08-06-2020

Contenido
Auditoría de Seguridad
Objetivo Seguridad en Bases de Datos 3
Objetivos específicos 3
Resumen 4
Abstract 4
Análisis de aplicativo 6
Introducción al análisis 6
Metodología 6
Resultados 6
Discusión 7
Conclusiones 8
Referencias 9

PRESENTADO POR:
Alexander Ló pez Salazar
Angela Medrano
Miguel Pereira
Edwin Guzmá n
Alexander Padilla Sá nchez

Ingeniería de Sistemas

pág. 2
Objetivo
Realizar la auditoría de seguridad de un sistema de información web utilizando la
metodología OWASP y presentarla en un artículo científico.

Objetivos específicos
Implementación de la metodología OWASP como base para llevar a cabo la
auditoría de un sistema de información basado en web.

● Aplicar en forma práctica los conceptos, lineamientos y normas existentes

para escribir un artículo científico de calidad.

● Llevar a cabo las pruebas o procedimientos establecidos en la metodología

OWASP y se pueda auditar eficazmente la seguridad de la aplicación web y
sus correspondientes motores de bases de datos.

● Aplicar las pruebas de la metodología OWASP de seguridad de aplicaciones

web y analizar los resultados de estas para determinar el nivel de seguridad
de https://chamilo.lopezsalexander.com/index.php

● Determinar los controles de acuerdo con los resultados de las pruebas de la

metodología OWASP que permitan disminuir el impacto de las
vulnerabilidades y mejorar la seguridad de
https://chamilo.lopezsalexander.com/index.php

● Elaborar un informe sobre el resultado de las pruebas realizadas, nivel de

seguridad identificado y los controles propuestos de acuerdo con los
resultados de las pruebas de la metodología OWASP de
https://chamilo.lopezsalexander.com/index.php

pág. 3
Resumen
El presente taller busca evidenciar en forma práctica la implementación de la
metodología OWASP como base para llevar a cabo la auditoría de un sistema de
información basado en web, de tal forma que el estudiante lleve a cabo las pruebas
o procedimientos establecidos en dicha metodología y se pueda auditar eficazmente
la seguridad de la aplicación web y sus correspondientes motores de bases de
datos.
Como resultado de ese proceso, también se busca que el estudiante aplique en
forma práctica los conceptos, lineamientos y normas existentes para escribir un
artículo científico de alta calidad, en el que se condensen los resultados de dicho
proceso de auditoría.
La metodología OSWASP plantea dos fases principales: la fase pasiva en la que se
busca comprender la lógica de funcionamiento del sistema e identificar posibles
túneles de ataques o vulnerabilidades, y la fase activa en la que se realiza un
análisis minucioso e implementación de diferentes pruebas de autorización,
sesiones, configuración, lógica del negocio, denegación del servicio, AJAX,
validación y servicios web.
Realizaremos la auditoría de seguridad de un sistema de información web utilizando
la metodología OWASP.
La herramienta OWASP ZAP es utilizada para el análisis web la cual tiene una
asombrosa versatilidad y características que pueden resultar de gran ayuda al
momento de realizar una auditoría.
PALABRAS CLAVES: OWASP, auditoría, vulnerabilidad, seguridad, WEB, TIC

Abstract
This workshop seeks to demonstrate in a practical way the implementation of the
OWASP methodology as the basis to carry out the audit of a web-based information
system, in such a way that the student carries out the tests or procedures
established in said methodology and you can effectively audit the security of the web
application and its corresponding database engines.
As a result of this process, it is also sought that the student apply in a practical way
the existing concepts, guidelines and norms to write a high quality scientific article, in
which the results of said audit process are condensed.
The OSWASP methodology has two main phases: the passive phase in which it
seeks to understand the operating logic of the system and identify possible attack
tunnels or vulnerabilities, and the active phase in which a thorough analysis and
implementation of different tests are carried out. authorization, sessions,
configuration, business logic, denial of service, AJAX, validation and web services.
We will carry out the security audit of a web information system using the OWASP
methodology.

pág. 4
The OWASP ZAP tool is used for web analysis which has amazing versatility and
features that can be of great help when conducting an audit.
KEYBOARD: OWASP, audit, vulnerability, security, WEB, TIC

pág. 5
Análisis de aplicativo La herramienta OWASP ZAP es
utilizada para el análisis web la cual
Aplicativo web: Chamilo LMS 1.11.10 tiene una asombrosa versatilidad y
URL: características que pueden resultar de
https://chamilo.lopezsalexander.com gran ayuda al momento de realizar
una auditoría.

