SlideShare una empresa de Scribd logo

Resolucion vulnerables

Descargar como DOCX, PDF
Organisation for Economic Co-operation & Development
Organisation for Economic Co-operation & Development

El documento analiza dos vulnerabilidades en un portal web: 1) inyección de código SQL que permite acceso no autorizado a la base de datos y 2) carga arbitraria de archivos que podría usarse para subir malware. El plan de implementación incluye modificar métodos en archivos PHP, agregar validaciones en el frontend, y restringir permisos de carpetas para mitigar estas vulnerabilidades de alto riesgo.

Educación
1 de 11
ANALISIS E IMPLEMENTACIÓN DE STOPPER DE SEGURIDAD Item Detalle Vulnerabilidad Recurso Afectado Impacto Probabilidad Riesgo Tipo remedación 1 Inyección de Código SQL Arbitrario– SQLI Portal Web Alta Alta Critico Programación/ Configuración Evidencia Plan de Implementación 1) Archivos afectados: sistema/capa_datos/ClsExtra_Dat.php 1.1. Método modificado: get_NuestrosProductosWeb($nParCodGrp, $nCodCont)
1.2. Método modificado: get_Menu_by_Principal_Nosotros($nParDstCod ) 2) sistema/capa_datos/ClsFrontEnd_Dat.php 2.1. Método modificado: Fe_DetalleMenu_by_nParCodigo($nParCodigo) 2.2. Fe_Menu_by_nParCodigoPadre_nParCodigoContenidoHijo($nParCodigoPadre, $nParCodigoContenidoHijo)
2.3. getTarifarioTransparencia($nParCodigoPadre) 3) Archivo modificado: sistema/capa_datos/ClsPersona_Dat.php MD5 Decryption.- Laobservaciónimplementaciónpormediode consultasparametrizadas. Nota.- La subsanaciónde éstavulnerabilidadde ecriptaciónde claves,se implementaenéstasección 3.1. VerificarUsuario($cUserName, $cUserClave,$objCnx="")
Item Detalle Vulnerabilidad Recurso Afectado Impacto Probabilidad Riesgo Tipo remedación 2 Carga arbitrariade archivos Portal Web Alta Alta Critico Programación/ Configuración Evidencia Durante el análisis del presente recurso afectado, se ha constatado que el mismo permite una carga arbitraria de archivos dentro de la plataforma. En la opción "Menú Superior -> Tarifario -> formulas" pertenecientes a su panel administrativo, existe la opción de carga de imagen. En dicha opción es posible la carga de cualquier archivo, sin importar el contenido y/o laextensión Plan de Implementación 1) sistema/capa_negocio/Fnc_Contenido.php 1.1. Método contenido_13_agregar ($frm) A nivel de html A nivel de php
2) archivo modificado : sistema/capa_presentacion/js/subir_archivos.js 2.1. Métodos modificados: subir_img_progressbar(opcion)
2.2. Método modificado: subir_file_progressbar(opcion)
2.3. Nuevos metodos
archivo modificado : /home/devopss/public_html/sistema/capa_presentacion/css/Style.css archivo modificado : /home/devopss/public_html/sistema/capa_presentacion/frmadminweb.php Permisode carpetas
Resolucion vulnerables

Recomendados

Charla OWASP
Charla OWASPCharla OWASP
Charla OWASP
alexav8
 
Seguridad
SeguridadSeguridad
Seguridad
VLASLOV
 
0157 genexus full_throttling
0157 genexus full_throttling0157 genexus full_throttling
0157 genexus full_throttling
GeneXus
 
0157 genexus full_throttling
0157 genexus full_throttling0157 genexus full_throttling
0157 genexus full_throttling
GeneXus
 
Documentación de pruebas del software
Documentación de pruebas del softwareDocumentación de pruebas del software
Documentación de pruebas del software
Yenny Aldana
 
ETL: Logging y auditoría en SSIS
ETL: Logging y auditoría en SSISETL: Logging y auditoría en SSIS
ETL: Logging y auditoría en SSIS
SolidQ
 
