Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web
De los riesgos de seguridad en ambientes web, el riesgo de inyecciones SQL es catalogado como el más importante, y, de los siete tipos existentes de inyecciones SQL, las inyecciones SQL inferenciales son las que presentan una mayor complejidad en sus pruebas de penetración, debido a que es necesario...
- Autores:
-
Taborda Salazar, Alexis Miguel
- Tipo de recurso:
- Fecha de publicación:
- 2018
- Institución:
- Universidad Nacional de Colombia
- Repositorio:
- Universidad Nacional de Colombia
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.unal.edu.co:unal/64131
- Acceso en línea:
- https://repositorio.unal.edu.co/handle/unal/64131
http://bdigital.unal.edu.co/64920/
- Palabra clave:
- 0 Generalidades / Computer science, information and general works
6 Tecnología (ciencias aplicadas) / Technology
62 Ingeniería y operaciones afines / Engineering
Inyecciones SQL
Seguridad Web
Pruebas de Penetración
Inyecciones Ciegas
Inferencial
Riesgos
Análisis de vulnerabilidad
SQL Injection
Web Security Risk
Penetration Testing
Blind
Inferential
Vulnerability Analysis
- Rights
- openAccess
- License
- Atribución-NoComercial 4.0 Internacional
| id |
UNACIONAL2_fd7f58d07ddc9ad75172f86355ad644a |
|---|---|
| oai_identifier_str |
oai:repositorio.unal.edu.co:unal/64131 |
| network_acronym_str |
UNACIONAL2 |
| network_name_str |
Universidad Nacional de Colombia |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| title |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| spellingShingle |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web 0 Generalidades / Computer science, information and general works 6 Tecnología (ciencias aplicadas) / Technology 62 Ingeniería y operaciones afines / Engineering Inyecciones SQL Seguridad Web Pruebas de Penetración Inyecciones Ciegas Inferencial Riesgos Análisis de vulnerabilidad SQL Injection Web Security Risk Penetration Testing Blind Inferential Vulnerability Analysis |
| title_short |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| title_full |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| title_fullStr |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| title_full_unstemmed |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| title_sort |
Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web |
| dc.creator.fl_str_mv |
Taborda Salazar, Alexis Miguel |
| dc.contributor.advisor.spa.fl_str_mv |
Valencia Duque, Francisco Javier (Thesis advisor) |
| dc.contributor.author.spa.fl_str_mv |
Taborda Salazar, Alexis Miguel |
| dc.subject.ddc.spa.fl_str_mv |
0 Generalidades / Computer science, information and general works 6 Tecnología (ciencias aplicadas) / Technology 62 Ingeniería y operaciones afines / Engineering |
| topic |
0 Generalidades / Computer science, information and general works 6 Tecnología (ciencias aplicadas) / Technology 62 Ingeniería y operaciones afines / Engineering Inyecciones SQL Seguridad Web Pruebas de Penetración Inyecciones Ciegas Inferencial Riesgos Análisis de vulnerabilidad SQL Injection Web Security Risk Penetration Testing Blind Inferential Vulnerability Analysis |
| dc.subject.proposal.spa.fl_str_mv |
Inyecciones SQL Seguridad Web Pruebas de Penetración Inyecciones Ciegas Inferencial Riesgos Análisis de vulnerabilidad SQL Injection Web Security Risk Penetration Testing Blind Inferential Vulnerability Analysis |
| description |
De los riesgos de seguridad en ambientes web, el riesgo de inyecciones SQL es catalogado como el más importante, y, de los siete tipos existentes de inyecciones SQL, las inyecciones SQL inferenciales son las que presentan una mayor complejidad en sus pruebas de penetración, debido a que es necesario extraer la información no de manera determinística sino infiriendo los datos al observar cambios de comportamiento en el ambiente web. La presente tesis de maestría tiene como objetivo la reducción de tiempo empleado en las pruebas de penetración usadas para la evaluación del riesgo de inyecciones SQL inferenciales presente en ambientes web. Para esto se usó una metodología mixta: cuantitativa para el análisis de los algoritmos usados en la evaluación de dicho riesgo y cualitativa al analizar las estrategias y herramientas utilizados actualmente en