Scribd Logo
Carica

Benvenuto in Scribd!

  • REFERENCIAS

    Caricato da

    Gian Jairo Jara Venancio
    7 visualizzazioni5 pagine
    avanzadas

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    avanzadas

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    7 visualizzazioni5 pagine

    REFERENCIAS

    Caricato da

    Gian Jairo Jara Venancio
    avanzadas

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 5

    PRUEBA DE CREDENCIALES TRANSPORTADAS A TRAVÉS DE UN CANAL CIFRADO

    (OTG-AUTHN-001)
    REFERENCIAS DESCRIPCION
     Mediante ZAP obtenemos el
    encabezado, en el cual observamos que
    se utiliza protocolo de hipertexto http,
    siendo este no seguro, entendemos que
    la solicitud POST envía datos a la página
    www.udh.edu.pe/websauh/alogin.aspx
    mediante HTTP, donde el trafico de
    datos viaja de forma no cifrada.
     Un usuario malintencionado podría
    realizar una intercepción de los datos
    solo rastreando la red con un sniffer
    (Wireshark)

     Como en este ejemplo se puede


    observar el usuario, clave, capcha y DNI


    Este control está asociada a la vulnerabilidad de protocolo de transferencia de hipertexto el cual es una autenticación no
    encriptada.
    Las correcciones que se deben realizar es utilizar un protocolo seguro HTTPS, con certificados TLS/SSL, en su úñtima
    versión.
    Prueba de credenciales predeterminadas (OTG-AUTHN-002)
     En esta aplicación se probaron las
    credenciales por defecto y otras que
    son utilizadas comúnmente, como se
    puede observar en la imagen “admin”

     La razón de usar en esta ocasión de


    usar otra aplicación web, fue la de
    probar las credenciales por defecto,
    ya que la aplicación anterior no
    contaba con tales usuarios.
    Este control esta relacionado a la vulnerabilidad de contar con credenciales por defecto y de una mala programación.
     Las recomendaciones se orientan por el lado de la programación, que al realizar el primer ingreso a la aplicación el
    sistema pida cambiar la contraseña de manera obligada.
     La oficina de soporte brinde información a los usuarios para contar con credenciales seguras.


     Al realizar el inicio de sesión
    con contraseña incorrecta 3
    veces mando el siguiente
    mensaje, luego ingresamos con
    la contraseña correcta e
    iniciamos sesión con
    normalidad.

     Se intento iniciar sesión con una


    contraseña incorrecta 4 veces,
    en esta parte bloqueo el botón
    de ingreso
     Seguidamente de habernos
    bloqueado el botón de ingreso,
    actualizamos la aplicación y el
    botón supuestamente
    bloqueado se habilitó y
    pudimos ingresar.

    Este control está asociada a la vulnerabilidad de bloqueo de acceso débil, en el cual la aplicación web debe restringir los intentos.

     Mantener el bloqueo de acceso a la aplicación aun después de recargar.


     Implementar tiempos de bloqueo de espera para volver a intentar autenticarse.

    Potrebbero piacerti anche