyyyy. Versión 1.0 Nombre apellido Revisó: Firmas: Aprobó: Información Adicional: Ubicación: HISTORIA VERSIÓN 1.0 FECHA dd/mm/aaaa CAMBIOS INTRODUCIDOS Creación del documento INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 2 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] TABLA DE CONTENIDO 1. INTRODUCCIÓN ............................................................................................................. 4 2.0. EVALUACIÓN DE SERVIDOR WEB SITIO ................................................................ 7 3.0. MEDICIÓN DE RIESGOS DEL SERVIDOR WEB SITIO ........................................... 7 RECOMENDACIONES GENERALES .................................................................................... 14 INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 3 de 16 SERVIDOR yyyyy 1. INTRODUCCIÓN El presente documento, tiene como objetivo presentar el estado actual en cuanto a seguridad del servidor web de SITIO, durante el período comprendido entre el dd y el dd de mmmmm: ESTUDIANTES : Nombres apellidos 1, Nombres apellidos 2 OBJETO : Evaluar el servidor SITIO en búsqueda de vulnerabilidades y/o problemas de seguridad asociados, lo anterior basado en el TOP 10 OWASP Previo al contenido central del presente informe, se hace referencia a OWASP y al mencionado top 10 de OWASP. La sigla OWASP corresponde a Open Web Application Security Project, proyecto que busca determinar, identificar y combatir las causas que hacen que una aplicación sea insegura. OWAPS TOP 10 el cual es el listado de los 10 problemas de seguridad más comunes en las aplicaciones web, listado que desde el 2004 (primera versión) es actualizado cada 3 años, las pruebas a desarrollar serán basadas en la recientemente emitida versión 2013 del OWASP TOP 10, cuyos ítems son los siguientes: A1 Inyección A2 Rompimiento de autenticación y manejo de sesiones A3 XSS Cross Site Scripting A4 Referencias inseguras a objetos directos A5 Configuración errónea de seguridad A6 Exposición de datos sensibles y copias de respaldo A7 Problemas en la función de control de acceso A8 CSRF A9 Uso de componentes vulnerables conocidos A10 Redirecciones y reenvíos sin validar INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 4 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] A1 - Injection: corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes. A2 - Broken Authentication and Session Management (anteriormente 2010-A3): corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación. A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): ocurre cuando existe validación pobre de la información ingresada por el atacante. A4 - Insecure Direct Object References: puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo. A5 - Security Misconfiguration (anteriormente 2010-A6): corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación. A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9 Insufficient Transport Layer Protection formaron 2013-A6): se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros. A7 - Missing Function Level Access Control: corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería. A8 - Cross-Site Request Forgery (CSRF) (anteriormente 2010-A5): permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima. A9 - Using Known Vulnerable Components (anteriormente formaba parte de 2010A6): corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques. A10 - Unvalidated Redirects and Forwards: los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware. Metodología de clasificación del riesgo OWASP INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 5 de 16 SERVIDOR yyyyy Factor de riesgo según el A INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 6 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] 2.0. EVALUACIÓN DE SERVIDOR WEB SUBSIDIOS Debido a que la evaluación fue realizada con base en el OWASP top 10, los resultados de la evaluación se plantean a partir del mismo de la siguiente manera. Aes OWASP TOP 10 Portal Web A1 Inyección Detectado A2 Rompimiento de autenticación y manejo de sesiones Parcial A3 XSS Cross Site Scripting Detectado A4 Referencias inseguras a objetos directos No Detectado A5 Configuración errónea de seguridad Detectado A6 Exposición de datos sensibles y copias de respaldo Detectado A7 Problemas en la función de control de acceso No Detectado A8 CSRF No Detectado A9 Uso de componentes vulnerables conocidos Detectado A10 Redirecciones y reenvíos sin validar No Detectado A partir de lo cual se evidencia que el presente servidor, presenta 6 (seis) de los 10 problemas de seguridad enunciados en la lista emitida por OWASP, problemas que se detallan en el informe técnico. INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 7 de 16 SERVIDOR yyyyy INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 8 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 9 de 16 SERVIDOR yyyyy INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 10 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 11 de 16 SERVIDOR yyyyy INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 12 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] 3.0. MEDICIÓN DE RIESGOS DEL SERVIDOR WEB SITIO INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 13 de 16 SERVIDOR yyyyy RECOMENDACIONES GENERALES Inicialmente, se recomienda a nivel institucional la definición e implantación de políticas y procedimientos de actualización y aplicación de parches de seguridad sobre los diferentes servidores de la organización. Con respecto a la aplicación y el servidor evaluado en este proceso, se recomienda a nivel general remover de los directorios de publicación los archivos info.php, los cuales brindan información de configuración y demás sobre el servidor web actual. De la misma manera es indispensable verificar los servicios que se usan desde los equipos clientes y establecer las reglas del firewall, esto con el fin de que solo estén públicos los servicios que se requieren de esta forma. Adicional a las mejoras que establecen las recomendaciones presentadas en el informe técnico, se recomienda evaluar la posibilidad de realizar el montaje de un WAF Web Aplication Firewall, el cual en gran parte soluciona los problemas detectados, realizando un filtrado de peticiones que busquen la inyección de código y/o ejecución de scripts no autorizados sobre la aplicación Web, lo anterior (el filtrado) antes de que las peticiones lleguen al servidor. En el caso en el que se decida la implantación de una solución de este tipo, se aclara que esta debe ser posterior a las adecuaciones de las aplicaciones, debido a que en muchos casos se limitan a la instalación de estas soluciones, lo cual en el momento en que las mimas por algún motivo no funcionen las vulnerabilidades de nuevo estarán expuestas. Adicional se recomienda en lo posible realizar un proceso hardening(Aseguramiento de hardware y software), lo cual en momento dificulta aún más la labor de un atacante. de su Es importante que se utilice OWASP API de seguridad empresarial (ESAPI) y su arquitectura. La ESAPI es una colección gratis y abierta de todos los métodos de seguridad que un desarrollador necesita para construir una aplicación Web segura. Usted puede usar solo las interfaces y construir su propia implementación usando la infraestructura de su empresa o puede usar la implementación de referencia como un punto de inicio. INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 14 de 16 [Nombre apellido estudiante1] [Nombre apellido estudiante2] Finalmente, una vez se tomen las acciones correspondientes, se recomienda realizar una reevaluación, lo anterior con el fin de verificar si con las acciones realizadas se corrigieron los problemas de la manera adecuada. Aplicar la arquitectura de ESAPI es muy simple, es solo una colección de clases que encapsula las operaciones clave de seguridad que la mayoría de las aplicaciones necesitan. ESAPI esta diseñado para hacer fácil el ajustar la seguridad en aplicaciones existentes, así como proporcionar una base sólida para un nuevo desarrollo. Nuevos proyectos de desarrollo deberían considerar integrar ESAPI en su framework para hacer que la seguridad ocurra automáticamente. ESAPI viene con un filtro ESAPI que minimiza los cambios requeridos en su aplicación base. INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE 2013 Pág. 15 de 16 SERVIDOR yyyyy Arquitectura ESAPI de OWASP INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM DE 2013 Pág. 16 de 16