Introducción a TDD y PHPUnit
Introducción a TDD y PHPUnitIntroducción a TDD y PHPUnit
Introducción a TDD y PHPUnit
Daniel González Cerviño
 
Presentacion YII
Presentacion YIIPresentacion YII
Presentacion YII
Lenin Hernandez
 

Recomendados

Charla OWASP
Charla OWASPCharla OWASP
Charla OWASP
alexav8
 
Seguridad
SeguridadSeguridad
Seguridad
VLASLOV
 
0157 genexus full_throttling
0157 genexus full_throttling0157 genexus full_throttling
0157 genexus full_throttling
GeneXus
 
0157 genexus full_throttling
0157 genexus full_throttling0157 genexus full_throttling
0157 genexus full_throttling
GeneXus
 
Documentación de pruebas del software
Documentación de pruebas del softwareDocumentación de pruebas del software
Documentación de pruebas del software
Yenny Aldana
 
ETL: Logging y auditoría en SSIS
ETL: Logging y auditoría en SSISETL: Logging y auditoría en SSIS
ETL: Logging y auditoría en SSIS
SolidQ
 
Introducción a TDD y PHPUnit
Introducción a TDD y PHPUnitIntroducción a TDD y PHPUnit
Introducción a TDD y PHPUnit
Daniel González Cerviño
 
Presentacion YII
Presentacion YIIPresentacion YII
Presentacion YII
Lenin Hernandez
 
Guia sco analisis_criticidad
Guia sco analisis_criticidadGuia sco analisis_criticidad
Guia sco analisis_criticidad
Abel Enrique Sinning Castañeda
 
Clase 2 conceptos fundamentales
Clase 2 conceptos fundamentalesClase 2 conceptos fundamentales
Clase 2 conceptos fundamentales
hydras_cs
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
Ignacio Martín
 
Php08 mantenimiento tablas
Php08 mantenimiento tablasPhp08 mantenimiento tablas
Php08 mantenimiento tablas
Julio Pari
 
Desarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQueryDesarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQuery
Javier P.
 
Documentación de pruebas del software
Documentación de pruebas del softwareDocumentación de pruebas del software
Documentación de pruebas del software
Lina Vega
 
Rendimiento en magento
Rendimiento en magentoRendimiento en magento
Rendimiento en magento
Onestic
 
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
Microsoft Argentina y Uruguay [Official Space]
 
Desarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQueryDesarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQuery
Javier P.
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
Daycith Gonzalez
 
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
Anyeni Garay
 
Joomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensionesJoomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensiones
deivit86
 
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadevStudent marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
Yael012014
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
esmartcrimt
 
Symfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y MigraciónSymfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y Migración
Rodrigo Miranda
 
Guia7 java
Guia7 javaGuia7 java
Guia7 java
odelys2003
 
JQuery
JQueryJQuery
JQuery
Yesith Valencia
 
Jdbc
JdbcJdbc
Jdbc
Eimer Rico
 
UDA-Componentes RUP. Feedback
UDA-Componentes RUP. FeedbackUDA-Componentes RUP. Feedback
UDA-Componentes RUP. Feedback
Ander Martinez
 
Examen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahirExamen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahir
NEQUIZ URIEL
 
Desarrollo seguro form
Desarrollo seguro formDesarrollo seguro form
Desarrollo seguro form
Organisation for Economic Co-operation & Development
 
optimización procesos viaticos
optimización procesos viaticosoptimización procesos viaticos
optimización procesos viaticos
Organisation for Economic Co-operation & Development
 

Más contenido relacionado

Similar a Resolucion vulnerables

Guia sco analisis_criticidad
Guia sco analisis_criticidadGuia sco analisis_criticidad
Guia sco analisis_criticidad
Abel Enrique Sinning Castañeda
 
Clase 2 conceptos fundamentales
Clase 2 conceptos fundamentalesClase 2 conceptos fundamentales
Clase 2 conceptos fundamentales
hydras_cs
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
Ignacio Martín
 
Php08 mantenimiento tablas
Php08 mantenimiento tablasPhp08 mantenimiento tablas
Php08 mantenimiento tablas
Julio Pari
 
Desarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQueryDesarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQuery
Javier P.
 
