Informe Personalizado Aura Portal

Transcripción

1 Informe Personalizado Aura Portal Versión 1

2 CONTENIDO 1. DET ALLE DE VU LNERABILIDADES 1.1. VULNERABILIDADES DE APLICACIÓN 1.2. VULNERABILIDADES DE CONFIGURACIÓN 1.3. VULNERABILIDADES DE VERSIÓN DE PRODUCTO 1.4. RECOMENDACIONES 2. ANEXOS 2.1. REFERENCIAS 2.2. NOMENCLATURA 1

3 DETALLE DE VULNERABILIDADES 1.1 V UL N E R A B I L I D A D E S D E A P L I C A C I Ó N No se han encontrado vulnerabilidades. 2

4 1.2 V UL N E R A B I L I D A D E S D E C O N FI GUR A C I Ó N No se han encontrado vulnerabilidades. 3

5 1.3 V UL N E R A B I L I D A D E S D E V E R S I Ó N D E P R O D UC TO No se han encontrado vulnerabilidades. 4

6 1.4 R E C O M E N D A C I O N E S No se han encontrado vulnerabilidades. 5

7 ANEXOS 2.1 R E FE R E N C I A S OW ASP. h ttp: //w w w. ow asp. org / OWASP es una comunidad abierta dedicada a facilitar que las organizaciones desarrollen, adquieran, mantengan y operen aplicaciones seguras. OWASP Guide. Guía para diseñar, desarrollar y desplegar aplicaciones web y sistemas seguros OWASP Testing Guide. Guía que define una metodología de pruebas de seguridad de aplicaciones web no solo centrada en pruebas de intrusión sino también en el ciclo de vida de desarrollo de software, definición de modelos de riesgo y revisión de código fuente. Open Sou rce Secu rity T estin g Meth odolog y Man u al (OSST MM). h ttp: //w w w. isecom. org / Metodología Abierta de Testeo de Seguridad que reúne diversas pruebas y métricas de seguridad utilizadas por los profesionales durante las Auditorías de Seguridad desarrollado por Institute for Security and Open Methodologies (ISECOM) SANS In stitu te Referen ces. h ttp: //w w w. san s. org El Instituto SANS tiene como principales objetivos reunir información sobre todo lo referente a seguridad informática y ofrecer capacitación y certificación en el ámbito de la seguridad informática. CVSS - Common Vu ln erability Scorin g Sy stem. h ttp: //n vd. n ist. g ov/cvss. cfm Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la comunicación de las características y el impacto de las vulnerabilidades de Tecnologías de Información. Se trata de un sistema de puntuación de las vulnerabilidades estandarizado para clasificar las vulnerabilidades de TI. Ayuda a priorizar y coordinar una respuesta conjunta a las vulnerabilidades de seguridad mediante la comunicación de las propiedades base, temporales y ambientales de una vulnerabilidad. CVE - Common Vu ln erabillity an d Exposu res h ttp: //w w w. cve. mitre. org / Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades CAPEC - Common Attack Pattern En u meration an d Classification h ttp: // capec. mitre. org / Provee una lista de patrones de ataque comunes según un esquema exhaustivo y una taxonomía de clasificación. Esta información permite tener una sólida comprensión de la perspectiva del atacante y los métodos utilizados para explotar los sistemas de software. CAPEC proporciona esta información con el fin de ayudar a mejorar la seguridad de todo el ciclo de vida de desarrollo software y apoyar las necesidades de los desarrolladores, probadores y educadores. CW E - Common W eakn ess En u meration h ttp: //cw e. mitre. org / CWE proporciona un conjunto de debilidades software unificado y medible. Permite una mejor comprensión y gestión de los puntos débiles relacionados con la arquitectura y diseño del software. 6

8 2.2 N O M E N C L A TUR A Vu ln erabilidad Un error, fallo, debilidad, o exposición de una aplicación, sistema, dispositivo o servicio que podría comprometer la confidencialidad, integridad o disponibilidad del sistema o de la información que trata. Activo Recurso de valor empleado en una empresa u organización. Amen az a Se trata de circunstancias o eventos que tienen una probabilidad de ocasionar un daño a un recurso de información al explotar las vulnerabilidades que posea. Riesg o Se trata de la probabilidad de que una amenaza explote una vulnerabilidad y pueda ocasionar un daño potencial a los activos de la organización. N. I. D. NID es Nessus ID correspondiente al script NASL de Nessus. B. I. D. Bugtrack ID, es un identificador de los resultados de las vulnerabilidades encontradas por programas de seguimiento de vulnerabilidades. O. S. V. D. B. Es una base de datos independiente y de código abierto, creada por un grupo de especialistas en el ámbito de la seguridad. C. V. E. Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades. 7

9 Common Vu ln erability Scorin g Sy stem o C. V. S. S. Es un conjunto de valores estándar para medir la severidad de una vulnerabilidad en la seguridad de un sistema informático. Establece una serie de parámetros comparados para poder establecer prioridades en el tratamiento de una vulnerabilidad. El vector CVSS Base tiene el siguiente formato: (AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]) Las letras entre paréntesis representan los valores posibles de una métrica CVSS. Se debe seleccionar una opción entre cada conjunto de corchetes. Las letras que aparecen fuera de los corchetes son obligatorias y deben incluirse a fin de crear un vector CVSS válido. Cada letra o par de letras es una abreviatura de un valor de métrica en valor CVSS. Estas abreviaturas se definen a continuación. Métricas: AV = Vector de Acceso (Relacionado con el rango de explotación) Posibles valores: L = acceso local, A = Red adyacente, N = Internet Métricas: AC = Complejidad de Acceso (Requerido ataque complejidad) Posibles valores: H = Alta, M = Mediano, L = Bajo Métricas: Au = Autenticación (Nivel de autenticación necesarios para explotar) Posibles valores: N = No se requiere, S = Requiere única instancia, M = Requiere varias instancias Métricas: C = ConfImpact (Impacto a la Confidencialidad) Posibles valores: N = No, P = Parcial, C = Completa Métricas: I = IntegImpact (Impacto a la Integridad) Posibles valores: N = No, P = Parcial, C = Completa Métricas: A = AvailImpact (Impacto a la Disponibilidad) Posibles valores: N=No, P=Parcial, C=Completa NVD Valoración de Severidad de Vu ln erabilidad La NVD, Base de Datos Nacional de Vulnerabilidades de Estados Unidos de América, proporciona clasificaciones de la gravedad de las vulnerabilidades: La vulnerabilidad etiquetada de ' Baja ' gravedad tienen un CVSS base de puntuación de La vulnerabilidad etiquetada de ' Media ' gravedad tienen un CVSS base de puntuación de La vulnerabilidad etiquetada de ' Alta ' gravedad tienen un CVSS base de puntuación de CPE Common Platform Enumeration (CPE) Se trata de esquema de nomenclatura estructurado para sistemas informáticos, plataformas y paquetes. Basado en la sintaxis de uso general Uniform Resource Indentifiers (URI). CPE incluye un formato para la definición de nombres, un lenguaje que permite describir plataformas complejas y un método que permite buscar sistemas a partir de nombre. 8

10