Matrics - Ciberseguretat

De Wiket
Salta a la navegació Salta a la cerca

Memoria

1. Descripción del proyecto

Este proyecto ha sido realizado por los alumnos de Administración de Sistemas Informáticos en Redes del instituto público Esteve Terrades i Illes. Nuestro proyecto trata sobre seguridad infromática en entornos de aplicaciones web, es decir, hemos auditado la seguridad informatica del proyecto de matriculaciones online creado por el departamento informático de nuestro centro. Hemos sido los encargados de verificar que la aplicación web que se ha desarrollado es completamente segura para el uso de los centros escolares que quieran utilizar este sistema de matriculación en línea. También hemos sisdo los encargados de poner en producción la aplicación en máquinas CLOUD y automatizar lo máximo posible la instalación de la aplicación. Escogimos este proyecto porqué estamos interesados en realizar una primera toma de contacto en el mundo de la ciberseguridad y las aduitorias informáticas. Con este proyecto hemos adquirido experienca no solo en el mundo de la informática, sino también aprender como trabajan en equipos en proyectos informáticos. En definitiva, escogimos el proyecto porque pensamos que era una buena idea y qeu nos podría ayudar en nuestro futuro estudiantil y laboral.

2. Funcionalidades del proyecto

Nuestra funcion es aduditar y poner en producción la aplicación web y móbil que los equipos de DAM (Desarrollo de Aplicaciones Multiplataforma) y DAW (Desarrollo de Aplicaciones Web) realizan. La aplicación servira para que los proximos años que nos quedan lidiar con la pandemia, la gente pueda matricularse en los grados superiores sin necesidad de correr riesgos inecesarios como el desplazamiento hacia los centros escolares y el establecer contacto con personas fuera de su burbuja de convivencia. Donde entra nuestro proyecto es cosneguir hacer que la gente pueda compartir sus datos personales de forma segura. Esto lo hacemos evitando vulnerabilidades en los códigos de la aplicación y la auditoria de los sistemas de los centros escolares.

Testing APP - Selenium

CI - Continuous Integration: Testing Automatitzat

CD - Continuous Delivery: Posta en Producció

Pentesting

En este proyecto usaremos 3 herramientas muy conocidas en el mundo de la seguridad de aplicaciones web. Hemos escogido estas herramientas porque son de código libre y las hemos ido usando i/o estudiando a lo largo de nuestro recorrido en el curso de Administración de Sistemas Informáticos en Redes.

2.1 - SQLMap

SQLMap es una herramienta especializada en la detección de vulnerabilidades en códigos SQL. Con esta aplicación desarrollada en Python, podremos comprobar las vulnerabilidades que pueda haber en la aplicación de forma automática. Esto nos ahorrará mucho tiempo a la hora de realizar el test de penetración de la APP que se está desarrollando.

Algunas de las características principales de esta potente herramienta son:

   • Soporta completamente MySQL, Oracle, PostgreSQL y Microsoft SQL. A parte de estos Cuatro sistemas de gestión de BBDD, SQLMap puede identificar Microsoft Access, DB2, Informix, Sybase y Interbase.
   • Cuenta con una amplia base de datos de sistema de gestión de huellas dactilares basadas en inband error messages, analizar el banner, las funciones de salida de comparación y características específicas tales como MySQL comment injection. Contamos con la posibilidad de forzar a la base de datos del sistema de gestión de nombre si ya lo saben.
   • Soporta completamente inyecciones SQL inband e inyecciones SQL a ciegas.

En conclusión, esta herramienta nos será de gran ayuda para comprobar que no se puede extraer información de la base de datos si usamos ataques basados en inyecciones SQL.

2.2 - OWASP ZAP

Open Web Aplication Security Project (OWASP) es un proyecto open source encargado de mejorar la seguridad de las aplicaciones y servicios web. Tiene el fin de conseguir que internet llegue a ser un lugar cada vez más seguro. Este proyecto publica los resultados de diferentes análisis de seguridad para que las organizaciones de todo el mundo tengan en cuenta estas vulnerabilidades y que las solucionen lo antes posible.

Gracias a esta organización podemos contar hoy en día con su programa OWASP ZAP, una herramienta que está diseñada específicamente para la monitorización de la seguridad de las aplicaciones web de las compañías. Esta aplicación es una de las más usadas para realizar este tipo de trabajos.

