En este trabajo practico se hará una evaluación en materia de seguridad en un
organismo gubernamental con proyectos e información real sobre las amenazas o
vulnerabilidades que se puedan presentar, en un ambiente controlado, para esto,
en primera parte se usará el marco de trabajo creado por OWASP, denominado
SAMM para evaluar la organización y tener información sobre donde se encuentra
actualmente en temas de seguridad, debido a la gran extensión del mismo, nos
enfocaremos en el apartado de “Verificación” que incluye tres sub módulos,
“Revisión del Diseño, Revisión de la Implementación y Pruebas de Seguridad”.
Después del análisis teórico, pasaremos a la práctica buscando amenazas o
vulnerabilidades para las aplicaciones con tecnología Web 2.0 tomando en cuenta
el proyecto de OWASP Top 10 y obteniendo del mismo, tres que consideramos son
las más críticas, con mayor cantidad de ataques y que pueden llegar a tener gran
impacto en la organización, estas vulnerabilidades que se revisarán más a fondo
son, A1 Inyección (SQL Injection), A3 Secuencia de Comandos en Sitios Cruzados
(Cross-Site Scripting o XSS) y A10 APIs no Protegidas (Underprotected APIs)
(OWASP, 2017a).
Tomando en cuenta la información que presenta OWASP se montó un laboratorio
de pruebas de seguridad en el Instituto Nacional de Estadística y Geografía (INEGI)
donde se analizaron aplicaciones con tecnología Web 2.0 del año 2015 y 2016
construidas usando tecnología Oracle Java y Microsoft .Net para su análisis a fondo
y confirmación usando una herramienta de código abierto del mismo organismo
OWASP, esta herramienta llamada Zed Attack Proxy por sus siglas en inglés “ZAP”,
ayuda a correr un escaneo completo de la aplicación con tecnología Web 2.0,
detectar vulnerabilidades y simular como si fuera el atacante real, al final se genera
un reporte que puede ser utilizado para corregir estas vulnerabilidades.
This thesis presents an assessment for security in an existing government
organization with real projects and real information about threats and/or
vulnerabilities that may present in a controlled test environment, for this, we will use
OWASP’s SAMM Framework to evaluate the organization and gather information on
where the organization stands in security matter, due the large extension of the
framework, we will focus on the “Verification” module that is sub divided into three
smaller modules, “Design Review, Implementation Review and Security Testing”.
After the theoretical analysis, we will put it to practice searching for threats or
vulnerabilities for Applications with Web 2.0 Technology using OWASP Top 10
project and getting from it, three vulnerabilities that we consider are the most critical,
most attacks and/or more destructive or impact to the organization, these
vulnerabilities that we will be thoroughly reviewed are, A1 Injection, A3 Cross-Site
Scripting or XSS and A10 Under protected APIs (OWASP, 2017a).
Taking into consideration the information presented by OWASP, a test laboratory
was built in INEGI where we analyzed their Applications with Web 2.0 Technology
from past years 2015 and 2016 built using either Oracle Java or Microsoft .Net
Technologies, this laboratory was set to further analyze and try to confirm the
vulnerabilities found using OWASP open source tool called Zed Attack Proxy or
“ZAP”, this tool helped us run a full scan in all Applications with Web 2.0 Technology,
detect vulnerabilities and simulate as if we were a real life attacker, at the end a
report is generated that may be used later on to correct these vulnerabilities.
