Informática y Educación : diciembre 2017

1. Describa tres vulnerabilidades de la página web (de preferencia su organización) utilizando Nikto y recomiende la solución para mitigar las vulnerabilidades. (3 ptos)

Nota: Las recomendaciones tienen que estar justificadas (utilizando parches, links, normas ISO, etc)

www.servir.gob.pe / 191.98.135.124 puerto 80

Target IP	191.98.135.124
Destino nombre de host	www.servir.gob.pe
Puerto objetivo	80
Servidor HTTP	Apache / 2.2.15 (CentOS)
Enlace del Sitio (Nombre)	http://www.servir.gob.pe:80/
Enlace al sitio (IP)	http://191.98.135.124:80/

URI	/
Método HTTP	OBTENER
Descripción	Recuperado encabezado x-powered-by: PHP / 5.3.3
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-0

URI	/
Método HTTP	OBTENER
Descripción	El encabezado X-Frame-Options anti-clickjacking no está presente.
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-0

URI	/
Método HTTP	OBTENER
Descripción	El encabezado X-XSS-Protection no está definido. Este encabezado puede indicarle al agente de usuario que proteja contra algunas formas de XSS
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-0

URI	/
Método HTTP	OBTENER
Descripción	El encabezado X-Content-Type-Options no está configurado. Esto podría permitir que el agente de usuario represente el contenido del sitio de forma diferente al tipo MIME.
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-0

URI	/37IPh0UX.cfm
Método HTTP	OBTENER
Descripción	Se encontró un 'enlace' de encabezado poco común, con contenido: <http://www.servir.gob.pe/wp-json/>; rel = "https://api.w.org/"
Enlaces de prueba	http://www.servir.gob.pe:80/37IPh0UX.cfm http://191.98.135.124:80/37IPh0UX.cfm
Entradas OSVDB	OSVDB-0

URI	/robots.txt
Método HTTP	OBTENER
Descripción	El servidor pierde inodos a través de ETags, encabezado encontrado con el archivo /robots.txt, inode: 1314114, tamaño: 1292, mtime: jue 2 de noviembre 17:03:40 2017
Enlaces de prueba	http://www.servir.gob.pe:80/robots.txt http://191.98.135.124:80/robots.txt
Entradas OSVDB	OSVDB-0

URI	/ wp-admin /
Método HTTP	OBTENER
Descripción	La entrada '/ wp-admin /' en robots.txt devolvió un código HTTP no prohibido o redirigido (302)
Enlaces de prueba	http://www.servir.gob.pe:80/wp-admin/ http://191.98.135.124:80/wp-admin/
Entradas OSVDB	OSVDB-0

URI	/wp-admin/admin-ajax.php
Método HTTP	OBTENER
Descripción	La entrada '/wp-admin/admin-ajax.php' en robots.txt devuelve un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/wp-admin/admin-ajax.php http://191.98.135.124:80/wp-admin/admin-ajax.php
Entradas OSVDB	OSVDB-0

URI	/ tribunal-sc / resoluciones-de-salas / primera-sala /
Método HTTP	OBTENER
Descripción	La entrada '/ tribunal-sc / resoluciones-de-salas / primera-sala /' en robots.txt devolvió un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/tribunal-sc/resoluciones-de-salas/primera-sala/ http://191.98.135.124:80/tribunal-sc/resoluciones-de-salas/primera- sala /
Entradas OSVDB	OSVDB-0

URI	/ tribunal-sc / resoluciones-de-salas / segunda-sala /
Método HTTP	OBTENER
Descripción	La entrada '/ tribunal-sc / resoluciones-de-salas / segunda-sala /' en robots.txt devolvió un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/tribunal-sc/resoluciones-de-salas/segunda-sala/ http://191.98.135.124:80/tribunal-sc/resoluciones-de-salas/segunda- sala /
Entradas OSVDB	OSVDB-0

URI	/ rectoria / resoluciones-de-servir / pe /
Método HTTP	OBTENER
Descripción	La entrada '/ rectoria / resoluciones-de-servir / pe /' en robots.txt devolvió un código HTTP no prohibido o redireccionado (200)
Enlaces de prueba	http://www.servir.gob.pe:80/rectoria/resoluciones-de-servir/pe/ http://191.98.135.124:80/rectoria/resoluciones-de-servir/pe/
Entradas OSVDB	OSVDB-0

