RIESGOS Y CONTROL INFORMATICO (Posgrado)

Fase 4 - Realizar Actividad Práctica de Modelado de Amenazas

Presentado por:
Raúl Alberto Avellaneda – Cód. 79.720.169

Grupo
233004_12

Director:
LUIS FERNANDO ZAMBRANO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

“UNAD”
Bogotá, Mayo de 2018
Introducción

Este documento tiene como finalidad seguir paso a paso con la recolección del inventario
informático para realiza la actividad Fase 4 - Realizar Actividad Práctica de Modelado de
Amenazas, A partir de los conocimientos adquiridos en las actividades anteriores y
haciendo uso de la herramienta de Threat Analysis and Modeling Tool 2016, realizar el
modelado de amenazas.

2
Objetivos

 Partiendo del aprendizaje, basado en proyectos llevar a cabo el tratamiento

del riesgo para el establecimiento de controles de acuerdo a las normas
vigentes

 Haciendo uso de la herramienta de Threat Analysis and Modeling Tool 2016,

revisar vulnerabilidades.

 Por medio de la herramienta determinar cuál es la amenaza que más se

presenta.

3
Actividad a desarrollar

A partir de los conocimientos adquiridos en las actividades anteriores y haciendo uso de la

herramienta de Threat Analysis and Modeling Tool 2016, realizar el modelado de amenazas
teniendo en cuenta el siguiente ejercicio: Una aplicación web desarrollada a tres capas para
un proceso de facturación cuenta con la siguiente estructura lógica:

El sistema se basa en arquitectura de una aplicación web de tres capas, donde el cliente
es un navegador que acceder a los servicios proporcionados por el sitio web del centro de
facturación, esta contiene una base de datos de clientes y procesos de facturación, alojada
en un servidor uno de bases de datos y un servidor web que implementa toda la lógica de
negocio.

Identificar las amenazas teniendo en cuenta su categoría, proponer salvaguardas que

ayuden a mitigarlas los riesgos encontrados.

En la prioridad se determina el resultado del riesgo (bajo, medio o alto) teniendo en cuenta
la suma de la probabilidad de impacto la cual va de 1 a 3, tenga presente que esta
evaluación se hace de forma manual.

4
Por último, se determinan tres posibles salvaguardas Como ayudas de salvaguardas a
incluir en la aplicación, para mitigar las amenazas se incluye el siguiente gráfico:

Nombre de las amenazas identificadas

5
Descripción de Amenazas

6
7
El resto de Threat se aprecia en la plantilla (2-Plantilla Ejerc. Raul Avellaneda)

8
Interaction: Consulta SQL
Categoría: Elevación de privilegio

Descripción: Server SQL puede suplantar el contexto del servidor web para obtener
privilegios adicionales.

Justificación:
Un atacante puede pasar datos a Server SQL para cambiar el flujo de ejecución del
programa dentro del Server SQL a elección del atacante.

El servidor SQL puede estar sujeto a la elevación de privilegios mediante la ejecución

remota de código

El flujo de datos IPsec está potencialmente interrumpido, Un agente externo interrumpe el

flujo de datos a través de un límite de confianza en cualquier dirección.

Posible bloqueo o detención del proceso para SQL del servidor, Server SQL se bloquea, se
detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de
disponibilidad

Repudio de datos potenciales por SQL Server, el servidor SQL afirma que no recibió datos
de una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para
registrar la fuente, la hora y el resumen de los datos recibidos.

Interaction: Datos

Categoría: Cross-site scripting

Descripción: Es un tipo de inseguridad informática o agujero de seguridad típico de las

aplicaciones Web, El servidor web 'Servidor web' podría estar sujeto a un ataque de scripts
entre sitios porque no desinfecta las entradas que no son de confianza.
Spoofing de Source Data Store web en disco,

Justificación:
Web en disco puede ser falsificado por un atacante y esto puede conducir a que se
entreguen datos incorrectos al servidor web. Considere usar un mecanismo de
autenticación estándar para identificar el almacén de datos de origen.

Persistent Cross Site Scripting, El servidor web 'Servidor web' podría estar sujeto a un
persistente ataque de secuencias de comandos entre sitios porque no desinfecta las
entradas y salidas de 'web en disco' del almacén de datos.

