Formato para presentar informe ejecutivo OWASP

Anuncio
INFORME EJECUTIVO
CORRESPONDIENTE AL PERIODO COMPRENDIDO
ENTRE EL dd Y dd DE mm DE aaaa
SERVIDOR yyyyyyy
NOMBRE DEL ESTUDIANTE1
NOMBRE DEL ESTUDIANTE2
Popayán, Noviembre de 2013
SERVIDOR yyyyy
FORMATO PRELIMINAR AL DOCUMENTO
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO
COMPRENDIDO ENTRE EL DD DE MMMMM DE 2013 Y DD DE
MMMMMM DE 2013
Título:
Fecha dd/mm/aaaa: dd/mm/aaaa
Informe ejecutivo del estudiante nombre apellido, correspondiente al período
comprendido entre el dd y el dd de mmmmmm de 2013, en calidad de
Consultor del Área de Seguridad de la Información.
Sumario:
Palabras Claves:
Formato:
Sitio:
Código:
Autor (es):
DOC
Servidor yyyyy.
Versión
1.0
Nombre apellido
Revisó:
Firmas:
Aprobó:
Información
Adicional:
Ubicación:
HISTORIA
VERSIÓN
1.0
FECHA
dd/mm/aaaa
CAMBIOS INTRODUCIDOS
Creación del documento
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 2 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
TABLA DE CONTENIDO
1.
INTRODUCCIÓN ............................................................................................................. 4
2.0.
EVALUACIÓN DE SERVIDOR WEB SITIO ................................................................ 7
3.0.
MEDICIÓN DE RIESGOS DEL SERVIDOR WEB SITIO ........................................... 7
RECOMENDACIONES GENERALES .................................................................................... 14
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 3 de 16
SERVIDOR yyyyy
1.
INTRODUCCIÓN
El presente documento, tiene como objetivo presentar el estado actual en cuanto a seguridad
del servidor web de SITIO, durante el período comprendido entre el dd y el dd de mmmmm:
ESTUDIANTES
: Nombres apellidos 1, Nombres apellidos 2
OBJETO
: Evaluar el servidor SITIO en búsqueda de vulnerabilidades
y/o problemas de seguridad asociados, lo anterior basado en el
TOP 10 OWASP
Previo al contenido central del presente informe, se hace referencia a OWASP y al
mencionado top 10 de OWASP.
La sigla OWASP corresponde a Open Web Application Security Project, proyecto que
busca determinar, identificar y combatir las causas que hacen que una aplicación sea
insegura.
OWAPS TOP 10 el cual es el listado de los 10 problemas de seguridad más comunes en las
aplicaciones web, listado que desde el 2004 (primera versión) es actualizado cada 3 años, las
pruebas a desarrollar serán basadas en la recientemente emitida versión 2013 del OWASP
TOP 10, cuyos ítems son los siguientes:










A1 Inyección
A2 Rompimiento de autenticación y manejo de sesiones
A3 XSS Cross Site Scripting
A4 Referencias inseguras a objetos directos
A5 Configuración errónea de seguridad
A6 Exposición de datos sensibles y copias de respaldo
A7 Problemas en la función de control de acceso
A8 CSRF
A9 Uso de componentes vulnerables conocidos
A10 Redirecciones y reenvíos sin validar
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 4 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
A1 - Injection: corresponde a las inyección de código, siendo las inyecciones SQL una de
las más comunes.
A2 - Broken Authentication and Session Management (anteriormente 2010-A3):
corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan
autenticación.
A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): ocurre cuando existe
validación pobre de la información ingresada por el atacante.
A4 - Insecure Direct Object References: puede derivar en un acceso no autorizado a
información crítica debido a errores en el diseño o desarrollo.
A5 - Security Misconfiguration (anteriormente 2010-A6): corresponde a
configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.
A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9
Insufficient Transport Layer Protection formaron 2013-A6): se refiere a la protección
incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito,
contraseñas, entre otros.
A7 - Missing Function Level Access Control: corresponde a la falta de controles desde el
servidor, permitiendo a un posible atacante acceder a funciones a las que no debería.
A8 - Cross-Site Request Forgery (CSRF) (anteriormente 2010-A5): permite a un
atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la
víctima.
A9 - Using Known Vulnerable Components (anteriormente formaba parte de 2010A6): corresponde a la explotación de librerías, frameworks y otros componentes vulnerables
por parte de un atacante con el fin de obtener acceso o combinar con otros ataques.
A10 - Unvalidated Redirects and Forwards: los atacantes aprovechan el uso de
redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para
redirigir a las víctimas a sitios de phishing o que contienen malware.
