Procedimiento para pruebas de intrusión en Aplicaciones Web Autor Principal: Ing. Delmys Pozo Zulueta Universidad de las Ciencias Informáticas dpozo@uci.cu Ambiente de trabajo Recursos ¾60 puestos de trabajo. LIPS ¾Estudiantes de 1ro y 2do año de la UCI (3500 estudiantes aproximadamente) ¾21 especialistas de Calidad de Software Pruebas ¾Funcionales ¾Farga y estrés ¾Regresión ¾Exploratorias ¾Volumen ¾Seguridad “La prueba de intrusión o penetración a aplicaciones web es un método de evaluación de la seguridad de un sistema de ordenadores o una red mediante la simulación de un ataque” OWASP (The Open Web Application Security Project) Niveles de realización: Pruebas y herramientas Categoría Objetivos Herramientas Recopilación de Información (RI) Comprobar si la aplicación brinda datos sensibles que puedan ser utilizados por cualquier atacante Nessus Comprobación de la autenticación (CA) Poner a prueba el sistema de autenticación Brutus Comprobación de las reglas del Negocio (CRN) Comprobar las reglas del negocio definidas para la aplicación Nessus Validación de datos Verificar que todas las (VD) entradas de datos estén validadas Nessus Etapas del procedimiento Etapa 2: Diseño Indicadores de RI 9Firma digital. 9Puertos abiertos. 9Aplicaciones web instaladas en el servidor. 9Existencia cifrados débiles. 9Análisis delcódigo de error de la aplicación. Indicadores de CA 9Ataque de fuerza. 9Sistema de autenticación. 9Recordatorio contraseña. Estructura del CP de CRN Nombre Escenari Descripción de URL Resultado Respuesta del Rol os esperado del sistema la funcionalidad a probar < <Funcion <Descripción de <URL de < Nombre alidad a la del Rol> probar> funcionalidad.> Resultado <Resultado acceso a que se espera que se la al al realizar la obtiene funcional prueba.> realizar la idad> prueba.> Estructura del CP de VD Funcionalid <Nombre de la funcionalidad> Herramienta: <Nessus> Clasificación Resultado Respuesta del Flujo Central ad: Campos de Entrada Esperado <Nombre del <La <Resultado que se <Resultado que <Pasos campo espera al realizar la se entrada> de clasificación Sistema es según el prueba, componente de realizar específicamente si el prueba> diseño campo de entrada es utilizado][ejem vulnerable plo: campo de inyección texto, a SQL, lista ORM, LDAP, XML, desplegable o SSI, campo selección.> obtiene código de procedimientos almacenados.> o a al desarrollar la para que indicó> probar se Etapas del procedimiento Comprobación Procedimiento para pruebas de intrusión en Aplicaciones Web Autor Principal: Ing. Delmys Pozo Zulueta Universidad de las Ciencias Informáticas dpozo@uci.cu