Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo
Actualmente los servicios ofrecidos en internet están en aumento y evolución constante, tal aumento afecta la cantidad de datos a manejar, por lo cual se requiere que las empresas involucradas en este ambiente logren probar la seguridad en sus aplicaciones, servidores y activos de información. La ma...
- Autores:
-
Muñoz Mayorga, Andrés Felipe
Pérez Solarte, Santiago Alejandro
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2017
- Institución:
- Universidad del Cauca
- Repositorio:
- Repositorio Unicauca
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.unicauca.edu.co:123456789/1773
- Acceso en línea:
- http://repositorio.unicauca.edu.co:8080/xmlui/handle/123456789/1773
- Palabra clave:
- Proof of concept
Identify vulnerabilities
OWASP methodology
SBC
Raspberry Pi
Vulnerabilidades
Aplicaciones web
Metodología OWASP
- Rights
- License
- https://creativecommons.org/licenses/by-nc-nd/4.0/
| id |
REPOCAUCA2_61ef3c97b6dcfdf392798fb5f748ebd9 |
|---|---|
| oai_identifier_str |
oai:repositorio.unicauca.edu.co:123456789/1773 |
| network_acronym_str |
REPOCAUCA2 |
| network_name_str |
Repositorio Unicauca |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| title |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| spellingShingle |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo Proof of concept Identify vulnerabilities OWASP methodology SBC Raspberry Pi Vulnerabilidades Aplicaciones web Metodología OWASP |
| title_short |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| title_full |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| title_fullStr |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| title_full_unstemmed |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| title_sort |
Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo |
| dc.creator.fl_str_mv |
Muñoz Mayorga, Andrés Felipe Pérez Solarte, Santiago Alejandro |
| dc.contributor.author.none.fl_str_mv |
Muñoz Mayorga, Andrés Felipe Pérez Solarte, Santiago Alejandro |
| dc.subject.eng.fl_str_mv |
Proof of concept Identify vulnerabilities OWASP methodology SBC Raspberry Pi |
| topic |
Proof of concept Identify vulnerabilities OWASP methodology SBC Raspberry Pi Vulnerabilidades Aplicaciones web Metodología OWASP |
| dc.subject.spa.fl_str_mv |
Vulnerabilidades Aplicaciones web Metodología OWASP |
| description |
Actualmente los servicios ofrecidos en internet están en aumento y evolución constante, tal aumento afecta la cantidad de datos a manejar, por lo cual se requiere que las empresas involucradas en este ambiente logren probar la seguridad en sus aplicaciones, servidores y activos de información. La manera de probar esto es mediante un pentesting, simulando el comportamiento de un atacante en un ambiente controlado, con el fin de descubrir vulnerabilidades en la organización. El objetivo de este trabajo de investigación es identificar de manera eficiente y eficaz las vulnerabilidades más comunes sobre las aplicaciones web, siguiendo la metodología OWASP. Se implementó un prototipo hardware y software sobre un cluster conformado por 6 dispositivos SBC de bajo costo, ejecutando tareas de manera paralela y distribuida para automatizar tanto el proceso del pentesting como la generación de reportes y determinar la severidad de los riesgos. Se realizó un experimento controlado sobre 5 sitios web, se compararon los resultados del prototipo contra cuatro herramientas especializadas en pruebas de penetración, con el fin de precisar la eficacia de las vulnerabilidades detectadas