Análisis de Aplicativo web de facturación de la empresa Blue Networks

Abstract

En este documento, se analizaron diferentes vulnerabilidades en el sistema de facturación web de la empresa Blue-Networks, considerando los conocimientos adquiridos en los 3 últimos módulos: Desarrollo seguro, Análisis Forense e Ingeniería Inversa. En el módulo de Desarrollo Seguro, se identificó la estructura que tiene la aplicación web con los componentes de hardware y software que intervienen en la ejecución de los servicios de facturación, se realizó la auditoria de la pantalla de acceso a la aplicación para que sea segura a ataques de SQL Injection y XSS, obteniendo diferentes medidas de seguridad para evitar ataques. En el módulo de análisis forense, se generó una imagen de la información que se iba a analizar; al estar la aplicación en un servidor web se optó por el análisis de discos físicos como alternativa al análisis. También se obtuvo el hash de la información (paso importante en un informe forense) asegurando que la información no ha sido vulnerada ni manipulada. En el módulo de ingeniería inversa se logró identificar vulnerabilidades en servicios críticos, después de su análisis e interpretación se sugieren ciertas recomendaciones con la finalidad de mitigar errores, se ha considerado el aplicativo de escritorio que tiene la empresa para realizar las diferentes pruebas referentes al módulo. Para este análisis se utilizaron las siguientes herramientas: BURPSUITE, CAINE, sistemas operativos como KALI LINUX, UBUNTU, X32DBG, AccesData FTK Imager, VB Decompiler Lite, DIE (Detect It Easy). Como resultado del análisis dentro del sistema se identificaron vulnerabilidades, adicionalmente se postularon recomendaciones adecuadas para mitigar dichas vulnerabilidades. In this document, different vulnerabilities in the web billing system of the Blue-Networks company were analyzed, considering the knowledge acquired in the 3 last modules: Secure 2 Development, Forensic Analysis and Reverse Engineering. In the Secure Development module, the structure of the web application with the hardware and software components involved in the execution of billing services was identified, the application access screen was audited to make it secure to SQL Injection and XSS attacks, obtaining different security measures to prevent attacks. In the forensic analysis module, an image of the information to be analyzed was generated, since the application is on a web server, the analysis of physical disks was chosen as an alternative to analysis. The hash of the information was also obtained (an important step in a forensic report) ensuring that the information has not been compromised or manipulated. In the reverse engineering module, it was possible to identify vulnerabilities in critical services, after their analysis and interpretation certain recommendations are suggested in order to mitigate errors, the desktop application that the company has to perform the different tests related to the module has been considered. For this analysis the following tools were used: BURPSUITE, CAINE, operating systems such as KALI LINUX, UBUNTU, X32DBG, AccessData FTK Imager, VB Decompiler Lite, DIE (Detect It Easy). As a result of the analysis within the system, vulnerabilities were identified, and appropriate recommendations to mitigate such vulnerabilities were postulated.