Débil control de acceso para un recurso, La protección de datos mproper de web en disco
puede permitir que un atacante lea información no destinada a la divulgación. Revisar
configuración de autorización

9
Repudio de datos potenciales por servidor web, Web Server afirma que no recibió datos de
una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para
registrar la fuente, la hora y el resumen de los datos recibidos

Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea,
se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de
disponibilidad.

El flujo de datos Datos está potencialmente interrumpido, Un agente externo interrumpe el

flujo de datos a través de un límite de confianza en cualquier dirección.

Almacén de datos inaccesible, Un agente externo impide el acceso a un almacén de datos

en el otro lado del límite de confianza.

El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución

remota de código, web en disco puede ejecutar remotamente código para el servidor web.

Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar

datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor
Web a elección del atacante.

Interaction: HTTPS

Categoría: Repudio de datos potenciales por servidor web

Descripción: Web Server claims that it did not receive data from a source outside the trust
boundary. Consider using logging or auditing to record the source, time, and summary of
the received data

Justificación:
Suplantar el proceso del cliente del navegador, El atacante puede falsificar al navegador y
esto puede provocar el acceso no autorizado al servidor web. Considere usar un
mecanismo de autenticación estándar para identificar el proceso fuente.

Cross Site Scripting, El servidor web 'Servidor web' podría estar sujeto a un ataque de
scripts entre sitios porque no desinfecta las entradas que no son de confianza.

Elevación mediante suplantación, El servidor web puede suplantar el contexto del cliente
del navegador para obtener privilegios adicionales

Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar

datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor
Web a elección del atacante.

El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución

remota de código, El cliente del navegador puede ejecutar código de forma remota para el
servidor web.

Flujo de datos HTTPS potencialmente se interrumpe, Un agente externo interrumpe el flujo

de datos a través de un límite de confianza en cualquier dirección.

10
Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea,
se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de
disponibilidad.

Falsificación de solicitudes cruzadas, La falsificación de solicitudes entre sitios (CSRF o

XSRF) es un tipo de ataque en el que un atacante fuerza al navegador de un usuario a
realizar una solicitud falsificada a un sitio vulnerable explotando una relación de confianza
existente entre el navegador y el sitio web vulnerable. En un escenario simple, un usuario
inicia sesión en el sitio web A usando una cookie como credencial. El otro busca en el sitio
web B. El sitio web B devuelve una página con un formulario oculto que se publica en el
sitio web A. Dado que el navegador llevará la cookie del usuario al sitio web A, el sitio web
B ahora puede realizar cualquier acción en el sitio web A , por ejemplo, agregar un
administrador a una cuenta. El ataque se puede usar para explotar cualquier solicitud que
el navegador autentique automáticamente, p. por sesión cookie, autenticación integrada, IP
whitelisting, ... El ataque puede llevarse a cabo de muchas maneras, como atraer a la
víctima a un sitio bajo control del atacante, hacer que el usuario haga clic en un enlace en
un correo phishing o piratear un sitio web de buena reputación que la víctima visitará. El
problema solo puede resolverse por el lado del servidor al exigir que todas las solicitudes
autenticadas de cambio de estado incluyan una pieza adicional de carga secreta (token
canario o CSRF) que solo es conocida por el sitio web legítimo y el navegador y que está
protegida en tránsito. a través de SSL / TLS. Consulte la propiedad de Protección contra
falsificación en la plantilla de flujo para obtener una lista de mitigaciones.

Interaction: HTTPS

Categoría: Web Server Process Memory Tampered

Descripción: Si el Servidor Web tiene acceso a la memoria, como memoria compartida o

apuntadores, o tiene la capacidad de controlar lo que ejecuta el Cliente del Navegador (por
ejemplo, devolver un puntero a la función), entonces el Servidor Web puede manipular el
Cliente del Navegador. Considere si la función podría funcionar con menos acceso a la
memoria, como pasar datos en lugar de punteros. Copie los datos provistos y luego valídelo.

Justificación:
Elevación mediante suplantación, El cliente del navegador puede suplantar el contexto del
servidor web para obtener privilegios adicionales.

