Download bug o cambio de funcionalidad

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
Document related concepts
no text concepts found
Transcript 
INFORME DE PRUEBA
Usuario Quality: Andrea Uribe
“BUG O CAMBIO DE FUNCIONALIDAD”
TAREA: 6875 – PROBLEMAS DE SEGURIDAD EN EL GXSPAC
DESARROLLADOR: Alejandro Tesch
REQUERIMIENTO
Problema de Seguridad en el GxSpac
Elaborado por: Juan Carlos Delgado
Introducción
En la actual Era de la Información y del Conocimiento, el activo intangible más importante
para las organizaciones es la información, por esta razón es necesario implementar los
mecanismos de control necesarios para garantizar la confidencialidad, integridad y
disponibilidad de la misma dentro de la corporación.
En este sentido, a través de las revisiones que está realizando la VP Auditorías Técnicas,
en cuanto a la gestión de la seguridad de la información, se han detectado brechas de
seguridad relacionadas con el acceso a los reportes generados a través de la herramienta
GxSpac. Los detalles de estas vulnerabilidades se muestran en el presente informe,
adicionalmente se incluyen un conjunto de recomendaciones tendientes a corregir las
mismas y a mitigar los riesgos asociados.
Problema de Seguridad en el GxSpac
El GxSpac es una herramienta, dentro de la familia Gx, que permite la generación de
reportes de manera automática o por solicitud del usuario.
Una vez generados estos reportes, el usuario solicitante recibe un correo electrónico que
contiene una dirección URL con la siguiente estructura:
http://appweb.inter.com.ve:8080/Intranet1.01JavaEnvironment/servlet/webloginp?11011,1
109772
Desde cualquier navegador WEB y desde cualquier Red el usuario puede acceder al reporte
a través de la siguiente interfaz de autenticación:
Se detectó que se puede acceder a todos los reportes generados por el GxSpac, sin
necesidad de que se realice el proceso de autenticación, solo se requiere ingresar la
dirección URL del reporte.
A continuación se muestran dos ejemplos de acceso no autorizado a reportes:
Listado de Morosos Unificados por Permisor:
http://appweb.inter.com.ve:8080/GxSpacJavaEnvironment/servlet/apdescargararchivo?10
99245
Factura
del
servicio
de
telefonía
del
Abonado
Julio
Díaz:
http://appweb.inter.com.ve:8080/GxSpacJavaEnvironment/servlet/apdescargararchivo?10
99215
El acceso no autorizado puede ser efectuado a cualquier reporte generado por el GxSpac,
solamente se deben modificar los últimos cinco números que aparecen al final de la
dirección URL:
http://appweb.inter.com.ve:8080/GxSpacJavaEnvironment/servlet/apdescargararchivo?10
XXXXX.
Es de destacar que debido a las características de la herramienta, estos reportes pueden
ser accedidos por cualquier persona, desde cualquier parte del mundo y en cualquier
momento.
Recomendaciones
Se recomienda a la VP Sistemas realizar las siguientes validaciones el GxSpac:
Verificar que el usuario haya iniciado sesión, antes de permitir la descarga de un reporte
(autenticación).
Comprobar que el usuario tenga la permisología necesaria para acceder al reporte
solicitado (autorización).
Para elaborar estas validaciones, se puede hacer uso de “Variables de Sesión” que están
disponibles en los entornos de desarrollo Web.
FALLA REPORTADA
Se reporta un bug en la seguridad del sistema GxSpac. Donde se permitía a
cualquier usuario colocando el link en el navegador descargar un reporte, sin tener
autorizado el mismo.
DESCRIPCIÓN DE FUNCIONALIDAD
Se ha desarrollado en el Sistema GxSpac una modificación en la seguridad para la
descarga de los archivo, de tal manera que si un usuario sin permiso intenta
descargar el reporte colocando el link desde el navegador, el sistema no lo permita.
Adicionalmente cuando un usuario está logueado y desea descargar un archivo al
cual no está autorizado, el sistema tampoco lo permite.
Nota: dependiendo del navegador y la versión del mismo, se abrirá la ventana para
descargar un archivo en blanco o solo se mostrará la pantalla en blanco.
1.-Notas del Desarrollador.
No tiene notas del desarrollador
2.- Notas de Configuración.
2.1.- Querys
No tiene Query
2.2.- Creación de Opciones y Menús
No tiene Opciones y Menús de inicialización
2.3.- Configuraciones Iniciales
No tiene configuraciones iniciales.
2.4.- Versiones de Navegador y Java
Navegador: Mozilla FireFox (31.0) , Google Chrome (Versión 31.0.1650.48 m)
Versión de Java:
java version "1.7.0_51"
Java(TM) SE Runtime Environment (build 1.7.0_51-b13)
Java HotSpot(TM) 64-Bit Server VM (build 24.51-b03, mixed mode)
Nota: los menú en el Google Chrome se alinean a la derecha a diferencia que en el
Mozilla FireFox que se alinean a la izquierda.
PRUEBAS REALIZADAS
Ruta: GxVision Evo1  Sistema  GxSpac  Consola de Usuarios
Se ubica un archivo solicitado por el usuario UANDREA, donde se observa la ruta para
descargar:
http://10.2.0.37:8080/GxSpacJavaEnvironment11/servlet/apdescargararchivo?3672
 Ingreso con el Link desde un navegador donde se tiene la sesión abierta
Si se tiene permiso para el reporte solicitado y se está logueado en otra ventana, se permite
la descarga del archivo:
Si por el contrario se está loqueado pero no se tiene permiso para el reporte solicitado:
 Ingreso con el Link desde otro navegador
Al ingresar el link en un navegador, se emite la siguiente pantalla que impide que se
descargue el reporte:
 Ingreso desde la consola, usuario no autorizado modificando el link
Se ingresa a la consola de usuario y se modifica el código del reporte y se observa que no
se permite la descarga del mismo:

Ingreso desde la consola, usuario autorizado con permiso para todos los
reportes
En este caso el sistema le permitirá, estando logueado, descargar cualquier archivo:
APROBADA EN BETA 
Related documents
int - nuevo campo a considerar en conciliacion tuves
int - nuevo campo a considerar en conciliacion tuves
nueva funcionalidad
nueva funcionalidad
INTRODUCCION - Repositorio ESPOL
INTRODUCCION - Repositorio ESPOL
nueva funcionalidad
nueva funcionalidad
CONFIGURAR METODO DE PAGO ONLINE
CONFIGURAR METODO DE PAGO ONLINE