SlideShare una empresa de Scribd logo

Análisis de Vulnerabilidades en Páginas Web

Descargar como PPTX, PDF
J
JulioCesarApolinario

Se analiza las páginas web con el Wappalyzer para conocer que aplicativos utilizan en la página web, para facilitar la detección de vulnerabilidades

Software
1 de 17
Análisis de las Vulnerabilidades en Páginas Web Alumno: Apolinario Suárez Julio César Código: 1415260023
Página Web de la UNAC
Página Web de la FIIS-UNAC
Página Web de la Municipalidad de Imperial
Página Web de la ONPE
Página Web de MINEDU
Página Web de la INEI
Página Web del MINSA
Página Web de AVIVEL
Página Web de IPMASA
Página Web de MOVIETIME
Página Web de GLORIA
Página Web de PANINI
Vulnerabilidades Joomla.- CVE-2019-9922 Se descubrió un problema en el componente Harmis JE Messenger 1.2.2 para Joomla !. Directory Traversal permite el acceso de lectura a archivos arbitrarios. WordPress 5.1.1.- CVE-2019-9787 WordPress antes de 5.1.1 no filtra correctamente el contenido de los comentarios, lo que lleva a la ejecución remota de código por parte de usuarios no autenticados en una configuración predeterminada. Esto ocurre porque la protección de CSRF está mal manejada y porque la optimización del motor de búsqueda de los elementos A se realiza incorrectamente, lo que lleva a XSS. El XSS da como resultado acceso administrativo, lo que permite cambios arbitrarios en los archivos .php. Esto está relacionado con wp-admin / includes / ajax-actions.php y wp-includes / comment.php. Google Analitycs.- CVE-2019-9912 El complemento wp-google-maps anterior a 7.10.43 para WordPress tiene XSS a través de wp-admin / admin.php PATH_INFO.
Vulnerabilidades MySQL.- CVE-2019-6799 Se descubrió un problema en phpMyAdmin antes de la 4.8.5. Cuando el ajuste de configuración AllowArbitraryServer se establece en verdadero, con el uso de un servidor MySQL no autorizado, un atacante puede leer cualquier archivo en el servidor al que pueda acceder el usuario del servidor web. Esto se relaciona con la configuración de PHP mysql.allow_local_infile y con el rechazo involuntario de las "opciones (llamadas MYSQLI_OPT_LOCAL_INFILE"). PHP.- CVE-2013-4636 La función mget en libmagic / softmagic.c en el componente Fileinfo en PHP 5.4.x antes del 5.4.16 permite a los atacantes remotos causar una denegación de servicio (desconexión de puntero no válido y bloqueo de la aplicación) a través de un archivo MP3 que activa la detección incorrecta del tipo MIME durante Acceso a un objeto finfo. CentOS.- CVE-2019-7646 CentOS-WebPanel.com (también conocido como CWP) CentOS Web Panel a través de 0.9.8.763 es vulnerable a XSS almacenado / persistente para el campo "Nombre del paquete" a través del parámetro módulo add_package.
Vulnerabilidades Font Awesome.- CVE-2019-9970 Open Whisper Signal (también conocido como Signal- Desktop) a través de 1.23.1 y la aplicación Signal Private Messenger a través de 4.35.3 para Android son vulnerables a un ataque de homógrafos de IDN cuando se muestran mensajes que contienen URL. Esto ocurre porque la aplicación produce un enlace en el que se puede hacer clic incluso si (por ejemplo) los caracteres latino y cirílico existen en el mismo nombre de dominio, y la fuente disponible tiene una representación idéntica de caracteres de diferentes alfabetos. MySQL.- CVE-2019-6799 Se descubrió un problema en phpMyAdmin antes de la 4.8.5. Cuando el ajuste de configuración AllowArbitraryServer se establece en verdadero, con el uso de un servidor MySQL no autorizado, un atacante puede leer cualquier archivo en el servidor al que pueda acceder el usuario del servidor web. Esto se relaciona con la configuración de PHP mysql.allow_local_infile y con el rechazo involuntario de las "opciones (llamadas MYSQLI_OPT_LOCAL_INFILE").
Vulnerabilidades MooTools 1.4.5.- CVE-2019-7174 Roxy Fileman 1.4.5 permite a los atacantes ejecutar las operaciones renamefile.php (también conocido como Rename File), createdir.php (aka Create Directory), fileslist.php (aka Echo File List), y movefile.php (aka Move File). Bootstrap 3.3.7.- CVE-2019-9184 Vulnerabilidad de inyección SQL en el complemento J2Store 3.x antes de 3.3.7 para Joomla! permite a los atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro product_option []. jQuery 1.12.4.- CVE-2019-11358 jQuery antes de 3.4.0, tal como se utiliza en Drupal, Backdrop CMS y otros productos, mishandles jQuery.extend (true, {}, ...) debido a la contaminación de los prototipos de objetos. Si un objeto fuente no saneado contenía una propiedad __proto__ enumerable, podría extender el Object.prototype nativo.

