PENTEST EXTERNOResumen de resultados

Siempre existe una solución.

Informe de auditoría web básica

xxx.com

Metodología

Resumen ejecutivo

Vulnerabilidades detectadas

Observaciones

Auditoría web básicaÍndice de contenidos

Siempre existe una solución. 2

Auditoría web básicaMetodología

Siempre existe una solución. 3

En Bcnsoluciona , nuestras auditorías o pentest se basan en la metodología de OWASP y en una clasificación del riesgo basada en CVSS.

OWASP ( Open Web Application Security Project)Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Owasp ha definido una guía para hacer los test de vulnerabilidades de las aplicaciones, una guía en continua actualización que valora losnuevos patrones de ataques que realizan los hackers, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

CVSS (Common Vulnerability Score System)En el contexto de la seguridad de la información, una vulnerabilidad se define como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad para el negocio.Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades.Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10.

Alto: 10,0-7,0 Medio: 6,9-4,0 Bajo: 3,9-0.0

Auditoría web básicaResumen ejecutivo

Siempre existe una solución. 4

Comentarios- Analizada web xxx.com/….

- Se recomienda actualización del mod_ssl para Apache ya que se podría obtener control total del sistema

Clasificación de vulnerabilidades según riesgo

Alto 2

Medio 1

Bajo 1

Vulnerabilidades

Alto Medio Bajo

Número de vulnerabilidades encontradas, su clasificación y su gráfico

Explicación ejecutiva de las vulneravilidades

encontradas

Auditoría web básicaVulnerabilidades detectadas

Siempre existe una solución. 5

001 Apache Mod_ssl/2.0.46 CVSS: 8 . 10Riesgo: Alto

- The mod_ssl module provides strong cryptography for the Apache Web server via the Secure Sockets Layer (SSL) and Transport Layer Security (TLS) protocols. Versions of mod_ssl prior to 2.8.10 are subject to a single NULL overflow that can cause arbitrary code execution.

- mod_ssl/2.8.4 - mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell.

Ficha de la vulnerabilidad encontrada y su información, en este caso grave!!!

Auditoría web básicaVulnerabilidades detectadas

Siempre existe una solución. 6

002 SQL injection CVSS: 6 Riesgo:medio

En el formulario xxxxx ……

Ficha de la vulnerabilidad encontrada y su información, en este caso media!!!

Auditoría web básicaVulnerabilidades detectadas

Siempre existe una solución. 7

003 Ataques de fuerza bruta CVSS:2 Riesgo: bajo

Debido al número de portales de acceso ………

Ficha de la vulnerabilidad encontrada y su información, en este caso bajo!!!

Auditoría web básicaObservaciones

Siempre existe una solución. 8

• Se recomienda actualizar y solucionar la vulnerabilidad Apache Mod_ssl/2.0.46 • Se recomienda la revisión de todos los paneles de acceso de los portales por un posible ataque de fuerza

bruta……..

Comentarios y observaciones sobre la auditoria de la web y recomendaciones.

Siempre existe una solución!

www.bcnsoluciona.com