Suplantar el proceso del servidor web, Web Server may be spoofed by an attacker and this
may lead to unauthorized access to Browser Client. Consider using a standard
authentication mechanism to identify the source process.

Repudio de datos potenciales por el cliente del navegador, El cliente del navegador afirma
que no recibió datos de una fuente fuera del límite de confianza. Considere usar el registro
o la auditoría para registrar la fuente, la hora y el resumen de los datos recibidos.

Posible bloqueo o detención del proceso para el cliente del navegador, El cliente del
navegador se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos
violando una métrica de disponibilidad.

11
Flujo de datos HTTPS potencialmente se interrumpe, Un agente externo interrumpe el flujo
de datos a través de un límite de confianza en cualquier dirección.

El cliente del navegador puede estar sujeto a la elevación de privilegios mediante la

ejecución remota de código, El servidor web puede ejecutar código de forma remota para
el cliente del navegador.

Elevación al cambiar el flujo de ejecución en el cliente del navegador, Un atacante puede

pasar datos al Cliente del navegador para cambiar el flujo de ejecución del programa dentro
del Cliente del navegador a elección del atacante.

Interaction: IPsec

Categoría: Spoofing of Destination Data Store SQL Database

Descripción: La base de datos SQL puede ser falsificada por un atacante y esto puede
conducir a que los datos se escriban en el destino del atacante en lugar de la base de datos
SQL. Considere usar un mecanismo de autenticación estándar para identificar el almacén
de datos de destino.

Vulnerabilidad de inyección SQL potencial para base de datos SQL, La inyección SQL es
un ataque en el que se inserta código malicioso en cadenas que luego se pasan a una
instancia de SQL Server para su análisis y ejecución. Cualquier procedimiento que
construya declaraciones SQL debe ser revisado para detectar vulnerabilidades de inyección
porque SQL Server ejecutará todas las consultas sintácticamente válidas que reciba.
Incluso los datos parametrizados pueden ser manipulados por un atacante experto y
determinado.

Consumo de recursos excesivo potencial para el servidor SQL o base de datos SQL,
¿Puede el servidor SQL o SQL Database toman pasos explícitos para controlar el consumo
de recursos? Los ataques de consumo de recursos pueden ser difíciles de manejar, y hay
momentos en los que tiene sentido dejar que el SO haga el trabajo. Tenga cuidado de que
sus solicitudes de recursos no se estanquen y que se agote el tiempo de espera.

Interaction: Procesos

Categoría: Spoofing the Human User External Entity

Descripción: El usuario humano puede ser falsificado por un atacante y esto puede
conducir a un acceso no autorizado al cliente del navegador. Considere usar un mecanismo
de autenticación estándar para identificar la entidad externa. Usuario humano.

Justificación:
Elevación mediante suplantación, El cliente del navegador puede suplantar el contexto del
usuario humano para obtener privilegios adicionales

Interaction: Respuesta

Categoría: Spoofing of Source Data Store SQL Database

12
Descripción: La base de datos SQL puede ser falsificada por un atacante y esto puede
llevar a datos incorrectos entregados a Server SQL. Considere usar un mecanismo de
autenticación estándar para identificar el almacén de datos de origen. Base de datos SQL

Justificación:
Débil control de acceso para un recurso, La protección de datos mproper de la Base de
datos SQL puede permitir que un atacante lea información no destinada a la divulgación.
Revise la configuración de autorización.

Interaction: Respuesta

Categoría: Cross Site Scripting

Descripción: El servidor web 'Servidor web' podría estar sujeto a un ataque de scripts entre
sitios porque no desinfecta las entradas que no son de confianza.

Justificación:
Elevation Using Impersonation, El servidor web puede suplantar el contexto de SQL del
servidor para obtener privilegios adicionales.

Repudio de datos potenciales por servidor web, Web Server afirma que no recibió datos de
una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para
registrar la fuente, la hora y el resumen de los datos recibidos

Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea,
se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de
disponibilidad

El flujo de datos IPsec está potencialmente interrumpido, Un agente externo interrumpe el

flujo de datos a través de un límite de confianza en cualquier dirección

El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución

remota de código, El servidor SQL puede ejecutar código de forma remota para el servidor
web.

Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar

datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor
Web a elección del atacante.

Salvaguardas

1. Suplantación SQL
Se puede resolver la suplantación, usando SQL Server Configuration Manager para
cambiar la cuenta de dominio a una cuenta de inicio.

Luego, use SQL Server Configuration Manager para cambiar la cuenta de inicio a una
cuenta de dominio. Al hacer esto, SQL Server Configuration Manager agregará la cuenta
de dominio al grupo de seguridad siguiente:

13
SQLServer2005SQLAgentUser$ComputerName$InstanceName
Por lo tanto, SQL Server Configuration Manager concederá a la cuenta de dominio los
permisos necesarios para ejecutar los trabajos del agente.
Para resolver el problema, siga estos pasos:
Establezca la cuenta del servicio Agente SQL Server de SQL Server Configuration Manager
en la cuenta LocalSystem.
Detenga y luego inicie el servicio Agente SQL Server.
Restablezca la cuenta del servicio Agente SQL Server de SQL Server Configuration
Manager en la cuenta original.
Detenga y luego inicie el servicio Agente SQL Server.
Protecciones contra malware

2. Cross-site scripting
Se debe contar con una solución de seguridad malware o exploits, los cuales apenas se
ejecuten, automáticamente será bloqueada, Además, si se trata de una redirección a algún
sitio de phishing, se cuenta con la protección del antivirus y el bloqueo proactivo por parte
de los navegadores.

Existen complementos o extensiones exclusivamente para los navegadores que se encarga

de bloquear estos scripts en sitios web. Como ejemplo tenemos NoScript, que permite
realizar configuraciones personalizadas (y es gratuito).

3. Web Server Process Memory Tampered

Validación de entrada / datos

No confíes en la entrada
Validar entrada: longitud, rango, formato y tipo
Restrinja, rechace y desinfecte la información
Codificar salida
Autenticación

Usa políticas de contraseñas seguras

No almacene credenciales
Utilice mecanismos de autenticación que no requieren credenciales de texto claro para
pasar a través de la red
Encriptar canales de comunicación para proteger tokens de autenticación
Use HTTPS solo con cookies de autenticación de formularios
Separar el anonimato de las páginas autenticadas
Autorización

Use cuentas de privilegios mínimos

Considere la granularidad del acceso
Hacer cumplir la separación de privilegios
Usa múltiples guardianes
Asegure los recursos del sistema contra las identidades del sistema
Gestión de configuración

Use cuentas de servicios con menos privilegios

No almacene credenciales en texto claro
Use autenticación y autorización sólidas en las interfaces administrativas

14
No use la autoridad de seguridad local (LSA)
Evite almacenar información confidencial en el espacio web
Utilice solo la administración local
Informacion delicada

No almacene secretos en el software

Cifrar datos confidenciales a través de la red
Asegure el canal
Gestión de sesiones

Sitio de particiones por usuarios anónimos, identificados y autenticados

Reduce los tiempos de espera de la sesión
Evite almacenar datos confidenciales en tiendas de sesión
Asegure el canal a la tienda de sesiones
Autenticar y autorizar el acceso a la tienda de sesiones
Criptografía

No desarrolle ni use algoritmos propios (XOR no es cifrado. Utilice la criptografía

proporcionada por la plataforma)
Utilice el método RNGCryptoServiceProvider para generar números aleatorios
Evite la administración de claves. Utilice la API de protección de datos de Windows (DPAPI)
cuando corresponda
Periódicamente cambia tus llaves

4. Spoofin

Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena

idea para comenzar su defensa ante el spoofing. Usted deberá implementar un ACL (lista
de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz.
Además, este interfaz no debería aceptar direcciones de tu rango interno como dirección
de origen (técnica común de spoofing que se usaba para engañar a los cortafuegos). Por
encima de la interfaz, usted debería restringir direcciones de origen fuera de su rango válido,
esto evitará que alguien en su red envíe tráfico spoofeado a Internet. Es importante que no
se permita la salida de ningún paquete que tenga como dirección IP de origen una que no
pertenezca a su subred.