Introducción al análisis
Metodología
Las aplicaciones basadas en web
cada vez son más llamativas para los La metodología del proyecto busca
ciberdelincuentes por las aplicar los procesos de análisis y
vulnerabilidades o defectos no pruebas de la metodología de
identificados por los programadores, pentesting OWASP (Open Web
en su mayoría por el desconocimiento Application Security Project) para
adecuado en seguridad de datos y por determinar el nivel de seguridad que
las malas prácticas de no hacer un posee
uso continuo de las distintas https://chamilo.lopezsalexander.com ,
herramientas para testear aplicaciones metodologías más famosas por ser
e identificar posibles vulnerabilidades. gratuita y abierta, OWASP (Open Web
Application Security Project) siendo un
Las consecuencias que acarrea una proyecto de código abierto dedicado a
deficiencia en seguridad son nefastas determinar y combatir las causas que
para las organizaciones: se pierden hacen que una aplicación web sea
recursos, credibilidad, clientes, insegura.
información valiosa; responsabilidades
jurídicas y pérdida de clientes, entre
otras. Esto permite reflexionar en torno Resultados
a la pregunta: ¿de qué manera se
podría realizar un análisis de La importancia radica en el aumento
vulnerabilidades en sistemas de la confiabilidad al usar la aplicación
informáticos basados en web y por parte de los usuarios y da a la
posterior divulgación de resultados? empresa una garantía de que el
servicio prestado va a tener la
Es necesario que las organizaciones o disponibilidad requerida por parte del
el personal encargado del área de consumidor; tanto usuario como
seguridad de datos planee e empresa verán reflejado en sus
implemente planes de acción bolsillos que la aplicación sea auditada
enfocados a fortalecer la seguridad de y se corrijan los errores a tiempo. Los
las aplicaciones web, tomando como beneficios que puede traer a la
punto de partida un análisis crítico de empresa la aplicación de este
dichos sistemas para que proyecto son:
posteriormente se documente el
proceso realizado y se den a conocer
los resultados obtenidos. • Identificar las amenazas potenciales
Realizaremos la auditoría de que tiene el sistema
seguridad de un sistema de https://chamilo.lopezsalexander.com/in
información web utilizando la dex.php
metodología OWASP.

pág. 6
• Conocer los niéveles de seguridad es un elemento clave y diferenciador
que presenta el sistema en el nivel de generar confianza y
https://chamilo.lopezsalexander.com/in valor agregado de la empresa para
dex.php todos sus clientes. De esta forma, el
aumento en el uso de las TICS exige
que dichos sistemas se adapten a las
• Tener una base de las medidas que nuevas tendencias y con ellas mejoras
se deben tomar para poder quitar o en su seguridad. Los recursos
disminuir los baches de seguridad de informáticos con los que cuentan las
la página web. empresas deben tener un nivel de
• Tomar medidas efectivas que seguridad aceptable que de un
disminuyan la pérdida de recursos de respaldo frente los problemas que
la misma página. surgen cada día en términos de
seguridad informática; una aplicación
Discusión o un sitio web que cuente con la
seguridad apropiada es un elemento
Toda aplicación o servicio web que
de confianza y genera valor para la
disponga de altos niveles de seguridad
empresa.

pág. 7
Conclusiones
La aplicación del manual de pruebas OWASP se completó con un informe final para
dar a conocer los hallazgos a las partes interesadas; en el caso de
https://chamilo.lopezsalexander.com/index.php se presentan informes que dan a
conocer las partes que se ven expuestas a ataques, pruebas aplicadas en el
sistema y criticidad de las fallas encontradas. El informe es la mejor forma de
presentar los problemas de una manera formal para que el administrador o
personas involucradas puedan tomar acciones correctivas en la menor brevedad
posible.
La metodología OSWASP plantea dos fases principales: la fase pasiva en la que se
busca comprender la lógica de funcionamiento del sistema e identificar posibles
túneles de ataques o vulnerabilidades, y la fase activa en la que se realiza un
análisis minucioso e implementación de diferentes pruebas de autorización,
sesiones, configuración, lógica del negocio, denegación del servicio, AJAX,
validación y servicios web.
La herramienta OWASP ZAP permite realizar ataques pentesting o ataques de
penetración al sistema, con el fin de generar una auditoría de las posibles
vulnerabilidades encontradas en la aplicación web o sistema de información que se
esté analizando.
Fue elaborado el informe ejecutivo y técnico como resultado del análisis del sitio
web https://chamilo.lopezsalexander.com/index.php con el cual se logró especificar
las vulnerabilidades de seguridad mediante el análisis de resultados de las pruebas
de pentesting aplicadas en base a la metodología OWASP.

pág. 8
Referencias
OWASP Foundation, Inc. (2020, April 21). Web security testing guide v4.1 (E. Saad,
R. Mitchell, & M. Meucci (eds.)). OWASP | Open Web Application Security Project;
OWASP Foundation, Inc. https://owasp.org/www-project-web-security-testing-
guide/stable/
https://owasp.org/www-pdf-archive/Introduccion_a_la_OWASP.pdf
https://es.wikipedia.org/wiki/Open_Web_Application_Security_Project

León Socha, F. (2020). Iniciar sesión en Canvas. Areandina.Instructure.Com.

https://areandina.instructure.com/ Fuente: Shutterstock/597024146.

Moruno Cadima, J. (n.d.). Snifer@L4b’s. Sniferl4bs. https://www.sniferl4bs.com

http://www.hh-server.com/archivos/documentos/owasp-zed-attack-proxy-guide.pdf.

pág. 9