Documentación de pruebas del software
Documentación de pruebas del softwareDocumentación de pruebas del software
Documentación de pruebas del software
Lina Vega
 
Rendimiento en magento
Rendimiento en magentoRendimiento en magento
Rendimiento en magento
Onestic
 
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
Microsoft Argentina y Uruguay [Official Space]
 
Desarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQueryDesarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQuery
Javier P.
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
Daycith Gonzalez
 
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
Anyeni Garay
 
Joomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensionesJoomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensiones
deivit86
 
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadevStudent marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
Yael012014
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
esmartcrimt
 
Symfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y MigraciónSymfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y Migración
Rodrigo Miranda
 
Guia7 java
Guia7 javaGuia7 java
Guia7 java
odelys2003
 
JQuery
JQueryJQuery
JQuery
Yesith Valencia
 
Jdbc
JdbcJdbc
Jdbc
Eimer Rico
 
UDA-Componentes RUP. Feedback
UDA-Componentes RUP. FeedbackUDA-Componentes RUP. Feedback
UDA-Componentes RUP. Feedback
Ander Martinez
 
Examen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahirExamen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahir
NEQUIZ URIEL
 

Similar a Resolucion vulnerables (20)

Guia sco analisis_criticidad
Guia sco analisis_criticidadGuia sco analisis_criticidad
Guia sco analisis_criticidad
 
Clase 2 conceptos fundamentales
Clase 2 conceptos fundamentalesClase 2 conceptos fundamentales
Clase 2 conceptos fundamentales
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
 
Php08 mantenimiento tablas
Php08 mantenimiento tablasPhp08 mantenimiento tablas
Php08 mantenimiento tablas
 
Desarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQueryDesarrollo de aplicaciones web usando Catalyst y jQuery
Desarrollo de aplicaciones web usando Catalyst y jQuery
 
Documentación de pruebas del software
Documentación de pruebas del softwareDocumentación de pruebas del software
Documentación de pruebas del software
 
Rendimiento en magento
Rendimiento en magentoRendimiento en magento
Rendimiento en magento
 
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
[Run Reloaded] Estrategias de Caching Distribuído con Microsoft Velocity Proj...
 
Desarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQueryDesarrollando aplicaciones web usando Catalyst y jQuery
Desarrollando aplicaciones web usando Catalyst y jQuery
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
 
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
TEMA Nº 5: OBJETOS RELACIONADOS CON LA SALIDA O LA ENTRADA DE LA PÁGINA.
 
Joomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensionesJoomladay 2008 Madrid - desarrollo de extensiones
Joomladay 2008 Madrid - desarrollo de extensiones
 
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadevStudent marquez martinez yael 03_08_2017__08_52_u1pooadev
Student marquez martinez yael 03_08_2017__08_52_u1pooadev
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
 
Symfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y MigraciónSymfony parte 15 Consultas y Migración
Symfony parte 15 Consultas y Migración
 
Guia7 java
Guia7 javaGuia7 java
Guia7 java
 
JQuery
JQueryJQuery
JQuery
 
Jdbc
JdbcJdbc
Jdbc
 
UDA-Componentes RUP. Feedback
UDA-Componentes RUP. FeedbackUDA-Componentes RUP. Feedback
UDA-Componentes RUP. Feedback
 
Examen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahirExamen unidad 1 ortiz enciso antonio aldahir
Examen unidad 1 ortiz enciso antonio aldahir
 

Más de Organisation for Economic Co-operation & Development

Desarrollo seguro form
Desarrollo seguro formDesarrollo seguro form
Desarrollo seguro form
Organisation for Economic Co-operation & Development
 
optimización procesos viaticos
optimización procesos viaticosoptimización procesos viaticos
optimización procesos viaticos
Organisation for Economic Co-operation & Development
 
Intro to asp.net mvc 4 with visual studio
Intro to asp.net mvc 4 with visual studioIntro to asp.net mvc 4 with visual studio
Intro to asp.net mvc 4 with visual studio
Organisation for Economic Co-operation & Development
 