mediante un análisis de curvas ROC y medir la eficiencia del prototipo analizando los tiempos de ejecución. Como resultado se obtuvo un promedio de 12 vulnerabilidades en común que logró identificar tanto el prototipo como las herramientas seleccionadas en toda la prueba experimental. Para medir la eficiencia, el prototipo hardware y software en tiempo de ejecución se mantuvo en un rango entre los 740 a 2050 segundos aproximadamente para los 5 sitios web, siendo mejor que dos de las cuatro herramientas con las que se comparó. Finalmente, se puede concluir que las pruebas de concepto implementadas, identificaron las vulnerabilidades más comunes sobre todos los sitios web y se puede mejorar los tiempos de ejecución agregando más dispositivos SBC de bajo costo al implementar un cluster con las mismas características y configuración. |
| publishDate |
2017 |
| dc.date.issued.none.fl_str_mv |
2017-09 |
| dc.date.accessioned.none.fl_str_mv |
2019-12-03T16:08:18Z |
| dc.date.available.none.fl_str_mv |
2019-12-03T16:08:18Z |
| dc.type.spa.fl_str_mv |
Trabajos de grado |
| dc.type.coarversion.fl_str_mv |
http://purl.org/coar/version/c_970fb48d4fbd8a85 |
| dc.type.driver.none.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.coar.none.fl_str_mv |
http://purl.org/coar/resource_type/c_7a1f |
| format |
http://purl.org/coar/resource_type/c_7a1f |
| dc.identifier.uri.none.fl_str_mv |
http://repositorio.unicauca.edu.co:8080/xmlui/handle/123456789/1773 |
| dc.identifier.instname.none.fl_str_mv |
|
| dc.identifier.reponame.none.fl_str_mv |
|
| dc.identifier.repourl.none.fl_str_mv |
|
| url |
http://repositorio.unicauca.edu.co:8080/xmlui/handle/123456789/1773 |
| identifier_str_mv |
|
| dc.language.iso.spa.fl_str_mv |
spa |
| language |
spa |
| dc.rights.coar.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
| dc.rights.uri.none.fl_str_mv |
https://creativecommons.org/licenses/by-nc-nd/4.0/ |
| dc.rights.creativecommons.none.fl_str_mv |
https://creativecommons.org/licenses/by-nc-nd/4.0/ |
| rights_invalid_str_mv |
https://creativecommons.org/licenses/by-nc-nd/4.0/ http://purl.org/coar/access_right/c_abf2 |
| dc.publisher.spa.fl_str_mv |
Universidad del Cauca |
| dc.publisher.faculty.spa.fl_str_mv |
Facultad de Ingeniería Electrónica y Telecomunicaciones |
| dc.publisher.program.spa.fl_str_mv |
Ingeniería de Sistemas |
| institution |
Universidad del Cauca |
| bitstream.url.fl_str_mv |
http://repositorio.unicauca.edu.co/bitstream/123456789/1773/1/PENTESTING%20SOBRE%20APLICACIONES%20WEB%20BASADO%20EN%20LA%20METODOLOG%c3%8dA%20OWASP%20UTILIZANDO%20SBC%20DE%20BAJO%20COSTO.pdf http://repositorio.unicauca.edu.co/bitstream/123456789/1773/2/license.txt |
| bitstream.checksum.fl_str_mv |
b5182fe2b0cc263a519fd61f0024c426 8a4605be74aa9ea9d79846c1fba20a33 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 |
| repository.name.fl_str_mv |
Dspace - Universidad del Cauca |
| repository.mail.fl_str_mv |
biblios@unicauca.edu.co |
| _version_ |
1808396257101611008 |
| spelling |
Muñoz Mayorga, Andrés FelipePérez Solarte, Santiago Alejandro2019-12-03T16:08:18Z2019-12-03T16:08:18Z2017-09http://repositorio.unicauca.edu.co:8080/xmlui/handle/123456789/1773Actualmente los servicios ofrecidos en internet están en aumento y evolución constante, tal aumento afecta la cantidad de datos a manejar, por lo cual se requiere que las empresas involucradas en este ambiente logren probar la seguridad en sus aplicaciones, servidores y activos de información. La manera de probar esto es mediante un pentesting, simulando el comportamiento de un atacante en un