Acunetix Web Vulnerability Scanner (Free Editon)

Robert Silva Miranda

Ingeniera de Ejecucin en
Administracin de Redes

Anlisis Vulnerabilidades Paginas WEB

Anlisis Vulnerabilidades Paginas WEB

Objetivo
El principal objetivo es auditar la seguridad de cinco sitios
web y analizar los resultados obtenidos, para esta actividad
hemos utilizado herramienta Acunetix Vulneravility Scanner
Versin 8.0

Anlisis Vulnerabilidades Paginas WEB

Sitios seleccionados para la Auditoria y Anlisis:
www.sercompruiz.cl

www.sencillito.cl
www.cinepavilion.cl
www.corpbanca.cl
www.bancochile.cl

Auditoria y Anlisis www.sercompruiz.cl

Auditoria y Anlisis www.sercompruiz.cl

Descripcin de la vulnerabilidad
Esta alerta puede ser un falso positivo.
Apache mod_rewrite es propenso a una condicin de desbordamiento de buffer-off-by-one. La vulnerabilidad que surge en el
manejo de esquema LDAP del mdulo mod_rewrite, permite la potencial corrupcin de memoria cuando un atacante explota
ciertas reglas de reescritura.
Versiones de Apache Afectadas:
Apache 1.3.28 hasta 1.3.36 con mod_rewrite
Apache 2.2.0 - 2.2.2 con mod_rewrite
Apache 2.0.46 - 2.0.58 con mod_rewrite
Servicios afectados
Servidor Web
Impacto
Un atacante podra aprovechar este problema para provocar una condicin de denegacin de servicio. Segn se informa, la
ejecucin de cdigo arbitrario Tambin puede ser posible.
Cmo corregir esta vulnerabilidad
Actualizacin de Apache a la versin ms reciente.

Auditoria y Anlisis www.sercompruiz.cl

Descripcin de la vulnerabilidad
Este script es posiblemente vulnerable a ataques Cross Site Scripting (XSS)
Cross Site Scripting (tambin conocida como XSS) es una vulnerabilidad que permite a un atacante enviar cdigo malicioso (por lo
general en forma de Javascript) a otro usuario. Debido a que un navegador no puede saber si la secuencia de comandos se debe
confiar o no, se ejecutar la secuencia de comandos en el contexto del usuario que permite al atacante acceder a las cookies o
tokens de sesin retenidos por el navegador.
Servicios afectados
/graba_registro.php
Impacto
Los usuarios malintencionados pueden inyectar JavaScript, VBScript, ActiveX, HTML o Flash en una aplicacin vulnerable para
engaar a un usuario con el fin de recopilar datos de ellos. Un atacante puede robar la cookie de sesin y tomar el control de la
cuenta, hacerse pasar por el usuario. Tambin es posible modificar el contenido de la pgina presentada al usuario.
Cmo corregir esta vulnerabilidad
Tu guin debe filtrar metacaracteres de la entrada del usuario.

Auditoria y Anlisis www.sencillito.cl

Auditoria y Anlisis www.sencillito.cl

Descripcin de la vulnerabilidad
El servicio remoto encripta el trfico usando un viejo protocolo obsoleto con debilidades conocidas.
Servicios afectados
servidor
Impacto
Un atacante podra ser capaz de aprovechar estas cuestiones para llevar a cabo ataques man-in-the-middle o descifrar las comunicaciones
entre el servicio afectado y clientes.

Cmo corregir esta vulnerabilidad

Desactivar SSL 2.0 y SSL 3.0 o el uso de TLS 1.0 en su lugar.

Descripcin de la vulnerabilidad
El host remoto es compatible con el uso de sistemas de cifrado SSL que ofrecen ya sea cifrado dbil o ningn cifrado en absoluto.
Servicios afectados
Servidor
Impacto
Medio
Cmo corregir esta vulnerabilidad
Vuelva a configurar la aplicacin afectada para evitar el uso de cifrados dbiles.

Auditoria y Anlisis www.cinepavilion.cl

Auditoria y Anlisis www.cinepavilion.cl

Descripcin de la vulnerabilidad
Este script es posiblemente vulnerable a ataques Cross Site Scripting (XSS)
Cross Site Scripting (tambin conocida como XSS) es una vulnerabilidad que permite a un atacante enviar cdigo malicioso (por lo
general en forma de Javascript) a otro usuario. Debido a que un navegador no puede saber si la secuencia de comandos se debe
confiar o no, se ejecutar la secuencia de comandos en el contexto del usuario que permite al atacante acceder a las cookies o
tokens de sesin retenidos por el navegador.
Impacto
Los usuarios malintencionados pueden inyectar JavaScript, VBScript, ActiveX, HTML o Flash en una aplicacin vulnerable para
engaar a un usuario con el fin de recopilar datos de ellos. Un atacante puede robar la cookie de sesin y tomar el control de la
cuenta, hacerse pasar por el usuario. Tambin es posible modificar el contenido de la pgina presentada al usuario.
Cmo corregir esta vulnerabilidad
Tu guin debe filtrar metacaracteres de la entrada del usuario.

Auditoria y Anlisis www.cinepavilion.cl

Descripcin de la vulnerabilidad
El servidor web est configurado para mostrar la lista de archivos contenidos en este directorio. Esto no es recomendable debido
a que el directorio puede contener archivos que no estn expuestos normalmente a travs de enlaces en el sitio web.
Impacto
Un usuario puede ver una lista de todos los archivos de este directorio posiblemente exponer informacin sensible.
Cmo corregir esta vulnerabilidad
Usted debe asegurarse de que el directorio no contiene informacin sensible o es posible que desee restringir las listas de
directorios de la configuracin del servidor web.

Auditoria y Anlisis www.corpbanca.cl

Los resultados obtenidos en el scanner
lanzado a la pagina web de Banco
Corpbanca (www.corpbanca.cl) no
presenta vulnerabilidades, por lo tanto
se concluye que tienen un alto nivel de
seguridad reduciendo las
vulnerabilidades al mnimo.

Auditoria y Anlisis www.bancochile.cl

Los resultados obtenidos en el scanner
lanzado a la pagina web de Banco de
Chile (www.bancochile.cl) no presenta
vulnerabilidades, por lo tanto se
concluye que tienen un alto nivel de
seguridad reduciendo las
vulnerabilidades al mnimo.

Anlisis Vulnerabilidades Paginas WEB

Otras herramientas utilizadas para este tipo de acciones y
complementarias:
Httprint NETSCUARE
FOCA
NESSUS
Anubis
Retina
OPENVAS
ISS Internet Scanner

Anlisis Vulnerabilidades Paginas WEB

FIN PRESENTACIN