URI	/ rectoria / resoluciones-de-servir / gg /
Método HTTP	OBTENER
Descripción	La entrada '/ rectoria / resoluciones-de-servir / gg /' en robots.txt devolvió un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/rectoria/resoluciones-de-servir/gg/ http://191.98.135.124:80/rectoria/resoluciones-de-servir/gg/
Entradas OSVDB	OSVDB-0

URI	/ rectoria / resoluciones-de-servir / ogaf /
Método HTTP	OBTENER
Descripción	La entrada '/ rectoria / resoluciones-de-servir / ogaf /' en robots.txt devolvió un código HTTP no prohibido o redireccionado (200)
Enlaces de prueba	http://www.servir.gob.pe:80/rectoria/resoluciones-de-servir/ogaf/ http://191.98.135.124:80/rectoria/resoluciones-de-servir/ogaf/
Entradas OSVDB	OSVDB-0

URI	/ rectoria / informes-legales / listado-de-informes-legales /
Método HTTP	OBTENER
Descripción	Entry '/ rectoria / informes-legales / listado-de-informes-legales /' en robots.txt devolvió un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/rectoria/informes-legales/listado-de-informes-legales/ http://191.98.135.124:80/rectoria/informes-legales/listado-de-informes- legales /
Entradas OSVDB	OSVDB-0

URI	/ nosotros / marco-legal / funcionarios-responsables-del-portal-de-transparencia /
Método HTTP	OBTENER
Descripción	La entrada '/ nosotros / marco-legal / funcionarios-responsables-del-portal-de-transparencia /' en robots.txt devolvió un código HTTP no prohibido o redireccionado (200)
Enlaces de prueba	http://www.servir.gob.pe:80/nosotros/marco-legal/funcionarios-responsables-del-portal-de-transparencia/ http://191.98.135.124:80/nosotros/marco-legal/funcionarios- responsables-del-portal-de-transparencia /
Entradas OSVDB	OSVDB-0

URI	/ nosotros / nuestros-colaboradores / gerencia-general /
Método HTTP	OBTENER
Descripción	La entrada '/ nosotros / nuestros-colaboradores / gerencia-general /' en robots.txt devolvió un código HTTP no prohibido o redirigido (200)
Enlaces de prueba	http://www.servir.gob.pe:80/nosotros/nuestros-colaboradores/gerencia-general/ http://191.98.135.124:80/nosotros/nuestros-colaboradores/gerencia-general/
Entradas OSVDB	OSVDB-0

URI	/robots.txt
Método HTTP	OBTENER
Descripción	"robots.txt" contiene 11 entradas que se deben ver manualmente.
Enlaces de prueba	http://www.servir.gob.pe:80/robots.txt http://191.98.135.124:80/robots.txt
Entradas OSVDB	OSVDB-0

URI	# TEMPL_URI #
Método HTTP	# TEMPL_HTTP_METHOD #
Descripción	# TEMPL_MSG #
Enlaces de prueba	# TEMPL_ITEM_NAME_LINK # # TEMPL_ITEM_IP_LINK #
Entradas OSVDB	OSVDB- # TEMPL_OSVDB #

URI	/
Método HTTP	HPSGDYTU
Descripción	El servidor web devuelve una respuesta válida con métodos HTTP no deseados, esto puede causar falsos positivos.
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-0

URI	/
Método HTTP	RASTRO
Descripción	El método HTTP TRACE está activo, lo que sugiere que el host es vulnerable a XST
Enlaces de prueba	http://www.servir.gob.pe:80/ http://191.98.135.124:80/
Entradas OSVDB	OSVDB-877

URI	/web.config
Método HTTP	OBTENER
Descripción	/web.config: se puede acceder al archivo de configuración ASP.
Enlaces de prueba	http://www.servir.gob.pe:80/web.config http://191.98.135.124:80/web.config
Entradas OSVDB	OSVDB-3092