ambiente controlado, con el fin de descubrir vulnerabilidades en la organización. El objetivo de este trabajo de investigación es identificar de manera eficiente y eficaz las vulnerabilidades más comunes sobre las aplicaciones web, siguiendo la metodología OWASP. Se implementó un prototipo hardware y software sobre un cluster conformado por 6 dispositivos SBC de bajo costo, ejecutando tareas de manera paralela y distribuida para automatizar tanto el proceso del pentesting como la generación de reportes y determinar la severidad de los riesgos. Se realizó un experimento controlado sobre 5 sitios web, se compararon los resultados del prototipo contra cuatro herramientas especializadas en pruebas de penetración, con el fin de precisar la eficacia de las vulnerabilidades detectadas mediante un análisis de curvas ROC y medir la eficiencia del prototipo analizando los tiempos de ejecución. Como resultado se obtuvo un promedio de 12 vulnerabilidades en común que logró identificar tanto el prototipo como las herramientas seleccionadas en toda la prueba experimental. Para medir la eficiencia, el prototipo hardware y software en tiempo de ejecución se mantuvo en un rango entre los 740 a 2050 segundos aproximadamente para los 5 sitios web, siendo mejor que dos de las cuatro herramientas con las que se comparó. Finalmente, se puede concluir que las pruebas de concepto implementadas, identificaron las vulnerabilidades más comunes sobre todos los sitios web y se puede mejorar los tiempos de ejecución agregando más dispositivos SBC de bajo costo al implementar un cluster con las mismas características y configuración.Nowadays the services offered on internet are increasing and in constant evolution, such increase affects the amount of data to manage, whereby is required that the companies in this environment achieve test security in your applications, servers and information assets. The way of test this is through a pentesting, simulating behavior of an attacker in a controlled environment, due to discover vulnerabilities in the organization. The objective of this researching project is to identify efficiently and effectively the most common vulnerabilities on the web applications, following the OWASP methodology. It implemented a prototype hardware and software on cluster conformed by 6 low cost SBC device, executing task in parallel and distributed way to automate as the process of pentesting as the generation of reports and determine the severity of the risks. It made a controlled experiment on 5 websites the results of the prototype were compared against four specialized tools in test of penetration, in order accuracy the efficient and effective of the vulnerabilities detected, through an analysis ROC curves y measure the efficient of the prototype analyzing the runtimes. As a result, an average of 12 common vulnerabilities was obtained which was identified as the prototype as the tools selected throughout the experimental test. To measure efficiency, the prototype hardware and software at runtime remained in a range between 740 to 2050 seconds approximately for the 5 websites, being better than two of the four tools with which were compared. Finally, it can be concluded that the proof of concept implemented, identified the most common vulnerabilities on all websites and you can improve the runtime by adding more low cost SBC devices when implementing a cluster with the same characteristics and configuration.spaUniversidad del CaucaFacultad de Ingeniería Electrónica y Telecomunicaciones Ingeniería de