MAPA RIESGOS PROBABILIDAD CASI SEGURO PROBABLE   PROBABLE 6. Protocolo SSL inseguro 1. Registro SPF 2. Cargue de Archivos Maliciosos POSIBLE 9.

Slides:



Advertisements
Presentaciones similares
Exposición Dreamweaver Integrantes: Piero Alvarez Andrea Deleg Cristian Rodriguez Milena Gomez Jhoni Leon.
Advertisements

En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
FUNDAMENTOS WEB DOCENTE : ING. CRISTIAN VALLE RONCEROS.
Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un.
Universidad Pedagógica Francisco Morazán Tema: SISTEMA DE BASE DE DATOS Grupo: 5 Integrantes: Danilo Hernán Lagos Avilés Erlinda Yohanna Díaz Elvir Indira.
Programa de Jornadas Escolares Promoción del uso seguro y responsable de Internet entre los menores Protección ante virus y fraudes Charla de sensibilización.
POLITICAS DE SEGURIDAD. Las políticas de seguridad son elaboradas de acuerdo al análisis de riesgos y de vulnerabilidades en las dependencias de Las Empresas,
Conocida también como informática en la nube, del inglés Cloud Computing, es un modelo o paradigma para la utilización de los recursos informáticos,
Protección ante virus y fraudes
Servidor de aplicaciones
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
Sistema Nacional de Información Básica en Materia de Salud - SINBA
Dirección web e Ingreso
Registro de Software REALIZADO POR: ANDRÈS BARRETO.
“Seguridad en Aplicaciones Web”
Educación Online Instituto HG.
Seguridad de redes empresariales
Comité de Sistemas Objetivos:
SEGURIDAD EN INTERNET.
e.Firma / e.Firma portable
Instructivo Análisis de Eventos del SIN
LOS DIFERENTES LENGUAJES DE PROGRAMACION PARA LA WEB
COMITÉ DE PROTECCIÓN DE DATOS PERSONALES
U.T. 11: Introducción A Las Bases De Datos
Auditoria Informática Unidad III
Día de la Internet Segura, 07/02/2017
Ana Fernanda Rodríguez Hoyos
HERRAMIENTAS PARA TRABAJAR.
Seguridad en la Red.
PROTOCOLO SSL.
INTRANET.
Tema2. Instalación y administración de DHCP. Problemas asociados a DHCP. Seguridad. Jorge De Nova Segundo.
QUE ES UN SERVIDOR DE CORREO
Instructivo Análisis de Eventos del SIN
Juan Daniel Valderrama Castro
Push Notifications.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI
Administración de Sitios Web
Una estrategia es un conjunto de acciones que se llevan a cabo para lograr un determinado fin. DEFINICIÓN DE ESTRATEGIA.
Implementación de una arquitectura PKI para el Ejército Ecuatoriano, utilizando software libre Proyecto de investigación previo la obtención del título.
 Importancia de a Seguridad Informática, Seguridad de la Información y Seguridad en Sistemas Operativos Libardo Antonio Miranda Contreras Candidato a.
DISEÑO WEB Sesion 1.
Presenta.
A RQUITECTURA C LIENTE - SERVIDOR La arquitectura del cliente servidor se divide en dos partes Los promovedores de recursos o servicios llamados servidores.
MÚSICA HIPERVÍNCULO Pérez Chávez Jorge Luis 1*F T/M.
¿ Qué es un hipervínculo? Ramírez Martínez Alejandra 1.F T/M N.L:35.
TIPOS DE HIPERVINCULO Hipervínculo de texto: Un hipervínculo de texto es un enlace que se encuentra asociado a un texto, de forma que si hacemos clic.
¿Qué es un hipervínculo? . Un hipervínculo es un enlace, normalmente entre dos páginas web de un mismo sitio, pero un enlace también puede apuntar a.
PHISHING. ¿QUÉ ES EL PHISHING?  Un tipo de engaño difundido a través de la Red.  Consiste en imitar Correos, Sitios Web de empresas conocidas.  El.
Soporte al Sistema Operativo
Punto 4 – Componentes del servicio DNS
Objetivo de la presentación
Tema 1 – Adopción de pautas de seguridad informática
VIRUS PHISHING NOMBRE : JUAN PAREDES MODULO : TALLER INFORMÁTICO.
Presentación del Curso Curso de Seguridad Informática Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Material Docente de Libre Distribución.
Evaluación de la gravedad de influenza (PISA)
CONSEJOS PARA NAVEGAR EN INTERNET DE MANERA SEGURA.
SISTEMA ELECTRONICO DE CONTROL DE OBRAS BITACORA Versión 2.0
Autenticación Unidad 3. La autenticación es un aspecto fundamental de la seguridad de un sistema. Confirmar la identidad de cualquier usuario que intenta.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED
Conceptos relacionados con la interfaz gráfica Taller de diseño página Web.
¡Bienvenido! “Ponemos la mejor Tecnología al alcance de TI”
SEGURIDAD INFORMÁTICA TEMA PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.
Lenguajes del lado del cliente
Docente: Valerio Herrera, Luis E. Experiencia Formativa III Semana 4: Servidores Web.
INTERNET Funcionamiento y Principales Virtualidades “…..En un lapso de 20 años, la tecnología ha venido cambiando radicalmente nuestra forma de vivir….”
Intr. a la creación y gestión de páginas web
Presentación del Curso Curso de Seguridad Informática Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Material Docente de Libre Distribución.
DECÁLOGO SEGURIDAD EN DISPOSITIVOS MÓVILES
PROXY MARISOL LUNA MARTÍNEZ EUNICE CASTILLO ORFILIA ANGULO MARLOVY.
Transcripción de la presentación:

