Procedimiento para pruebas de intrusión en Aplicaciones Web

Anuncio
Procedimiento para pruebas
de intrusión en Aplicaciones
Web
Autor Principal:
Ing. Delmys Pozo Zulueta
Universidad de las Ciencias Informáticas
dpozo@uci.cu
Ambiente de trabajo
Recursos
¾60 puestos de trabajo.
LIPS
¾Estudiantes de 1ro y 2do año
de la UCI (3500 estudiantes
aproximadamente)
¾21 especialistas de Calidad
de Software
Pruebas
¾Funcionales
¾Farga y estrés
¾Regresión
¾Exploratorias
¾Volumen
¾Seguridad
“La prueba de intrusión o
penetración a aplicaciones web es un
método de evaluación de la
seguridad de un sistema de
ordenadores o una red mediante la
simulación de un ataque”
OWASP (The Open Web
Application Security Project)
Niveles de realización:
Pruebas y herramientas
Categoría
Objetivos
Herramientas
Recopilación de
Información (RI)
Comprobar si la aplicación
brinda datos sensibles
que puedan ser utilizados
por cualquier atacante
Nessus
Comprobación de
la autenticación
(CA)
Poner a prueba el sistema
de autenticación
Brutus
Comprobación de
las reglas del
Negocio (CRN)
Comprobar las reglas del
negocio definidas para la
aplicación
Nessus
Validación de datos Verificar que todas las
(VD)
entradas de datos estén
validadas
Nessus
Etapas del procedimiento
Etapa 2: Diseño
Indicadores de RI
9Firma digital.
9Puertos abiertos.
9Aplicaciones web instaladas en el
servidor.
9Existencia cifrados débiles.
9Análisis delcódigo de error de la
aplicación.
Indicadores de CA
9Ataque de fuerza.
9Sistema de autenticación.
9Recordatorio contraseña.
Estructura del CP de CRN
Nombre Escenari Descripción de URL
Resultado
Respuesta
del Rol os
esperado
del sistema
la
funcionalidad a
probar
<
<Funcion <Descripción de <URL de <
Nombre alidad
a la
del Rol> probar>
funcionalidad.>
Resultado <Resultado
acceso a que se espera que
se
la
al
al realizar la obtiene
funcional prueba.>
realizar
la
idad>
prueba.>
Estructura del CP de VD
Funcionalid
<Nombre de la funcionalidad>
Herramienta:
<Nessus>
Clasificación Resultado
Respuesta del
Flujo Central
ad:
Campos de
Entrada
Esperado
<Nombre del <La
<Resultado que se <Resultado que <Pasos
campo
espera al realizar la se
entrada>
de clasificación
Sistema
es según el prueba,
componente
de
realizar
específicamente si el prueba>
diseño campo de entrada es
utilizado][ejem vulnerable
plo: campo de inyección
texto,
a
SQL,
lista ORM, LDAP, XML,
desplegable o SSI,
campo
selección.>
obtiene
código
de procedimientos
almacenados.>
o
a
al desarrollar
la para
que
indicó>
probar
se
Etapas del procedimiento
Comprobación
Procedimiento para pruebas de
intrusión en Aplicaciones Web
Autor Principal:
Ing. Delmys Pozo Zulueta
Universidad de las Ciencias Informáticas
dpozo@uci.cu
Descargar