Metodología de clasificación del riesgo OWASP
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 5 de 16
SERVIDOR yyyyy
Factor de riesgo según el A
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 6 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
2.0.
EVALUACIÓN DE SERVIDOR WEB SUBSIDIOS
Debido a que la evaluación fue realizada con base en el OWASP
top 10, los resultados de la evaluación se plantean a partir del
mismo de la siguiente manera.
Aes OWASP TOP 10
Portal Web
A1 Inyección
Detectado
A2 Rompimiento de autenticación y manejo de sesiones
Parcial
A3 XSS Cross Site Scripting
Detectado
A4 Referencias inseguras a objetos directos
No Detectado
A5 Configuración errónea de seguridad
Detectado
A6 Exposición de datos sensibles y copias de respaldo
Detectado
A7 Problemas en la función de control de acceso
No Detectado
A8 CSRF
No Detectado
A9 Uso de componentes vulnerables conocidos
Detectado
A10 Redirecciones y reenvíos sin validar
No Detectado
A partir de lo cual se evidencia que el presente servidor, presenta 6
(seis) de los 10 problemas de seguridad enunciados en la lista
emitida por OWASP, problemas que se detallan en el informe técnico.
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 7 de 16
SERVIDOR yyyyy
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 8 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 9 de 16
SERVIDOR yyyyy
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 10 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 11 de 16
SERVIDOR yyyyy
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 12 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
3.0.
MEDICIÓN DE RIESGOS DEL SERVIDOR WEB SITIO
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 13 de 16
SERVIDOR yyyyy
RECOMENDACIONES GENERALES
Inicialmente, se recomienda a nivel institucional la definición e
implantación de políticas y procedimientos de actualización y
aplicación de parches de seguridad sobre los diferentes servidores de
la organización.
Con respecto a la aplicación y el servidor evaluado en este proceso,
se recomienda a nivel general remover de los directorios de
publicación los archivos info.php, los cuales brindan información de
configuración y demás sobre el servidor web actual.
De la misma manera es indispensable verificar los servicios que se
usan desde los equipos clientes y establecer las reglas del firewall,
esto con el fin de que solo estén públicos los servicios que se
requieren de esta forma.
Adicional
a
las
mejoras
que
establecen
las
recomendaciones
presentadas en el informe técnico, se recomienda evaluar la
posibilidad de realizar el montaje de un WAF Web Aplication Firewall,
el cual en gran parte soluciona los problemas detectados, realizando
un filtrado de peticiones que busquen la inyección de código y/o
ejecución de scripts no autorizados sobre la aplicación Web, lo
anterior (el filtrado) antes de que las peticiones lleguen al
servidor. En el caso en el que se decida la implantación de una
solución de este tipo, se aclara que esta debe ser posterior a las
adecuaciones de las aplicaciones, debido a que en muchos casos se
limitan a la instalación de estas soluciones, lo cual en el momento
en que las mimas por algún motivo no funcionen las vulnerabilidades
de nuevo estarán expuestas.
Adicional se recomienda en lo posible realizar un proceso
hardening(Aseguramiento de hardware y software), lo cual en
momento dificulta aún más la labor de un atacante.
de
su
Es importante que se utilice OWASP API de seguridad empresarial
(ESAPI) y su arquitectura. La ESAPI es una colección gratis y abierta
de todos los métodos de seguridad que un desarrollador necesita para
construir una aplicación Web segura. Usted puede usar solo las
interfaces
y
construir
su
propia
implementación
usando
la
infraestructura de su empresa o puede usar la implementación de
referencia como un punto de inicio.
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 14 de 16
[Nombre apellido estudiante1]
[Nombre apellido estudiante2]
Finalmente, una vez se tomen las acciones correspondientes, se
recomienda realizar una reevaluación, lo anterior con el fin de
verificar si con las acciones realizadas se corrigieron los problemas
de la manera adecuada.
Aplicar la arquitectura de ESAPI es muy simple, es solo una colección
de clases que encapsula las operaciones clave de seguridad que la
mayoría de las aplicaciones necesitan. ESAPI esta diseñado para hacer
fácil el ajustar la seguridad en aplicaciones existentes, así como
proporcionar una base sólida para un nuevo desarrollo. Nuevos
proyectos de desarrollo deberían considerar integrar ESAPI en su
framework para hacer que la seguridad ocurra automáticamente. ESAPI
viene con un filtro ESAPI que minimiza los cambios requeridos en su
aplicación base.
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMM DE
2013
Pág. 15 de 16
SERVIDOR yyyyy
Arquitectura ESAPI de OWASP
INFORME EJECUTIVO CORRESPONDIENTE AL PERÍODO COMPRENDIDO ENTRE EL dd Y EL dd DE MMMMMM
DE 2013
Pág. 16 de 16
Descargar