mrodriguezsanchez1TFC0115presentación
Páginas: 3 (534 palabras)
Publicado: 24 de octubre de 2015
Catalunya (UOC).
Área de Seguridad Informática.
Enero 2014 – 2015.
Estudiante: Miriam Rodríguez Sánchez.
Tutor universitario: Cristina PérezSolà.
Introducción
Definición
• Auditoría web: proceso
Punto de partida
• Análisis de un servidor web
Objetivos
• Ejercicio práctico
• Método en cuatro fases
Breve descripción
• Fases delmétodo:
•
•
•
•
Reconocimiento
Mapeado
Descubrimiento
Explotación
Metodologías de partida (I)
OSSTMM
OWASP
Tres pilares de la
seguridad
Top Ten
Casos de prueba
Vulnerabilidades
Web típicasMetodologías de partida (II)
OSSTMM
Tres pilares de S.I.:
Casos de prueba:
Confidencialidad
Seg. Humana
Integridad
Seg. Física
Disponibilidad
Seg. Inalámbrica
Seg.
Telecomunicaciones
Seg. Redes dedatos
Metodologías de partida (III)
OWASP
Top Ten:
Escalada de
privilegios
Vuln. Web
típicas:
Inclusión de
ficheros
Enumeración
de usuarios
Fuerza bruta
Metodologías de partida (IV)
Top Ten:Inyección
Exposición
Sesiones
Control de acceso
Cross-Site Scripting
Cross-Site Request
Forgery
Referencias a objetos
Vuln. conocidas
Configuración
Reenvíos no
validados
Aspectos de laauditoría web
Tipos de test
Caja negra
Caja blanca
Caja gris
Aspectos normativos y legales
LOPD
PCI DSS
Aspectos contractuales de la auditoría
Permiso explícito
Acuerdo de no
divulgación
Definicióndel alcance
Reglas de compromiso
Ausencia de garantías
Informe de resultados
Resumen ejecutivo
Consideraciones
técnicas
Hallazgos
Herramientas
Conclusiones y
apéndices
Metodología.Reconocimiento (I)
Definición del alcance.
Búsquedas en registros de internet: whois, nslookup, dig.
Metodología. Reconocimiento (II)
Consultas en páginas públicas:
•
•
•
•
•
Noticias.
Grupos de soportetécnico.
Listas de correo o foros.
Redes sociales profesionales.
Ofertas de empleo.
Motores de búsqueda:
• Robots.txt
• Directivas y operadores.
Búsqueda de sub-dominios:
• Fierce domain scan: #...
Leer documento completo
Regístrate para leer el documento completo.