2do Informe Pruebas

de Intrusión Externa
BNV

Diciembre 2017
WEB-06 Vulnerabilidad de divulgación de información en la página web

Recursos Afectados:

 https://www.bolsacr.com Referencia Nivel de

Riesgo
ISO/IEC
Puertos Afectados: TCP 80 27002:2013 - Complejidad
Control 9.4 de Ataque
Esfuerzo de
Resoluciones

Impacto

Descripción de la vulnerabilidad
Al momento de la segunda revisión se identifica que aún es posible navegar parte de los directorios de
dentro de las páginas web, por lo cual el hallazgo se mantiene.

Recomendaciones
Se recomienda establecer un control de acceso sobre los directorios que cuenten información sensible de
la aplicación.

Evidencia

WEB-06 Imagen 6.1: En la imagen anterior se muestra directorios de ejemplo que se encuentran
públicos en la aplicación web.

2
WEB-06 Imagen 6.2: En la imagen anterior se muestra que ingresando a direcciones específicas del
servidor web, se tiene acceso a carpetas las cuales pueden contener algún tipo de información.

WEB-06 Imagen 6.3: En la imagen anterior se muestra que ingresando a direcciones específicas del
servidor web, se tiene acceso a carpetas las cuales pueden contener algún tipo de información.

3
WEB-07 Autocomplete no declarado en el código fuente

Recursos Afectados:

 https://www.bolsacr.com Referencia Nivel de

Riesgo
ISO/IEC
Puertos Afectados: 80 27002:2013 - Complejidad
Control 9.1 de Ataque
Esfuerzo de
Resoluciones

Impacto

Descripción de la vulnerabilidad
Se identificó que en el código fuente de la página de inicio del sitio afectado, aún no se ha deshabilitado
la opción de “auto completar” en el campo de contraseña, por lo cual el hallazgo se mantiene.

Recomendaciones
Se recomienda analizar la posibilidad de definir el parámetro “Autocomplete” en “Off” en el código fuente
de todas las páginas web que contengan campos de contraseñas.
Referencias:
http://msdn.microsoft.com/en-us/library/ms533032(VS.85).aspx
https://developer.mozilla.org/en/how_to_turn_off_form_autocompletion

Evidencia

No se encuentra
deshabilitado el
autocomplete en el código
fuente.

4
 No se encuentra
deshabilitado el
autocomplete en el código
fuente.

WEB-07 Imagen 7.1: En la imagen anterior se comprueba en el código fuente de la aplicación que no se
deshabilita la opción “Autocompletar” en método de autenticación.

WEB-07 Imagen 7.2: En la imagen anterior se muestra un ejemplo del parámetro auto complete
deshabilitado.

5
WEB-08 No están configuradas las características HTTP X-Frame-Options
dentro del código fuente de la aplicación

Recursos Afectados:

 https://www.bolsacr.com Referencia Nivel de

Riesgo
ISO/IEC
Puertos Afectados: TCP 80, 443 27002:2013 - Complejidad
Control 9.1 de Ataque
Esfuerzo de
Resoluciones

Impacto

Descripción de la vulnerabilidad

Se identificó en el momento de realizar las pruebas de seguridad, que los recursos aún no cuentan con las
cabeceras de HTTP de “X-Frame-Options” configuradas, por lo cual el hallazgo se mantiene.

Recomendaciones
Se recomienda el uso de X-FRAME-OPTIONS en la configuración de sitios web donde se requiera la
interacción de los usuarios para autenticar mediante un click. También para cuando el sitio deba alcanzar
contenido del mismo servidor, se recomienda usar el parámetro de SAMEORIGIN. Cuando no se espera
que el sitio alcance contenido externo se debe utilizar el parámetro DENY, para evitar ataques de
clickjacking.