URI	/? = PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Método HTTP	OBTENER
Descripción	/? = PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP revela información potencialmente confidencial a través de ciertas solicitudes HTTP que contienen cadenas específicas de QUERY.
Enlaces de prueba	http://www.servir.gob.pe:80/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 http://191.98.135.124:80/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Entradas OSVDB	OSVDB-12184

URI	/? = PHPE9568F34-D428-11d2-A769-00AA001ACF42
Método HTTP	OBTENER
Descripción	/? = PHPE9568F34-D428-11d2-A769-00AA001ACF42: PHP revela información potencialmente confidencial a través de ciertas solicitudes HTTP que contienen cadenas específicas de QUERY.
Enlaces de prueba	http://www.servir.gob.pe:80/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 http://191.98.135.124:80/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
Entradas OSVDB	OSVDB-12184

URI	/? = PHPE9568F35-D428-11d2-A769-00AA001ACF42
Método HTTP	OBTENER
Descripción	/? = PHPE9568F35-D428-11d2-A769-00AA001ACF42: PHP revela información potencialmente confidencial a través de ciertas solicitudes HTTP que contienen cadenas específicas de QUERY.
Enlaces de prueba	http://www.servir.gob.pe:80/?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 http://191.98.135.124:80/?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
Entradas OSVDB	OSVDB-12184

URI	/ archivo /
Método HTTP	OBTENER
Descripción	/ archivo /: indexación de directorios encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/archivo/ http://191.98.135.124:80/archivo/
Entradas OSVDB	OSVDB-3268

URI	/ archivo /
Método HTTP	OBTENER
Descripción	/ archivo /: Esto podría ser interesante ...
Enlaces de prueba	http://www.servir.gob.pe:80/archivo/ http://191.98.135.124:80/archivo/
Entradas OSVDB	OSVDB-3092

URI	/ Intranet /
Método HTTP	OBTENER
Descripción	/ intranet /: indexación de directorios encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/intranet/ http://191.98.135.124:80/intranet/
Entradas OSVDB	OSVDB-3268

URI	/ Intranet /
Método HTTP	OBTENER
Descripción	/ Intranet /: Esto podría ser interesante ...
Enlaces de prueba	http://www.servir.gob.pe:80/intranet/ http://191.98.135.124:80/intranet/
Entradas OSVDB	OSVDB-3092

URI	/ servicio /
Método HTTP	OBTENER
Descripción	/ servicio /: Esto podría ser interesante ...
Enlaces de prueba	http://www.servir.gob.pe:80/servicio/ http://191.98.135.124:80/servicio/
Entradas OSVDB	OSVDB-3092

URI	/ servicios /
Método HTTP	OBTENER
Descripción	/ servicios /: Esto podría ser interesante ...
Enlaces de prueba	http://www.servir.gob.pe:80/servicios/ http://191.98.135.124:80/servicios/
Entradas OSVDB	OSVDB-3092

URI	/.bash_history
Método HTTP	OBTENER
Descripción	/.bash_history: el directorio de inicio de un usuario se puede establecer en la raíz web, se recuperó el historial del shell. Esto no debería ser accesible a través de la web.
Enlaces de prueba	http://www.servir.gob.pe:80/.bash_history http://191.98.135.124:80/.bash_history
Entradas OSVDB	OSVDB-3093

URI	/ iconos /
Método HTTP	OBTENER
Descripción	/ icons /: indexación de directorios encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/icons/ http://191.98.135.124:80/icons/
Entradas OSVDB	OSVDB-3268

URI	/ images /
Método HTTP	OBTENER
Descripción	/ images /: indexación de directorios encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/images/ http://191.98.135.124:80/images/
Entradas OSVDB	OSVDB-3268

URI	/ images /? pattern = / etc / * & sort = nombre
Método HTTP	OBTENER
Descripción	/ images /? pattern = / etc / * & sort = name: indexación del directorio encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/images/?pattern=/etc/&sort=name http://191.98.135.124:80/images/?pattern=/etc/&sort=name
Entradas OSVDB	OSVDB-3268