B 2015 10_635817361639017165
B 2015 10_635817361639017165B 2015 10_635817361639017165
B 2015 10_635817361639017165
Organisation for Economic Co-operation & Development
 
Optimización de procesos
Optimización de procesosOptimización de procesos
Optimización de procesos
Organisation for Economic Co-operation & Development
 
Sql desdelineadecomandos
Sql desdelineadecomandosSql desdelineadecomandos
Sql desdelineadecomandos
Organisation for Economic Co-operation & Development
 
Psicologia Laboral
Psicologia LaboralPsicologia Laboral
Psicologia Laboral
Organisation for Economic Co-operation & Development
 
Knockout.diapositiva
Knockout.diapositivaKnockout.diapositiva
Knockout.diapositiva
Organisation for Economic Co-operation & Development
 
Estadística descriptiva
Estadística descriptivaEstadística descriptiva
Estadística descriptiva
Organisation for Economic Co-operation & Development
 
Trabajo de bases de datos
Trabajo de bases de datosTrabajo de bases de datos
Trabajo de bases de datos
Organisation for Economic Co-operation & Development
 
Trabajo de bases de datos
Trabajo de bases de datosTrabajo de bases de datos
Trabajo de bases de datos
Organisation for Economic Co-operation & Development
 
Solicitud producto
Solicitud productoSolicitud producto
Solicitud producto
Organisation for Economic Co-operation & Development
 
Templates joomla
Templates joomlaTemplates joomla
Templates joomla
Organisation for Economic Co-operation & Development
 

Más de Organisation for Economic Co-operation & Development (13)

Desarrollo seguro form
Desarrollo seguro formDesarrollo seguro form
Desarrollo seguro form
 
optimización procesos viaticos
optimización procesos viaticosoptimización procesos viaticos
optimización procesos viaticos
 
Intro to asp.net mvc 4 with visual studio
Intro to asp.net mvc 4 with visual studioIntro to asp.net mvc 4 with visual studio
Intro to asp.net mvc 4 with visual studio
 
B 2015 10_635817361639017165
B 2015 10_635817361639017165B 2015 10_635817361639017165
B 2015 10_635817361639017165
 
Optimización de procesos
Optimización de procesosOptimización de procesos
Optimización de procesos
 
Sql desdelineadecomandos
Sql desdelineadecomandosSql desdelineadecomandos
Sql desdelineadecomandos
 
Psicologia Laboral
Psicologia LaboralPsicologia Laboral
Psicologia Laboral
 
Knockout.diapositiva
Knockout.diapositivaKnockout.diapositiva
Knockout.diapositiva
 
Estadística descriptiva
Estadística descriptivaEstadística descriptiva
Estadística descriptiva
 
Trabajo de bases de datos
Trabajo de bases de datosTrabajo de bases de datos
Trabajo de bases de datos
 
Trabajo de bases de datos
Trabajo de bases de datosTrabajo de bases de datos
Trabajo de bases de datos
 
Solicitud producto
Solicitud productoSolicitud producto
Solicitud producto
 
Templates joomla
Templates joomlaTemplates joomla
Templates joomla
 

Último

1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
MiNeyi1
 
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdfEvaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
EfranMartnez8
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
Sandra Mariela Ballón Aguedo
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
Liturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptxLiturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptx
YeniferGarcia36
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
JimmyDeveloperWebAnd
 
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdfPOESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
karlavasquez49
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
Mónica Sánchez
 
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdfDESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
JonathanCovena1
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
karlafreire0608
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
JorgeVillota6
 
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdfGracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Ani Ann
 
Mapa Mental documentos que rigen el sistema de evaluación
Mapa Mental documentos que rigen el sistema de evaluaciónMapa Mental documentos que rigen el sistema de evaluación
Mapa Mental documentos que rigen el sistema de evaluación
ruthmatiel1
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
israelsouza67
 
Presentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdfPresentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdf
eleandroth
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
josseanlo1581
 