MAPA RIESGOS PROBABILIDAD CASI SEGURO PROBABLE   PROBABLE 6. Protocolo SSL inseguro 1. Registro SPF 2. Cargue de Archivos Maliciosos POSIBLE 9. Servicio vulnerable a Clickjacking. 10. Vulnerabilidad Reverse Tanabbing 11. Acceso a infromacion de infraestructura del sitio 3. Script Vulnerable 4. Servicio vulnerable a DoS 8. Autorizacion explicita de tratamiento de datos 5. Registro DNS CAA 7. Parametros de seguridad DNS IMPROBABLE RARO INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO IMPACTO

Hallazgo 1: Falta de definición de registro SPF para el dominio de correo.

7.2.1 Hallazgo 2: Cargue de archivos al sitio no validada. A través del acceso a la url https://www.cno.org.co/node/add/consultor Es posible realizar el cargue de archivos al servidor. De acuerdo a la prueba realizada fue posible cargar un archivo .com con una muestra del antivirus eicar. El archivo se pudo cargar cambiándole la extensión por *.xls.

7.2.1 Hallazgo 2: Cargue de archivos al sitio no validada. Riesgo: Inyección de malware Protección Existente: Bajo Riesgo Residual: Alto Probabilidad: Probable Impacto: Mayor Plan de Acción: - Implementar mecanismos de control al cargue de archivos desde el sitio web, de manera que además de validar la extensión de los archivos verifique su contenido

Hallazgo 5. Falta de definición del registro DNS CAA. La falta de definición del registro CAA , podría permitir a cualquier entidad emitir certificados para el dominio www.cno.org o sus subdominios. El registro CAA se debe definir en los registros DNS indicando que CA están autorizados para definir certificados para dicho dominio.

Hallazgo 5. Falta de definición del registro DNS CAA. Riesgo: Robo o secuestro del dominio www.cno.org Protección Existente: Bajo Riesgo Residual: Alto Probabilidad: Posible Impacto: Mayor Plan de Acción: Realizar el registro de CAA

Hallazgo 7. Falta de definición de parámetros de seguridad en el registro DNS. Cada vez que desee actualizar la información de su dominio en el registro global, debe proporcionar un código de autorización de dominio único (Código de autenticación) para demostrar que es el propietario del dominio. Sin este código, el registro rechazará cualquier intento de cambiar un dominio. Los códigos de autenticación solo ofrecen una protección básica contra el secuestro de dominios a través de transferencias de dominio no autorizadas. Si un atacante interceptara su Código de Autenticación (por ejemplo, pirateando su cuenta de correo electrónico, husmeando en una conexión de Internet insegura o comprometiendo al registrador), podrían robar su nombre de dominio. La definición de los siguientes registros puede mitigar estos riesgos: - clientTransferProhibited - clientUpdateProhibited - clientDeleteProhibited.

Hallazgo 7. Falta de definición de parámetros de seguridad en el registro DNS Riesgo: Robo o secuestro del dominio www.cno.org Protección Existente: Bajo Riesgo Residual: Alto Probabilidad: Posible Impacto: Mayor Plan de Acción: Evaluar la implementación de los parámetros evaluados en la definición del registro del DNS

7.2.5 Hallazgo 6. Protocolo SSL inseguros. El servicio ssl permite la utilización de los protocolos SSL V3 el cual es un protocolo vulnerable. Este protocolo hace al servidor a ataques específicos como el Poodle.

Riesgo: Acceso no autorizado a comunicaciones cifradas Protección Existente: Media Riesgo Residual: Medio Probabilidad: Probable Impacto: Moderado Plan de Acción: - Se recomienda activar una característica en los servidores y navegadores llamada TLS_FALLBACK_SCSV, que mitigaría el ataque al parar esos intentos de que se use SSLv3 en la conexión. Si ambos la tienen activada, cualquier oferta del navegador para una versión de SSL/TLS que no sea la más moderna que soporte el servidor fallará. Esto es, si el navegador pide SSLv3 a un servidor que soporta TLS 1.2, el servidor rechazará la conexión y se evitaría así que un atacante fuerce protocolos menos seguros.