URI	/ icons / README
Método HTTP	OBTENER
Descripción	/ icons / README: archivo predeterminado de Apache encontrado.
Enlaces de prueba	http://www.servir.gob.pe:80/icons/README http://191.98.135.124:80/icons/README
Entradas OSVDB	OSVDB-3233

URI	/wp-links-opml.php
Método HTTP	OBTENER
Descripción	/wp-links-opml.php: este script de WordPress revela la versión instalada.
Enlaces de prueba	http://www.servir.gob.pe:80/wp-links-opml.php http://191.98.135.124:80/wp-links-opml.php
Entradas OSVDB	OSVDB-0

URI	/license.txt
Método HTTP	OBTENER
Descripción	/license.txt: el archivo de licencia encontrado puede identificar el software del sitio.
Enlaces de prueba	http://www.servir.gob.pe:80/license.txt http://191.98.135.124:80/license.txt
Entradas OSVDB	OSVDB-3092

URI	/wp-app.log
Método HTTP	OBTENER
Descripción	/wp-app.log: wp-app.log de Wordpress puede perder detalles de la aplicación / sistema.
Enlaces de prueba	http://www.servir.gob.pe:80/wp-app.log http://191.98.135.124:80/wp-app.log
Entradas OSVDB	OSVDB-0

URI	/ wordpress /
Método HTTP	OBTENER
Descripción	/ wordpress /: Se encontró una instalación de Wordpress.
Enlaces de prueba	http://www.servir.gob.pe:80/wordpress/ http://191.98.135.124:80/wordpress/
Entradas OSVDB	OSVDB-0

URI	/wp-login.php?action=register
Método HTTP	OBTENER
Descripción	Cookie wordpress_test_cookie creada sin la bandera httponly
Enlaces de prueba	http://www.servir.gob.pe:80/wp-login.php?action=register http://191.98.135.124:80/wp-login.php?action=register
Entradas OSVDB	OSVDB-0

URI	/? - s
Método HTTP	OBTENER
Descripción	/? - s: PHP permite la recuperación del código fuente a través del parámetro -s, y puede permitir la ejecución del comando. Ver http://www.kb.cert.org/vuls/id/520827
Enlaces de prueba	http://www.servir.gob.pe:80/?-s http://191.98.135.124:80/?-s
Entradas OSVDB	OSVDB-0

URI	/login.php?-s
Método HTTP	OBTENER
Descripción	/login.php?-s: PHP permite la recuperación del código fuente a través del parámetro -s, y puede permitir la ejecución del comando. Ver http://www.kb.cert.org/vuls/id/520827
Enlaces de prueba	http://www.servir.gob.pe:80/login.php?-s http://191.98.135.124:80/login.php?-s
Entradas OSVDB	OSVDB-0

URI	/ wp-content / uploads /
Método HTTP	OBTENER
Descripción	/ wp-content / uploads /: indexación del directorio encontrada.
Enlaces de prueba	http://www.servir.gob.pe:80/wp-content/uploads/ http://191.98.135.124:80/wp-content/uploads/
Entradas OSVDB	OSVDB-3268

URI	/ wp-content / uploads /
Método HTTP	OBTENER
Descripción	/ wp-content / uploads /: el directorio de carga de Wordpress es navegable. Esto puede revelar información sensible
Enlaces de prueba	http://www.servir.gob.pe:80/wp-content/uploads/ http://191.98.135.124:80/wp-content/uploads/
Entradas OSVDB	OSVDB-0

Resumen de host

Hora de inicio	2017-12-11 01:15:49
Hora de finalización	2017-12-11 05:11:25
Tiempo transcurrido	14136 segundos
Estadística	8402 solicitudes, 0 errores, 44 resultados

Resumen de escaneo

Detalles del software	Nikto 2.1.6
Opciones de CLI	-h http://www.servir.gob.pe -o reporteJorge.html
Hosts probados	1
Hora de inicio	Lun 11 de diciembre 01:15:48 2017
Hora de finalización	Lun 11 de diciembre 05:11:25 2017
Tiempo transcurrido	14137 segundos

Informática y Educación

domingo, 10 de diciembre de 2017

Seguridad Informática- Examen Practico

Datos personales