Recomendados

Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAldo Lazo
 
Análisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webAnálisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webalexmmanco
 
Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas webMarcosChamorroOrtiz
 
Dn12 u3 a29_romi
Dn12 u3 a29_romiDn12 u3 a29_romi
Dn12 u3 a29_romiissaabel
 
Curso richfaces 3.3.3 I
Curso richfaces 3.3.3 ICurso richfaces 3.3.3 I
Curso richfaces 3.3.3 Ieclaudioaugusto
 
Ventajas y desventajas de los servidores apache y IIS
Ventajas y desventajas de los servidores apache y IISVentajas y desventajas de los servidores apache y IIS
Ventajas y desventajas de los servidores apache y IISAnthony Mejias
 
Errores y virus de la red
Errores y virus de la red Errores y virus de la red
Errores y virus de la red Julianpiragauta25
 
1.servidor apache y servidor iis
1.servidor apache y servidor iis1.servidor apache y servidor iis
1.servidor apache y servidor iisjjsan86
 

Recomendados

Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAldo Lazo
 
Análisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webAnálisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webalexmmanco
 
Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas webMarcosChamorroOrtiz
 
Dn12 u3 a29_romi
Dn12 u3 a29_romiDn12 u3 a29_romi
Dn12 u3 a29_romiissaabel
 
Curso richfaces 3.3.3 I
Curso richfaces 3.3.3 ICurso richfaces 3.3.3 I
Curso richfaces 3.3.3 Ieclaudioaugusto
 
Ventajas y desventajas de los servidores apache y IIS
Ventajas y desventajas de los servidores apache y IISVentajas y desventajas de los servidores apache y IIS
Ventajas y desventajas de los servidores apache y IISAnthony Mejias
 
Errores y virus de la red
Errores y virus de la red Errores y virus de la red
Errores y virus de la red Julianpiragauta25
 
1.servidor apache y servidor iis
1.servidor apache y servidor iis1.servidor apache y servidor iis
1.servidor apache y servidor iisjjsan86
 
Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webKevin Casaverde Roncal
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios webesmartcrimt
 
Mayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexicoMayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexicoDavid Thomas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Curso php dia6
Curso php dia6Curso php dia6
Curso php dia6cognos_uie
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - PresentaciónMarcos Miguel Garcia
 
Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadSpacetoshare
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Francisco José Cruz Jiménez
 
Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Chema Alonso
 
Seguridad web
Seguridad webSeguridad web
Seguridad webCarlos Javier Majerhua
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
SSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernasSSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernasEfren Diaz Gomez
 

Más contenido relacionado

Similar a Análisis de Vulnerabilidades en Páginas Web

Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webKevin Casaverde Roncal
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios webesmartcrimt
 
Mayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexicoMayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexicoDavid Thomas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Curso php dia6
Curso php dia6Curso php dia6
Curso php dia6cognos_uie
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadSpacetoshare
 
Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Chema Alonso
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
SSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernasSSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernasEfren Diaz Gomez
 

Similar a Análisis de Vulnerabilidades en Páginas Web (20)

Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
 
Mayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexicoMayhem malware seguridad informatica en mexico
Mayhem malware seguridad informatica en mexico
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Curso php dia6
Curso php dia6Curso php dia6
Curso php dia6
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - Presentación
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - Seguridad
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
SSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernasSSRF, la vulnerabilidad de las aplicaciones web modernas
SSRF, la vulnerabilidad de las aplicaciones web modernas
 

