Tema De Proyecto:

Auditoria De La agencia de viaje X-TravelPeru

Es una empresa que se dedica a la venta de paquetes tursticos a nivel nacional e internacional
de diversas variedades, en la cual la informacin relacionada a las ventas, y control se realiza
de mediante la pgina web esta es la nica herramienta que les permite el control y registro
de las ventas y programacin de itinerarios.
Generalidades De La Ley De La Empresa:
Razn Social: Agencia de viajes X-TravelPeru.
Localizacin: Calle Palacios 122
Numero De Ruc: 1443534747 Mejia Huacac Eder.
Tipo De Contribuyente: Persona Juridica.
Nombre Comercial: X-TravelPeru.
Fecha De Inscripcin: 25/08/2014.
Fecha De Inicio De Actividades: 12/05/2014
Estado Del Contribuyente: Activo.
Condicin Del Contribuyente: Habido
Direccin Del Estado Fiscal: Calle Palacios 122(Esquina de la piedra de los 12 angulos) Cusco Cusco Cusco.
Sistema De Emisin De Comprobante: Manual
Actividad De Comercio Exterior: Activo.
Sistema De Contabilidad: Sistemtico.
Profesin U Oficio: Profesin U Ocupacin No Especificada.

Alcances De La Auditoria De Sistemas Informticos:

AREAS: informtica
La auditora nos ayudara a la mejora y al buen uso de la pagina web y mejorar la seguridad
buscando analizando y resolviendo los problemas hallados ya que la pagina fue creada
recientemente y es la herramienta principal para la difusin y publicidad de la empresa y sus
productos.
Herramientas Proporcionadas Por La Empresa:
Dominio:
-

Se tiene el dominio de la pgina web.

Estructura bsica del esquema usado.

Personal Encargado:
Programador web: RaulZuiga Cruz
Webmaster: Eder Mejia Huacac
Tiempo De Duracin:
13 das hbiles.

UNIVERSIDAD TECNOLOGICA DE LOS ANDES

AUDITORIA DE SISTEMAS INFORMATICOS

AUDITORIA A LA AGENCIA DE VIAJES X

Travel peru

PALACIOS MACEDO, KEVIN ALFREDO

201023272 I

CUSCO - PERU

INFORME DE AUDITORIA A LA PAGINA WEB DE LA AGENCIA DE VIAJES X-TRAVEL PERU

1 OBJETIVO
Reconocer el correcto funcionamiento de la pgina web, as como detectar posibles problemas
de estructura y seguridad, de conformidad con las necesidades de la empresa, que permitan
a la misma la difusin ininterrumpida de sus servicios.
2 ALCANCE
3 METODOLOGIA
-

Observacin
Inspeccin
Anlisis
Confirmacin

4 ANTECEDENTES
Debido a que la empresa ha sido conformada recientemente y por lo tanto su pgina web
tiene poco tiempo de funcionamiento, por lo cual no se cuenta con esta informacin.
5 PUNTOS A CUBRIR
-

Diseo
Seguridad

1 DISEO
Actualmente la pgina web presenta un diseo simple poco atractivo utiliza una combinacin
de colores bsicos sin una tendencia en la mescla, sus botones son simple sin diseo, como

sera recomendable para llamar la atencin, se puede observar un men de navegacin, un

panel principal con fotografas de centros arqueolgicos, un cuadro de texto largo y tedioso
de leer donde se describe el funcionamiento de la empresa, bajo el desplazamiento de la
pgina se observa paneles con vnculos de los paquetes ofrecido por la empresa y finalmente
un men de contacto con la empresa.
Vista de la pgina web:

2 SEGURIDAD
Se han suscitado situaciones de perdida de host modificacin de bases de datos no
programadas por lo cual se hace esta auditora para poder detectar los errores.
Para este paso se ha utilizado las herramientas informticas especializadas en scanneo de
pginas web.
Herramientas usadas:
-

Fiddler4
httpTrack
burp suite

Acceso a la pgina web:

Vista de aplicacin usada en el anlisis DDos

Vista de programa usado para ataques DDos

INFORME
OBSERVACION 1
Los colores utilizados en el diseo de la pgina web carecen de buenas mezclas se usan colores
bsicos y la distribucin de la estructura de los paquetes de promocin son defectuosos.
RIESGO
De mantener el diseo actual se corre el riesgo de que los visitantes no hallen la pgina
atractiva e interesante visualmente, y podran no llegar a la zona de paquetes tursticos.
RECOMENDACIONES
Se sugiere cambiar la combinacin de colores, mejorar el diseo de los botones.
Cambiar la estructura de la pgina, poniendo los paquetes ofrecidos en los paneles superiores
para as captar ms rpidamente la atencin del visitante.
OBSERVACION 2
Se ha detectado la vulnerabilidad al ataque conocido como sql inyection lo cual podra daar
la integridad de la base de datos e incluso de toda la pgina web.
RIESGO
Perdida de informacin.
RECOMENDACIONES
Se sugiere colocar un scritp de seguridad javaScript en la carpeta config del host para evitar
el reconocimiento de caracteres de edicin sql sql command en los textbox de acceso o
bsqueda.

OBSERVACION 3
Se ha detectado vulnerabilidad a ataques de DDos o defacing.
RIESGO
Podra ocasionar la perdida de conexin con el servidor de hosting y por ende la conexin a la
red.
RECOMENDACIONES
Contratar los servicios de servidores proxy anti DDos o denegacin de servidor.
CONCLUSIONES
-

durante el desarrollo de la auditoria se pudo observar que la pgina web funciona

correctamente fuera de los ataques intencionados a la misma, mostrando as la
existencia de 3 errores en su construccin.
El diseo fue un punto considerado en la auditoria por ser este la carta de
presentacin al visitante.

DICCIONARIO DE DATOS
-

Informtica: es una ciencia que estudia mtodos, procesos, tcnicas, con el fin de
almacenar, procesar y transmitir informacin y datos en formato digital.
Web: es un sistema de distribucin de documentos de hipertexto o hipermedios
interconectados y accesibles va Internet.
Web Master: es la persona responsable de mantenimiento o programacin de un sitio
web.
Scanneo: exploracin secuencial de una pgina web.
Fiddler4: software especializado en el scanneo de pginas web
httpTrack: software especializado en el scanneo de pginas web
burp suite: software especializado en el scanneo de pginas web
DDos: tcnica de ataque a pginas web utilizando software especializado.
Defacing: tcnica de ataque a pginas web utilizando software especializado.
Hosting: es el servicio que provee a los usuarios de Internet un sistema para poder
almacenar informacin, imgenes, vdeo, o cualquier contenido accesible va web.
Sql inyection: es un mtodo de infiltracin de cdigo intruso que se vale de
una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin de las
entradas para realizar consultas a una base de datos.
Sql command: comando u orden aceptada en sql para realizar cambios u otras
funciones.
Java script: es un lenguaje de programacin interpretado, dialecto del
estndar ECMAScript. Se define como orientado a objetos.