El cifrado y la Autenticación: la Realización del cifrado y la autenticación también reducirán

amenazas de spoofing. Estas dos características están incluidas en Ipv6, que eliminará las
actuales amenazas de spoofing.

Informe Generado:

1 Threat Modeling Report

Created on 24/04/2018 12:00:43 p. m.
Threat Model Name:
Owner:
Reviewer:
Contributors:

15
Description:
Assumptions:
External Dependencies:

2 Threat Model Summary:

Not Started 47
Not Applicable 0
Needs Investigation 0
Mitigation Implemented 0
Total 47
Total Migrated 0

3 Validation Messages:
1. Error [ignored]: More than one arc trust boundary of the same type on the same
data flow.
2. Error [ignored]: More than one arc trust boundary of the same type on the same
data flow.
4 Consulta SQL Diagram Summary:
Not Started 47
Not Applicable 0
Needs Investigation 0
Mitigation Implemented 0
Total 47
Total Migrated 0
5 Interaction: Consulta SQL

16
 1. Elevation Using Impersonation [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Server SQL may be able to impersonate the context of Web Server
in order to gain additional privilege.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
2. Elevation by Changing the Execution Flow in Server SQL [State: Not
Started] [Priority: High]
Category: Elevation Of Privilege
Description: An attacker may pass data into Server SQL in order to change the
flow of program execution within Server SQL to the attacker's
choosing.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:

17
Safeguard 2:
Safeguard 3:
3. Server SQL May be Subject to Elevation of Privilege Using Remote Code
Execution [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Web Server may be able to remotely execute code for Server
SQL.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread-Exploitability: High
Dread-Affected users: High
Dread-Discoverablity: Low
Safeguard 1:
Safeguard 2:
Safeguard 3:
4. Data Flow IPsec Is Potentially Interrupted [State: Not Started] [Priority: High]
Category: Denial Of Service
Description: An external agent interrupts data flowing across a trust boundary in
either direction.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
5. Potential Process Crash or Stop for Server SQL [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: Server SQL crashes, halts, stops or runs slowly; in all cases
violating an availability metric.
Justification: <no mitigation provided>
Dread-damage: Low
Dread- High
Reproducibility:
Dread-Exploitability: Low

18
Dread-Affected High
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
6. Potential Data Repudiation by Server SQL [State: Not Started] [Priority: High]
Category: Repudiation
Description: Server SQL claims that it did not receive data from a source outside
the trust boundary. Consider using logging or auditing to record the
source, time, and summary of the received data.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: Datos

19
 7. Cross Site Scripting [State: Not Started] [Priority: High]
Category: Tampering
Description: The web server 'Web Server' could be a subject to a cross-site
scripting attack because it does not sanitize untrusted input.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected High
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
8. Spoofing of Source Data Store web en disco [State: Not Started] [Priority:
High]
Category: Spoofing
Description: web en disco may be spoofed by an attacker and this may lead to
incorrect data delivered to Web Server. Consider using a standard
authentication mechanism to identify the source data store.
Justification: <no mitigation provided>
Dread-damage: Low
Dread- Low
Reproducibility:
Dread- Low
Exploitability:
Dread-Affected Low
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
9. Persistent Cross Site Scripting [State: Not Started] [Priority: High]
Category: Tampering
Description: The web server 'Web Server' could be a subject to a persistent cross-
site scripting attack because it does not sanitize data store 'web en
disco' inputs and output.
Justification: <no mitigation provided>
Dread-damage: High

20
Dread- High
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
10. Weak Access Control for a Resource [State: Not Started] [Priority: High]
Category: Information Disclosure
Description: Improper data protection of web en disco can allow an attacker to read
information not intended for disclosure. Review authorization settings.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- High
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
11. Potential Data Repudiation by Web Server [State: Not Started] [Priority:
High]
Category: Repudiation
Description: Web Server claims that it did not receive data from a source outside
the trust boundary. Consider using logging or auditing to record the
source, time, and summary of the received data.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:

21
Safeguard 1:
Safeguard 2:
Safeguard 3:
12. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: Web Server crashes, halts, stops or runs slowly; in all cases
violating an availability metric.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
13. Data Flow Datos Is Potentially Interrupted [State: Not Started] [Priority: High]
Category: Denial Of Service
Description: An external agent interrupts data flowing across a trust boundary in
either direction.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
14. Data Store Inaccessible [State: Not Started] [Priority: High]
Category: Denial Of Service
Description: An external agent prevents access to a data store on the other side
of the trust boundary.
Justification: <no mitigation provided>
Dread-damage: Medium

22
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
15. Web Server May be Subject to Elevation of Privilege Using Remote Code
Execution [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: web en disco may be able to remotely execute code for Web
Server.
Justification: <no mitigation provided>
Dread-damage: Low
Dread- Low
Reproducibility:
Dread-Exploitability: Medium
Dread-Affected users: Low
Dread-Discoverablity: Low
Safeguard 1:
Safeguard 2:
Safeguard 3:
16. Elevation by Changing the Execution Flow in Web Server [State: Not
Started] [Priority: High]
Category: Elevation Of Privilege
Description: An attacker may pass data into Web Server in order to change the
flow of program execution within Web Server to the attacker's
choosing.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

23
 Interaction: HTTPS

17. Potential Data Repudiation by Web Server [State: Not Started] [Priority:
High]
Category: Repudiation
Description: Web Server claims that it did not receive data from a source outside
the trust boundary. Consider using logging or auditing to record the
source, time, and summary of the received data.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
18. Spoofing the Browser Client Process [State: Not Started] [Priority: High]
Category: Spoofing
Description: Browser Client may be spoofed by an attacker and this may lead to
unauthorized access to Web Server. Consider using a standard
authentication mechanism to identify the source process.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Low
Reproducibility:
Dread- Low
Exploitability:
Dread-Affected High
users:

24
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
19. Cross Site Scripting [State: Not Started] [Priority: High]
Category: Tampering
Description: The web server 'Web Server' could be a subject to a cross-site
scripting attack because it does not sanitize untrusted input.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Low
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
20. Elevation Using Impersonation [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Web Server may be able to impersonate the context of Browser
Client in order to gain additional privilege.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
21. Elevation by Changing the Execution Flow in Web Server [State: Not
Started] [Priority: High]
Category: Elevation Of Privilege

25
Description: An attacker may pass data into Web Server in order to change the
flow of program execution within Web Server to the attacker's
choosing.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
22. Web Server May be Subject to Elevation of Privilege Using Remote Code
Execution [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Browser Client may be able to remotely execute code for Web
Server.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Low
Reproducibility:
Dread-Exploitability: Low
Dread-Affected users: High
Dread-Discoverablity: Low
Safeguard 1:
Safeguard 2:
Safeguard 3:
23. Data Flow HTTPS Is Potentially Interrupted [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: An external agent interrupts data flowing across a trust boundary in
either direction.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:

26
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
24. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: Web Server crashes, halts, stops or runs slowly; in all cases
violating an availability metric.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
25. Cross Site Request Forgery [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Cross-site request forgery (CSRF or XSRF) is a type of attack in which
an attacker forces a user's browser to make a forged request to a
vulnerable site by exploiting an existing trust relationship between the
browser and the vulnerable web site. In a simple scenario, a user is
logged in to web site A using a cookie as a credential. The other
browses to web site B. Web site B returns a page with a hidden form
that posts to web site A. Since the browser will carry the user's cookie
to web site A, web site B now can take any action on web site A, for
example, adding an admin to an account. The attack can be used to
exploit any requests that the browser automatically authenticates, e.g.
by session cookie, integrated authentication, IP whitelisting, … The
attack can be carried out in many ways such as by luring the victim to a
site under control of the attacker, getting the user to click a link in a
phishing email, or hacking a reputable web site that the victim will visit.
The issue can only be resolved on the server side by requiring that all
authenticated state-changing requests include an additional piece of
secret payload (canary or CSRF token) which is known only to the
legitimate web site and the browser and which is protected in transit
through SSL/TLS. See the Forgery Protection property on the flow
stencil for a list of mitigations.
Justification: <no mitigation provided>
Dread-damage: High