las pruebas de penetración sobre el riesgo mencionado. Como resultado de esta investigación, se pudo establecer que el algoritmo bit a bit es el más eficiente en la extracción de información y la herramienta SQLMAP la más completa para su evaluación. En términos de tiempos, la herramienta SQLBrute - SQL Injection Brute Forcer es la mejor para el caso de las inyecciones SQL inferenciales basadas en tiempo y The Mole para el caso de las no basadas en tiempo. Además, se realizó una herramienta usando el algoritmo bit a bit optimizado, y se comparó los tiempos empleados por ella con las herramientas más eficientes disponibles. Al comparar los tiempos de la herramienta desarrollada, se comprobó que esta investigación disminuyo los tiempos empleados en la evaluación del riesgo tratado y que la herramienta desarrollada realiza la extracción de datos de manera más eficiente (Texto tomado de la fuente) |
| publishDate |
2018 |
| dc.date.issued.spa.fl_str_mv |
2018 |
| dc.date.accessioned.spa.fl_str_mv |
2019-07-02T22:32:36Z |
| dc.date.available.spa.fl_str_mv |
2019-07-02T22:32:36Z |
| dc.type.spa.fl_str_mv |
Trabajo de grado - Maestría |
| dc.type.driver.spa.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| dc.type.version.spa.fl_str_mv |
info:eu-repo/semantics/acceptedVersion |
| dc.type.content.spa.fl_str_mv |
Text |
| dc.type.redcol.spa.fl_str_mv |
http://purl.org/redcol/resource_type/TM |
| status_str |
acceptedVersion |
| dc.identifier.uri.none.fl_str_mv |
https://repositorio.unal.edu.co/handle/unal/64131 |
| dc.identifier.eprints.spa.fl_str_mv |
http://bdigital.unal.edu.co/64920/ |
| url |
https://repositorio.unal.edu.co/handle/unal/64131 http://bdigital.unal.edu.co/64920/ |
| dc.language.iso.spa.fl_str_mv |
spa |
| language |
spa |
| dc.relation.ispartof.spa.fl_str_mv |
Universidad Nacional de Colombia Sede Manizales Facultad de Administración Departamento de Informática y Computación Departamento de Informática y Computación |
| dc.relation.references.spa.fl_str_mv |
Taborda Salazar, Alexis Miguel (2018) Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web. Maestría thesis, Universidad Nacional de Colombia - Sede Manizales. |
| dc.rights.spa.fl_str_mv |
Derechos reservados - Universidad Nacional de Colombia |
| dc.rights.coar.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
| dc.rights.license.spa.fl_str_mv |
Atribución-NoComercial 4.0 Internacional |
| dc.rights.uri.spa.fl_str_mv |
http://creativecommons.org/licenses/by-nc/4.0/ |
| dc.rights.accessrights.spa.fl_str_mv |
info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
Atribución-NoComercial 4.0 Internacional Derechos reservados - Universidad Nacional de Colombia http://creativecommons.org/licenses/by-nc/4.0/ http://purl.org/coar/access_right/c_abf2 |
| eu_rights_str_mv |
openAccess |
| dc.format.mimetype.spa.fl_str_mv |
application/pdf |
| institution |
Universidad Nacional de Colombia |
| bitstream.url.fl_str_mv |
https://repositorio.unal.edu.co/bitstream/unal/64131/1/16079078.2018.pdf https://repositorio.unal.edu.co/bitstream/unal/64131/2/16079078.2018.pdf.jpg |
| bitstream.checksum.fl_str_mv |
9d50a75527ae479195170d02f91dfa9d 808550b472ca91e7018d347fe3d82a2d |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Institucional Universidad Nacional de Colombia |
| repository.mail.fl_str_mv |
repositorio_nal@unal.edu.co |
| _version_ |
1814089400480432128 |
| spelling |
Atribución-NoComercial 4.0 InternacionalDerechos reservados - Universidad Nacional de Colombiahttp://creativecommons.org/licenses/by-nc/4.0/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Valencia Duque, Francisco Javier (Thesis advisor)cc6fda38-55dd-4931-9a29-291dc71947e4Taborda Salazar, Alexis Miguele5670753-4208-4b7d-92df-66154ce5492e3002019-07-02T22:32:36Z2019-07-02T22:32:36Z2018https://repositorio.unal.edu.co/handle/unal/64131http://bdigital.unal.edu.co/64920/De los riesgos de seguridad en ambientes web, el riesgo de inyecciones SQL es catalogado como el más importante, y, de los siete tipos existentes de inyecciones SQL, las inyecciones SQL inferenciales son las que presentan una mayor complejidad en sus pruebas de penetración, debido a que es necesario extraer la información no de manera determinística sino infiriendo los datos al observar cambios de