Las características principales de OWASP ZAP son:

   • Una herramienta totalmente gratuita y de código abierto.
   • Es multiplataforma e incluso compatible con Raspberry Pi.
   • Es muy fácil de instalar y depende únicamente de Java 1.7 o superior.
   • Tiene la posibilidad de asignarles sistemas de prioridades.
   • Cuenta con 12 traducciones (entre ellas el español).
   • Posé un excelente manual de ayuda y una inmensa comunidad en la red.

Con esta herramienta forense contamos con una serie de análisis específicos y funciones:

   • Posibilidad de comprobar todas las peticiones y respuestas entre clientes y servidor.
   • Posibilidad de localizar recursos en un servidor.
   • Análisis automático.
   • Análisis previo.
   • Posibilidad de lanzar varios ataques a la vez.
   • Capacidad para utilizar certificados SSL dinámicos.
   • Soporte para utilizar tarjetas inteligentes (DNI-e, por ejemplo) y certificados personales.
   • Análisis de sistemas de autenticación.
   • Posibilidad de actualizar la herramienta automáticamente.
   • Dispone de una tienda de extensiones (plugins) con las que añadir más funcionalidades a la herramienta.

En conclusión, esta herramienta destaca por su potencia y su sencillez de uso. Esta ha sido una de las razones por las que he escogido usarla. Las características principales y sus funciones la hacen una aplicación indispensable para cualquier auditor de seguridad informática.

2.3 - Burp Suite   Esta herramienta creada por la empresa PostSwigger cuenta con todo tipo de funcionalidades. Es una aplicación utilizada principalmente en las auditorías de seguridad en aplicaciones web.    La aplicación permite combinar pruebas manuales y automáticas, además cuenta con un gran número de funcionalidades.   Las principales funcionalidades de esta aplicación son:  

   • Target: permite fijar un objetivo y construir un SiteMap a partir de él.
   • Proxy: un proxy entre navegador e Internet, que permite interceptar las peticiones e inspeccionar el tráfico.
   • Spider: una araña que inspecciona las páginas web y recursos de la aplicación de manera automatizada.
   • Scanner: escáner avanzado para aplicaciones web, que permite detectar diferentes tipos de vulnerabilidades tanto de forma pasiva como activa.
   • Intruder: permite automatizar procesos: fuzzing de la aplicación, ataques de fuerza bruta o diccionario, ataques SQLi, XSS, enumeración de usuarios y directorios, etc.
   • Repeater: permite manipular las peticiones interceptadas, modificando parámetros y cabeceras de las peticiones para después replicarlas nuevamente.
   • Secuencer: permite analizar la aleatoriedad de los tokens de sesión. Muy útil para obtener cookies y tokens CSRF por fuerza bruta.
   • Decoder: utilizado para codificar y decodificar parámetros, URLs, hashes, etc.
   • Comparer: compara los datos de peticiones y respuestas.
   • Extender: para cantonización de plugins y realización de ataques personalizados.

2.4 - Mobile Security Framework (MobSF)

Mobile Security Framework (MobSF) es una aplicación All-In-One (todo en uno). Es de código abierto y está escrita en Python. Se usa para analizar aplicaciones móviles (Android / iOS) y es capaz de realizar análisis estático y dinámico de manera automática. MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). APK, IPA & APPX

Sus características principales son: Recopilación de información y análisis de encabezados de seguridad. Análisis dinámico y estático. API web fuzzing para vulnerabilidades de seguridad. Evaluación de seguridad automatizada gratuita y de código abierto para aplicaciones. Identifique las vulnerabilidades de la API móvil (XXE, SSRF, Path Traversal, IDOR) Como he dejado reflejado antes, esta aplicación cuenta con dos tipos de analizadores:

El analizador estático es capaz de realizar: la revisión de código automático, detección de permisos y configuraciones inseguras, detectar código inseguro SSL, derivación SSL, cifrado débil, códigos ofuscados, permisos incorrectos, secretos codificados, el uso indebido de APIs peligrosas, fugas de información sensible y el almacenamiento de archivos inseguros. El analizador dinámico ejecuta la aplicación en una máquina virtual o en un dispositivo configurado y detecta los problemas en tiempo de ejecución. Se realiza un análisis más detallado en los paquetes de red capturados descifrando: el tráfico HTTPS, los informes de registros, informes de error, la información de depuración y seguimiento de la pila. Sobre los activos de aplicaciones como: archivos de configuración, las preferencias y bases de datos. En conclusión, esta aplicación nos será muy útil para comprobar que el cliente móvil es seguro y que no posee ningún tipo de vulnerabilidad.

Seguretat Android i iOS