Download - PENTEST EXTERNO - BCNSoluciona
PENTEST EXTERNOResumen de resultados
Siempre existe una solución.
Informe de auditoría web básica
xxx.com
Metodología
Resumen ejecutivo
Vulnerabilidades detectadas
Observaciones
Auditoría web básicaÍndice de contenidos
Siempre existe una solución. 2
Auditoría web básicaMetodología
Siempre existe una solución. 3
En Bcnsoluciona , nuestras auditorías o pentest se basan en la metodología de OWASP y en una clasificación del riesgo basada en CVSS.
OWASP ( Open Web Application Security Project)Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Owasp ha definido una guía para hacer los test de vulnerabilidades de las aplicaciones, una guía en continua actualización que valora losnuevos patrones de ataques que realizan los hackers, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
CVSS (Common Vulnerability Score System)En el contexto de la seguridad de la información, una vulnerabilidad se define como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad para el negocio.Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades.Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10.
Alto: 10,0-7,0 Medio: 6,9-4,0 Bajo: 3,9-0.0
Auditoría web básicaResumen ejecutivo
Siempre existe una solución. 4
Comentarios- Analizada web xxx.com/….
- Se recomienda actualización del mod_ssl para Apache ya que se podría obtener control total del sistema
Clasificación de vulnerabilidades según riesgo
Alto 2
Medio 1
Bajo 1
Vulnerabilidades
Alto Medio Bajo
Número de vulnerabilidades encontradas, su clasificación y su gráfico
Explicación ejecutiva de las vulneravilidades
encontradas
Auditoría web básicaVulnerabilidades detectadas
Siempre existe una solución. 5
001 Apache Mod_ssl/2.0.46 CVSS: 8 . 10Riesgo: Alto
- The mod_ssl module provides strong cryptography for the Apache Web server via the Secure Sockets Layer (SSL) and Transport Layer Security (TLS) protocols. Versions of mod_ssl prior to 2.8.10 are subject to a single NULL overflow that can cause arbitrary code execution.
- mod_ssl/2.8.4 - mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell.
Ficha de la vulnerabilidad encontrada y su información, en este caso grave!!!
Auditoría web básicaVulnerabilidades detectadas
Siempre existe una solución. 6
002 SQL injection CVSS: 6 Riesgo:medio
En el formulario xxxxx ……
Ficha de la vulnerabilidad encontrada y su información, en este caso media!!!
Auditoría web básicaVulnerabilidades detectadas
Siempre existe una solución. 7
003 Ataques de fuerza bruta CVSS:2 Riesgo: bajo
Debido al número de portales de acceso ………
Ficha de la vulnerabilidad encontrada y su información, en este caso bajo!!!
Auditoría web básicaObservaciones
Siempre existe una solución. 8
• Se recomienda actualizar y solucionar la vulnerabilidad Apache Mod_ssl/2.0.46 • Se recomienda la revisión de todos los paneles de acceso de los portales por un posible ataque de fuerza
bruta……..
Comentarios y observaciones sobre la auditoria de la web y recomendaciones.
Siempre existe una solución!
www.bcnsoluciona.com