comportamiento en el ambiente web. La presente tesis de maestría tiene como objetivo la reducción de tiempo empleado en las pruebas de penetración usadas para la evaluación del riesgo de inyecciones SQL inferenciales presente en ambientes web. Para esto se usó una metodología mixta: cuantitativa para el análisis de los algoritmos usados en la evaluación de dicho riesgo y cualitativa al analizar las estrategias y herramientas utilizados actualmente en las pruebas de penetración sobre el riesgo mencionado. Como resultado de esta investigación, se pudo establecer que el algoritmo bit a bit es el más eficiente en la extracción de información y la herramienta SQLMAP la más completa para su evaluación. En términos de tiempos, la herramienta SQLBrute - SQL Injection Brute Forcer es la mejor para el caso de las inyecciones SQL inferenciales basadas en tiempo y The Mole para el caso de las no basadas en tiempo. Además, se realizó una herramienta usando el algoritmo bit a bit optimizado, y se comparó los tiempos empleados por ella con las herramientas más eficientes disponibles. Al comparar los tiempos de la herramienta desarrollada, se comprobó que esta investigación disminuyo los tiempos empleados en la evaluación del riesgo tratado y que la herramienta desarrollada realiza la extracción de datos de manera más eficiente (Texto tomado de la fuente)There are many security risks in a web environment. However, SQL injections is the most important risk. This risk has seven sub-types and inferential SQL Injection is the most complex sub-type: It is necessary extract the information not in a deterministic way but inferring the data by means of observing behavior changes in the web environment. This thesis is a research process on time reduction of inferential SQL injections present in web environments. With that purpose, a mixed methodology was used (quantitative and qualitative) for analyze the strategies, algorithms and tools that penetration testers current use in evaluation of the aforementioned risk. According to the study conducted, bit-to-bit is the faster algorithm for extracting information and SQLMAP tool is the most complete. In time terms, the SQLBrute - SQL Injection Brute Forcer tool is the best tool for based on time inferential SQL injections and The Mole for non-time based injections. After this identification, a tool was made using optimized algorithm bit-to-bit. That tool was compared with the aforementioned tools and verifying that it is effectively more efficient. Finally, the tool was used in a real environment. In this way, it was found that it is possible to decrease the time in the evaluation of the treated riskMaestríaapplication/pdfspaUniversidad Nacional de Colombia Sede Manizales Facultad de Administración Departamento de Informática y ComputaciónDepartamento de Informática y ComputaciónTaborda Salazar, Alexis Miguel (2018) Diseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente web. Maestría thesis, Universidad Nacional de Colombia - Sede Manizales.0 Generalidades / Computer science, information and general works6 Tecnología (ciencias aplicadas) / Technology62 Ingeniería y operaciones afines / EngineeringInyecciones SQLSeguridad WebPruebas de PenetraciónInyecciones CiegasInferencialRiesgosAnálisis de vulnerabilidadSQL InjectionWeb Security RiskPenetration TestingBlindInferentialVulnerability AnalysisDiseño de una herramienta automatizada para las pruebas de penetración informática del riesgo de inyecciones SQL inferenciales existente en aplicaciones empresariales bajo ambiente webTrabajo de grado - Maestríainfo:eu-repo/semantics/masterThesisinfo:eu-repo/semantics/acceptedVersionTexthttp://purl.org/redcol/resource_type/TMORIGINAL16079078.2018.pdfTesis de Maestría en Administración de Sistemas Informáticosapplication/pdf2671221https://repositorio.unal.edu.co/bitstream/unal/64131/1/16079078.2018.pdf9d50a75527ae479195170d02f91dfa9dMD51THUMBNAIL16079078.2018.pdf.jpg16079078.2018.pdf.jpgGenerated Thumbnailimage/jpeg6352https://repositorio.unal.edu.co/bitstream/unal/64131/2/16079078.2018.pdf.jpg808550b472ca91e7018d347fe3d82a2dMD52unal/64131oai:repositorio.unal.edu.co:unal/641312023-04-25 23:08:32.297Repositorio Institucional Universidad Nacional de Colombiarepositorio_nal@unal.edu.co |