Análisis de vulnerabilidades en aplicativos web e infraestructura para una institución educativa privada de la Ciudad de Quito

Abstract

En la actualidad, la información en las empresas es el bien más preciado para su éxito, ya que es crítica para su gestión, desarrollo y mejora continua. Siendo la misma tan valiosa para una empresa, ésta genera curiosidad y expectativa por parte de usuarios internos y externos, disconformes o mal intencionados que buscan descubrir, adulterar o robar ésta información buscando de todas las maneras accesarla, generalmente con fines maliciosos. El presente trabajo investigó e identificó las vulnerabilidades y posibles riesgos que corre las TIC’s de una Organización Educativa Privada, para que en el futuro su información esté segura y accesible exclusivamente para los usuarios indicados. Se realizó un ethical hacking a los sistemas de información de la organización, previo respectivos permisos, logrando tener acceso libre tanto a la infraestructura como a los aplicativos de la misma. Durante el reconocimiento, escaneo, acceso y borrado de rastros, usando diferentes herramientas de hackeo, se logró encontrar puertos expuestos a internet, los cuales poseen graves vulnerabilidades, que desencadenan en un sinnúmero de facilidades de acceso a la base de datos que permiten: borrarla, modificarla, robarla, denegar servicios, crear cuentas root, etc. Mediante técnicas de inyección se encontraron vulnerabilidades graves de este tipo, que alteran el funcionamiento correcto de las peticiones y envíos de datos al servidor, logrando obtener información muy sensible. De la misma manera en uno de estos inputs, la inyección de una Shell permitió vulnerar completamente el sistema, develando todo tipo de información del sistema y sus usuarios, siendo ésta vulnerabilidad la más grave encontrada en toda ésta investigación