Hallazgo 3: Utilización de Script Vulnerables. Se identifica en la página la utilización del Script jQuery UI@1.10.4, sobre el cual se reportan vulnerabilidades altas

Hallazgo 3: Utilización de Script Vulnerables. Riesgo: Robo de credenciales explotando vulnerabilidad XSS Protección Existente: Bajo Riesgo Residual: Medio Probabilidad: Posible Impacto: Moderado Plan de Acción: Se requiere evaluar la actualización de este script jquery-ui a su más reciente versión.

Hallazgo 4: Servicio expuesto que es vulnerable ataques D.O.S En la url https://www.cno.org.co/xmlrpc.php se encuentra expuesto el servicio XML-RPC. Este servicio expone al servidor a ataque de D.O.S

Hallazgo 4: Servicio expuesto que es vulnerable ataques D.O.S Riesgo: No disponibilidad del sitio web Protección Existente: Bajo Riesgo Residual: Medio Probabilidad: Probable Impacto: Moderado Plan de Acción: - Evaluar deshabilitar el servicio XML-RPC si este no es requerido.

Hallazgo 8. Formato de captura de datos personales sin autorización explicita del usuario. La url de captura de datos https://www.cno.org.co/content/boletin-informativo-cno . No tiene autorización explicita del tratamiento. Igualmente no incluye vínculos a política de tratamiento de datos.

Hallazgo 8. Formato de captura de datos personales sin autorización explicita del usuario. Riesgo: Incumplimiento ley de protección de datos Protección Existente: Bajo Riesgo Residual: Medio Probabilidad: Posible Impacto: Moderado Plan de Acción: - Ajustar el formato incluyendo en check que evidencia la autorización explicita del usuarios del sitio para el tratamiento de sus datos.

Hallazgo 9. Se identifican url’s vulnerable a clickjacking En las cabeceras de respuesta de la url https://www.cno.org.co/install.php no se encuentran definido el parámetro X Frame Options SameOrigin, lo que permite la inclusión de frames externos que permiten redireccionar al usuario hacia otro sitio

Hallazgo 9. Se identifican url’s vulnerable a clickjacking Riesgo: Robo de identidad de usuarios Protección Existente: Bajo Riesgo Residual: Medio Probabilidad: Posible Impacto: Menor Plan de Acción: Evaluar desactivar el acceso a la url si esta no se requiere

Hallazgo 10. Se identifican link’s vulnerables a ataque Reverse Tabnabbing. La vulnerabilidad de tabnabbing expone el navegador a la ejecución de ataques de phishing, direccionando al usuario hacia un nuevo tab, que simula ser algún sitio legitimo con el objetivo de robar credenciales usualmente asociadas a redes sociales. https://www.cno.org.co/content/reunion-comision-de-ciberseguridad-29 https://www.cno.org.co/content/reunion-ctecnologico-75 https://www.cno.org.co/content/reunion-extraordinaria-sprotecciones-94 https://www.cno.org.co/content/reunion-sh-345 https://www.cno.org.co/content/reunion-spo-184 https://www.cno.org.co/content/reunion-sprotecciones-95 Los links asociados a esta vulnerabilidad son: https://global.gotomeeting.com http://www.incubo.com.co El parámetro de invocación utilizado obliga que el documento referenciado por el enlace sea mostrado en una nueva ventana del navegador. target="_blank">http://www.incubo.com.co/asocodis/2018/ambar/01boletinAMBAR2018.html.

Hallazgo 9. Se identifican url’s vulnerable a clickjacking - Riesgo: Incumplimiento ley de protección de datos - Protección Existente: Bajo - Riesgo Residual: Medio - Probabilidad: Posible - Impacto: Moderado - Plan de Acción: Evaluar Incluir el siguiente atributo rel="noopener noreferrer" cuando se utiliza el parametro Target

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio. A través de la navegación en difrentes url’s expuestas en internet se tiene acceso a información de la configuración de productos instalados: https://www.cno.org.co/install.php

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio. https://www.cno.org.co/INSTALL.sqlite.txt

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio. https://www.cno.org.co/CHANGELOG.txt

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio.

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio. https://www.cno.org.co/INSTALL.pgsql.txt

Hallazgo 11. Se tiene acceso a información de la infraestructura del sitio. Riesgo: Entrega de información útil para ejecución de ataques Protección Existente: Bajo Riesgo Residual: Bajo Probabilidad: Posible Impacto: Moderado Plan de Acción: Deshabilitar el acceso a las url’s que exponen información interna.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.