Análisis de Vulnerabilidades en Páginas Web

  • 1. Análisis de las Vulnerabilidades en Páginas Web Alumno: Apolinario Suárez Julio César Código: 1415260023
  • 2. Página Web de la UNAC
  • 3. Página Web de la FIIS-UNAC
  • 4. Página Web de la Municipalidad de Imperial
  • 5. Página Web de la ONPE
  • 6. Página Web de MINEDU
  • 7. Página Web de la INEI
  • 9. Página Web de AVIVEL
  • 10. Página Web de IPMASA
  • 11. Página Web de MOVIETIME
  • 12. Página Web de GLORIA
  • 13. Página Web de PANINI
  • 14. Vulnerabilidades Joomla.- CVE-2019-9922 Se descubrió un problema en el componente Harmis JE Messenger 1.2.2 para Joomla !. Directory Traversal permite el acceso de lectura a archivos arbitrarios. WordPress 5.1.1.- CVE-2019-9787 WordPress antes de 5.1.1 no filtra correctamente el contenido de los comentarios, lo que lleva a la ejecución remota de código por parte de usuarios no autenticados en una configuración predeterminada. Esto ocurre porque la protección de CSRF está mal manejada y porque la optimización del motor de búsqueda de los elementos A se realiza incorrectamente, lo que lleva a XSS. El XSS da como resultado acceso administrativo, lo que permite cambios arbitrarios en los archivos .php. Esto está relacionado con wp-admin / includes / ajax-actions.php y wp-includes / comment.php. Google Analitycs.- CVE-2019-9912 El complemento wp-google-maps anterior a 7.10.43 para WordPress tiene XSS a través de wp-admin / admin.php PATH_INFO.
  • 15. Vulnerabilidades MySQL.- CVE-2019-6799 Se descubrió un problema en phpMyAdmin antes de la 4.8.5. Cuando el ajuste de configuración AllowArbitraryServer se establece en verdadero, con el uso de un servidor MySQL no autorizado, un atacante puede leer cualquier archivo en el servidor al que pueda acceder el usuario del servidor web. Esto se relaciona con la configuración de PHP mysql.allow_local_infile y con el rechazo involuntario de las "opciones (llamadas MYSQLI_OPT_LOCAL_INFILE"). PHP.- CVE-2013-4636 La función mget en libmagic / softmagic.c en el componente Fileinfo en PHP 5.4.x antes del 5.4.16 permite a los atacantes remotos causar una denegación de servicio (desconexión de puntero no válido y bloqueo de la aplicación) a través de un archivo MP3 que activa la detección incorrecta del tipo MIME durante Acceso a un objeto finfo. CentOS.- CVE-2019-7646 CentOS-WebPanel.com (también conocido como CWP) CentOS Web Panel a través de 0.9.8.763 es vulnerable a XSS almacenado / persistente para el campo "Nombre del paquete" a través del parámetro módulo add_package.
  • 16. Vulnerabilidades Font Awesome.- CVE-2019-9970 Open Whisper Signal (también conocido como Signal- Desktop) a través de 1.23.1 y la aplicación Signal Private Messenger a través de 4.35.3 para Android son vulnerables a un ataque de homógrafos de IDN cuando se muestran mensajes que contienen URL. Esto ocurre porque la aplicación produce un enlace en el que se puede hacer clic incluso si (por ejemplo) los caracteres latino y cirílico existen en el mismo nombre de dominio, y la fuente disponible tiene una representación idéntica de caracteres de diferentes alfabetos. MySQL.- CVE-2019-6799 Se descubrió un problema en phpMyAdmin antes de la 4.8.5. Cuando el ajuste de configuración AllowArbitraryServer se establece en verdadero, con el uso de un servidor MySQL no autorizado, un atacante puede leer cualquier archivo en el servidor al que pueda acceder el usuario del servidor web. Esto se relaciona con la configuración de PHP mysql.allow_local_infile y con el rechazo involuntario de las "opciones (llamadas MYSQLI_OPT_LOCAL_INFILE").
  • 17. Vulnerabilidades MooTools 1.4.5.- CVE-2019-7174 Roxy Fileman 1.4.5 permite a los atacantes ejecutar las operaciones renamefile.php (también conocido como Rename File), createdir.php (aka Create Directory), fileslist.php (aka Echo File List), y movefile.php (aka Move File). Bootstrap 3.3.7.- CVE-2019-9184 Vulnerabilidad de inyección SQL en el complemento J2Store 3.x antes de 3.3.7 para Joomla! permite a los atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro product_option []. jQuery 1.12.4.- CVE-2019-11358 jQuery antes de 3.4.0, tal como se utiliza en Drupal, Backdrop CMS y otros productos, mishandles jQuery.extend (true, {}, ...) debido a la contaminación de los prototipos de objetos. Si un objeto fuente no saneado contenía una propiedad __proto__ enumerable, podría extender el Object.prototype nativo.