Vida, obra y pensamiento de Kant I24.ppt
Vida, obra y pensamiento de Kant I24.pptVida, obra y pensamiento de Kant I24.ppt
Vida, obra y pensamiento de Kant I24.ppt
LinoLatella
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
saradocente
 
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptxCONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CARMENSnchez854591
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
shirherrer
 

Último (20)

1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
1.- manual-para-la-creacion-33-dias-de-manifestacion-ulises-sampe.pdf
 
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdfEvaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
 
Liturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptxLiturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptx
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
 
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdfPOESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
POESÍA POR EL DIA DEL PADREEEEEEEEEE.pdf
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
 
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdfDESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
 
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdfGracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdf
 
Mapa Mental documentos que rigen el sistema de evaluación
Mapa Mental documentos que rigen el sistema de evaluaciónMapa Mental documentos que rigen el sistema de evaluación
Mapa Mental documentos que rigen el sistema de evaluación
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
 
Presentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdfPresentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdf
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
 
Vida, obra y pensamiento de Kant I24.ppt
Vida, obra y pensamiento de Kant I24.pptVida, obra y pensamiento de Kant I24.ppt
Vida, obra y pensamiento de Kant I24.ppt
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
 
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptxCONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
CONCURSOS EDUCATIVOS 2024-PRESENTACIÓN ORIENTACIONES ETAPA IE (1).pptx
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
 

Resolucion vulnerables

  • 1. ANALISIS E IMPLEMENTACIÓN DE STOPPER DE SEGURIDAD Item Detalle Vulnerabilidad Recurso Afectado Impacto Probabilidad Riesgo Tipo remedación 1 Inyección de Código SQL Arbitrario– SQLI Portal Web Alta Alta Critico Programación/ Configuración Evidencia Plan de Implementación 1) Archivos afectados: sistema/capa_datos/ClsExtra_Dat.php 1.1. Método modificado: get_NuestrosProductosWeb($nParCodGrp, $nCodCont)
  • 2. 1.2. Método modificado: get_Menu_by_Principal_Nosotros($nParDstCod ) 2) sistema/capa_datos/ClsFrontEnd_Dat.php 2.1. Método modificado: Fe_DetalleMenu_by_nParCodigo($nParCodigo) 2.2. Fe_Menu_by_nParCodigoPadre_nParCodigoContenidoHijo($nParCodigoPadre, $nParCodigoContenidoHijo)
  • 3. 2.3. getTarifarioTransparencia($nParCodigoPadre) 3) Archivo modificado: sistema/capa_datos/ClsPersona_Dat.php MD5 Decryption.- Laobservaciónimplementaciónpormediode consultasparametrizadas. Nota.- La subsanaciónde éstavulnerabilidadde ecriptaciónde claves,se implementaenéstasección 3.1. VerificarUsuario($cUserName, $cUserClave,$objCnx="")
  • 4.
  • 5. Item Detalle Vulnerabilidad Recurso Afectado Impacto Probabilidad Riesgo Tipo remedación 2 Carga arbitrariade archivos Portal Web Alta Alta Critico Programación/ Configuración Evidencia Durante el análisis del presente recurso afectado, se ha constatado que el mismo permite una carga arbitraria de archivos dentro de la plataforma. En la opción "Menú Superior -> Tarifario -> formulas" pertenecientes a su panel administrativo, existe la opción de carga de imagen. En dicha opción es posible la carga de cualquier archivo, sin importar el contenido y/o laextensión Plan de Implementación 1) sistema/capa_negocio/Fnc_Contenido.php 1.1. Método contenido_13_agregar ($frm) A nivel de html A nivel de php
  • 6.
  • 7. 2) archivo modificado : sistema/capa_presentacion/js/subir_archivos.js 2.1. Métodos modificados: subir_img_progressbar(opcion)
  • 8. 2.2. Método modificado: subir_file_progressbar(opcion)
  • 10. archivo modificado : /home/devopss/public_html/sistema/capa_presentacion/css/Style.css archivo modificado : /home/devopss/public_html/sistema/capa_presentacion/frmadminweb.php Permisode carpetas