27
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: HTTPS

26. Web Server Process Memory Tampered [State: Not Started] [Priority: High]
Category: Tampering
Description: If Web Server is given access to memory, such as shared memory or
pointers, or is given the ability to control what Browser Client executes
(for example, passing back a function pointer.), then Web Server can
tamper with Browser Client. Consider if the function could work with less
access to memory, such as passing data rather than pointers. Copy in
data provided, and then validate it.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:

28
Safeguard 3:
27. Elevation Using Impersonation [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Browser Client may be able to impersonate the context of Web
Server in order to gain additional privilege.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Low
Reproducibility:
Dread- Low
Exploitability:
Dread-Affected High
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
28. Spoofing the Web Server Process [State: Not Started] [Priority: High]
Category: Spoofing
Description: Web Server may be spoofed by an attacker and this may lead to
unauthorized access to Browser Client. Consider using a standard
authentication mechanism to identify the source process.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
29. Potential Data Repudiation by Browser Client [State: Not Started] [Priority:
High]
Category: Repudiation
Description: Browser Client claims that it did not receive data from a source outside
the trust boundary. Consider using logging or auditing to record the
source, time, and summary of the received data.
Justification: <no mitigation provided>
Dread-damage: Low

29
Dread- Low
Reproducibility:
Dread- Low
Exploitability:
Dread-Affected Low
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
30. Potential Process Crash or Stop for Browser Client [State: Not
Started] [Priority: High]
Category: Denial Of Service
Description: Browser Client crashes, halts, stops or runs slowly; in all cases
violating an availability metric.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Low
Reproducibility:
Dread-Exploitability: Low
Dread-Affected High
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
31. Data Flow HTTPS Is Potentially Interrupted [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: An external agent interrupts data flowing across a trust boundary in
either direction.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:

30
Safeguard 3:
32. Browser Client May be Subject to Elevation of Privilege Using Remote Code
Execution [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Web Server may be able to remotely execute code for Browser
Client.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread-Exploitability: High
Dread-Affected users: High
Dread-Discoverablity: Medium
Safeguard 1:
Safeguard 2:
Safeguard 3:
33. Elevation by Changing the Execution Flow in Browser Client [State: Not
Started] [Priority: High]
Category: Elevation Of Privilege
Description: An attacker may pass data into Browser Client in order to change the
flow of program execution within Browser Client to the attacker's
choosing.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: IPsec

31
 34. Spoofing of Destination Data Store SQL Database [State: Not
Started] [Priority: High]
Category: Spoofing
Description: SQL Database may be spoofed by an attacker and this may lead to
data being written to the attacker's target instead of SQL Database.
Consider using a standard authentication mechanism to identify the
destination data store.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
35. Potential SQL Injection Vulnerability for SQL Database [State: Not
Started] [Priority: High]
Category: Tampering
Description: SQL injection is an attack in which malicious code is inserted into strings
that are later passed to an instance of SQL Server for parsing and
execution. Any procedure that constructs SQL statements should be
reviewed for injection vulnerabilities because SQL Server will execute
all syntactically valid queries that it receives. Even parameterized data
can be manipulated by a skilled and determined attacker.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Low
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
36. Potential Excessive Resource Consumption for Server SQL or SQL
Database [State: Not Started] [Priority: High]

32
Category: Denial Of Service
Description: Does Server SQL or SQL Database take explicit steps to control
resource consumption? Resource consumption attacks can be hard to
deal with, and there are times that it makes sense to let the OS do the
job. Be careful that your resource requests don't deadlock, and that they
do timeout.
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread- High
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: Procesos

37. Spoofing the Human User External Entity [State: Not Started] [Priority: High]
Category: Spoofing
Description: Human User may be spoofed by an attacker and this may lead to
unauthorized access to Browser Client. Consider using a standard
authentication mechanism to identify the external entity.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected High
users:

33
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
38. Elevation Using Impersonation [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Browser Client may be able to impersonate the context of Human
User in order to gain additional privilege.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Low
Reproducibility:
Dread- Low
Exploitability:
Dread-Affected High
users:
Dread- Low
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: Respuesta

39. Spoofing of Source Data Store SQL Database [State: Not Started] [Priority:
High]
Category: Spoofing
Description: SQL Database may be spoofed by an attacker and this may lead to
incorrect data delivered to Server SQL. Consider using a standard
authentication mechanism to identify the source data store.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:

34
Dread- High
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
40. Weak Access Control for a Resource [State: Not Started] [Priority: High]
Category: Information Disclosure
Description: Improper data protection of SQL Database can allow an attacker to
read information not intended for disclosure. Review authorization
settings.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- High
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

Interaction: Respuesta

41. Cross Site Scripting [State: Not Started] [Priority: High]

Category: Tampering
Description: The web server 'Web Server' could be a subject to a cross-site
scripting attack because it does not sanitize untrusted input.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Low
users:
Dread- Medium
Discoverablity:

35
Safeguard 1:
Safeguard 2:
Safeguard 3:
42. Elevation Using Impersonation [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Web Server may be able to impersonate the context of Server SQL
in order to gain additional privilege.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread- High
Exploitability:
Dread-Affected Medium
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
43. Potential Data Repudiation by Web Server [State: Not Started] [Priority:
High]
Category: Repudiation
Description: Web Server claims that it did not receive data from a source outside
the trust boundary. Consider using logging or auditing to record the
source, time, and summary of the received data.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
44. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority:
High]
Category: Denial Of Service
Description: Web Server crashes, halts, stops or runs slowly; in all cases
violating an availability metric.

36
Justification: <no mitigation provided>
Dread-damage: High
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected High
users:
Dread- High
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
45. Data Flow IPsec Is Potentially Interrupted [State: Not Started] [Priority: High]
Category: Denial Of Service
Description: An external agent interrupts data flowing across a trust boundary in
either direction.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread-Exploitability: High
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:
46. Web Server May be Subject to Elevation of Privilege Using Remote Code
Execution [State: Not Started] [Priority: High]
Category: Elevation Of Privilege
Description: Server SQL may be able to remotely execute code for Web
Server.
Justification: <no mitigation provided>
Dread-damage: High
Dread- High
Reproducibility:
Dread-Exploitability: High
Dread-Affected users: High
Dread-Discoverablity: High
Safeguard 1:
Safeguard 2:
Safeguard 3:

37
6 47. Elevation by Changing the Execution Flow in Web Server [State: Not
Started] [Priority: High]
Category: Elevation Of Privilege
Description: An attacker may pass data into Web Server in order to change the
flow of program execution within Web Server to the attacker's
choosing.
Justification: <no mitigation provided>
Dread-damage: Medium
Dread- Medium
Reproducibility:
Dread- Medium
Exploitability:
Dread-Affected Medium
users:
Dread- Medium
Discoverablity:
Safeguard 1:
Safeguard 2:
Safeguard 3:

38
 Conclusión

Con la utilización de la herramienta Threat Analysis and Modeling Tool 2016 se lleva a cabo
el diagrama objeto a estudiar, mencionando la amenaza que más se presenta,
mencionando el activo de información que más presenta amenaza junto con el Informe
generado por la herramienta.

39
 Referencias Bibliográficas

SEGURIDAD Y AUDITORIA DE SISTEMAS, Asegurar la vida, es el objetivo de todo SGSI,

VIERNES, 25 DE FEBRERO DE 2011, en línea, tomado de
http://seguridadenlanube.blogspot.com.co/2011/02/el-modelado-de-amenazas-de-
seguridad-es.html

¿Qué es STRIDE?, 20 mar. 2010, 20:51:00, en línea, tomado de: https://blog.segu-

info.com.ar/2010/03/que-es-stride.html

Soporte técnico de Microsoft, Última actualización: 18/04/2018 en línea, tomado de:

https://support.microsoft.com/es-co/help/911305/sql-server-agent-jobs-may-fail-after-you-
change-the-sql-server-agent-s

Vulnerabilidades, ataques y contra medidas, Posted by Alex in Asp.net, Seguridad, en línea

tomado de: https://highscalability.wordpress.com/2009/02/04/vulnerabilidades-ataques-y-
contra-medidas/

Hablemos de Spoofing, agosto 26, 2010 / Carlos Garcia ciyi, en línea tomado de:
https://hacking-etico.com/2010/08/26/hablemos-de-spoofing/

40