Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web
De los riesgos de seguridad en ambientes web, el riesgo de inyecciones SQL es catalogado como el más importante, y, de los siete tipos existentes de inyecciones SQL, las inyecciones SQL inferenciales son las que presentan una mayor complejidad en sus pruebas de penetración, debido a que es necesario...
- Autores:
-
Taborda Salazar, Alexis Miguel
- Tipo de recurso:
- Fecha de publicación:
- 2018
- Institución:
- Universidad Nacional de Colombia
- Repositorio:
- Universidad Nacional de Colombia
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.unal.edu.co:unal/64131
- Acceso en línea:
- https://repositorio.unal.edu.co/handle/unal/64131
http://bdigital.unal.edu.co/64920/
- Palabra clave:
- 0 Generalidades / Computer science, information and general works
6 Tecnología (ciencias aplicadas) / Technology
62 Ingeniería y operaciones afines / Engineering
Inyecciones SQL
Seguridad Web
Pruebas de Penetración
Inyecciones Ciegas
Inferencial
Riesgos
Análisis de vulnerabilidad
SQL Injection
Web Security Risk
Penetration Testing
Blind
Inferential
Vulnerability Analysis
- Rights
- openAccess
- License
- Atribución-NoComercial 4.0 Internacional
| Summary: | De los riesgos de seguridad en ambientes web, el riesgo de inyecciones SQL es catalogado como el más importante, y, de los siete tipos existentes de inyecciones SQL, las inyecciones SQL inferenciales son las que presentan una mayor complejidad en sus pruebas de penetración, debido a que es necesario extraer la información no de manera determinística sino infiriendo los datos al observar cambios de comportamiento en el ambiente web. La presente tesis de maestría tiene como objetivo la reducción de tiempo empleado en las pruebas de penetración usadas para la evaluación del riesgo de inyecciones SQL inferenciales presente en ambientes web. Para esto se usó una metodología mixta: cuantitativa para el análisis de los algoritmos usados en la evaluación de dicho riesgo y cualitativa al analizar las estrategias y herramientas utilizados actualmente en las pruebas de penetración sobre el riesgo mencionado. Como resultado de esta investigación, se pudo establecer que el algoritmo bit a bit es el más eficiente en la extracción de información y la herramienta SQLMAP la más completa para su evaluación. En términos de tiempos, la herramienta SQLBrute - SQL Injection Brute Forcer es la mejor para el caso de las inyecciones SQL inferenciales basadas en tiempo y The Mole para el caso de las no basadas en tiempo. Además, se realizó una herramienta usando el algoritmo bit a bit optimizado, y se comparó los tiempos empleados por ella con las herramientas más eficientes disponibles. Al comparar los tiempos de la herramienta desarrollada, se comprobó que esta investigación disminuyo los tiempos empleados en la evaluación del riesgo tratado y que la herramienta desarrollada realiza la extracción de datos de manera más eficiente (Texto tomado de la fuente) |
|---|