Sistemashttps://creativecommons.org/licenses/by-nc-nd/4.0/https://creativecommons.org/licenses/by-nc-nd/4.0/http://purl.org/coar/access_right/c_abf2Proof of conceptIdentify vulnerabilitiesOWASP methodologySBCRaspberry PiVulnerabilidadesAplicaciones webMetodología OWASPPentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costoTrabajos de gradoinfo:eu-repo/semantics/bachelorThesishttp://purl.org/coar/resource_type/c_7a1fhttp://purl.org/coar/version/c_970fb48d4fbd8a85http://purl.org/coar/version/c_970fb48d4fbd8a85ORIGINALPENTESTING SOBRE APLICACIONES WEB BASADO EN LA METODOLOGÍA OWASP UTILIZANDO SBC DE BAJO COSTO.pdfPENTESTING SOBRE APLICACIONES WEB BASADO EN LA METODOLOGÍA OWASP UTILIZANDO SBC DE BAJO COSTO.pdfapplication/pdf3913390http://repositorio.unicauca.edu.co/bitstream/123456789/1773/1/PENTESTING%20SOBRE%20APLICACIONES%20WEB%20BASADO%20EN%20LA%20METODOLOG%c3%8dA%20OWASP%20UTILIZANDO%20SBC%20DE%20BAJO%20COSTO.pdfb5182fe2b0cc263a519fd61f0024c426MD51LICENSElicense.txtlicense.txttext/plain; charset=utf-81748http://repositorio.unicauca.edu.co/bitstream/123456789/1773/2/license.txt8a4605be74aa9ea9d79846c1fba20a33MD52123456789/1773oai:repositorio.unicauca.edu.co:123456789/17732021-05-28 09:30:30.468Dspace - Universidad del Caucabiblios@unicauca.edu.coTk9URTogUExBQ0UgWU9VUiBPV04gTElDRU5TRSBIRVJFClRoaXMgc2FtcGxlIGxpY2Vuc2UgaXMgcHJvdmlkZWQgZm9yIGluZm9ybWF0aW9uYWwgcHVycG9zZXMgb25seS4KCk5PTi1FWENMVVNJVkUgRElTVFJJQlVUSU9OIExJQ0VOU0UKCkJ5IHNpZ25pbmcgYW5kIHN1Ym1pdHRpbmcgdGhpcyBsaWNlbnNlLCB5b3UgKHRoZSBhdXRob3Iocykgb3IgY29weXJpZ2h0Cm93bmVyKSBncmFudHMgdG8gRFNwYWNlIFVuaXZlcnNpdHkgKERTVSkgdGhlIG5vbi1leGNsdXNpdmUgcmlnaHQgdG8gcmVwcm9kdWNlLAp0cmFuc2xhdGUgKGFzIGRlZmluZWQgYmVsb3cpLCBhbmQvb3IgZGlzdHJpYnV0ZSB5b3VyIHN1Ym1pc3Npb24gKGluY2x1ZGluZwp0aGUgYWJzdHJhY3QpIHdvcmxkd2lkZSBpbiBwcmludCBhbmQgZWxlY3Ryb25pYyBmb3JtYXQgYW5kIGluIGFueSBtZWRpdW0sCmluY2x1ZGluZyBidXQgbm90IGxpbWl0ZWQgdG8gYXVkaW8gb3IgdmlkZW8uCgpZb3UgYWdyZWUgdGhhdCBEU1UgbWF5LCB3aXRob3V0IGNoYW5naW5nIHRoZSBjb250ZW50LCB0cmFuc2xhdGUgdGhlCnN1Ym1pc3Npb24gdG8gYW55IG1lZGl1bSBvciBmb3JtYXQgZm9yIHRoZSBwdXJwb3NlIG9mIHByZXNlcnZhdGlvbi4KCllvdSBhbHNvIGFncmVlIHRoYXQgRFNVIG1heSBrZWVwIG1vcmUgdGhhbiBvbmUgY29weSBvZiB0aGlzIHN1Ym1pc3Npb24gZm9yCnB1cnBvc2VzIG9mIHNlY3VyaXR5LCBiYWNrLXVwIGFuZCBwcmVzZXJ2YXRpb24uCgpZb3UgcmVwcmVzZW50IHRoYXQgdGhlIHN1Ym1pc3Npb24gaXMgeW91ciBvcmlnaW5hbCB3b3JrLCBhbmQgdGhhdCB5b3UgaGF2ZQp0aGUgcmlnaHQgdG8gZ3JhbnQgdGhlIHJpZ2h0cyBjb250YWluZWQgaW4gdGhpcyBsaWNlbnNlLiBZb3UgYWxzbyByZXByZXNlbnQKdGhhdCB5b3VyIHN1Ym1pc3Npb24gZG9lcyBub3QsIHRvIHRoZSBiZXN0IG9mIHlvdXIga25vd2xlZGdlLCBpbmZyaW5nZSB1cG9uCmFueW9uZSdzIGNvcHlyaWdodC4KCklmIHRoZSBzdWJtaXNzaW9uIGNvbnRhaW5zIG1hdGVyaWFsIGZvciB3aGljaCB5b3UgZG8gbm90IGhvbGQgY29weXJpZ2h0LAp5b3UgcmVwcmVzZW50IHRoYXQgeW91IGhhdmUgb2J0YWluZWQgdGhlIHVucmVzdHJpY3RlZCBwZXJtaXNzaW9uIG9mIHRoZQpjb3B5cmlnaHQgb3duZXIgdG8gZ3JhbnQgRFNVIHRoZSByaWdodHMgcmVxdWlyZWQgYnkgdGhpcyBsaWNlbnNlLCBhbmQgdGhhdApzdWNoIHRoaXJkLXBhcnR5IG93bmVkIG1hdGVyaWFsIGlzIGNsZWFybHkgaWRlbnRpZmllZCBhbmQgYWNrbm93bGVkZ2VkCndpdGhpbiB0aGUgdGV4dCBvciBjb250ZW50IG9mIHRoZSBzdWJtaXNzaW9uLgoKSUYgVEhFIFNVQk1JU1NJT04gSVMgQkFTRUQgVVBPTiBXT1JLIFRIQVQgSEFTIEJFRU4gU1BPTlNPUkVEIE9SIFNVUFBPUlRFRApCWSBBTiBBR0VOQ1kgT1IgT1JHQU5JWkFUSU9OIE9USEVSIFRIQU4gRFNVLCBZT1UgUkVQUkVTRU5UIFRIQVQgWU9VIEhBVkUKRlVMRklMTEVEIEFOWSBSSUdIVCBPRiBSRVZJRVcgT1IgT1RIRVIgT0JMSUdBVElPTlMgUkVRVUlSRUQgQlkgU1VDSApDT05UUkFDVCBPUiBBR1JFRU1FTlQuCgpEU1Ugd2lsbCBjbGVhcmx5IGlkZW50aWZ5IHlvdXIgbmFtZShzKSBhcyB0aGUgYXV0aG9yKHMpIG9yIG93bmVyKHMpIG9mIHRoZQpzdWJtaXNzaW9uLCBhbmQgd2lsbCBub3QgbWFrZSBhbnkgYWx0ZXJhdGlvbiwgb3RoZXIgdGhhbiBhcyBhbGxvd2VkIGJ5IHRoaXMKbGljZW5zZSwgdG8geW91ciBzdWJtaXNzaW9uLgo= |