Análisis de técnicas para pruebas de Ethical Hacking-Pentesting en sitios web
DOI:
https://doi.org/10.29018/issn.2588-1000vol6iss42.2022pp421-444Palabras clave:
hackeo ético, pentesting, sitio web, OWASPResumen
El presente trabajo analiza las técnicas para pruebas de hacking ético–pentesting en un sitio web, pues, es esencial contar con seguridad en los sistemas informáticos que utilizan las instituciones con el fin de evitar vulnerabilidad en la confidencialidad, integridad y disponibilidad de los datos, previniendo accesos no autorizados. El objetivo principal es analizar las técnicas para pruebas de Ethical Hacking-Pentesting. La metodología se basó en las fases de hacking ético de OWASP, la cual consta de planificación, obtención de información, enumeración y explotación de vulnerabilidades, elevación de privilegios, reporte. La población fue un sitio web creado (Tienda DIGI). En los resultados se implementó la metodología de desarrollo; comenzando desde la identificación del alcance, recursos y métricas, luego se diseñó la arquitectura y el diagrama UML de la seguridad. Después, se escaneó las vulnerabilidades en Kali Linux, donde se identificó cinco amenazas y la explotación se realizó con el programa Metasploitable. Finalmente, se presentó la comparativa de las técnicas de hacking ético según parámetros de CVSS y en la última fase se estableció como medida un indicador
para medir el nivel de solución a las vulnerabilidades. Concluyendo que la técnica de hacking ético más idóneo para identificar vulnerabilidades en el sitio web de la tienda es inyección SQL de pentesting.
Descargas
Citas
Bach, A. (2019). Evaluación de técnicas de ethical hacking para el diagnóstico de vulnerabilidades de la seguridad informática en una empresa prestadora de servicios. Pimentel : Universidad Señora de Sipán .
Dalalana Bertoglio, D., & Zorzo, A. (2017). Overview and open issues on penetration test. Journal of the Brazilian Computer Society, 23(2), 2.
García, J. (2015). Hacking ético: cacería de vulnerabilidades. Bolívar: UNEXPO.
González, H., & Montesino, R. (2018). Capacidades de las metodologías de pruebas de penetración para detectar vulnerabilidades frecuentes en aplicaciones web. Revista Cubana de Ciencias Informáticas, 12(4), 52-65.
Guevara, A. (2012). Hacking ético: mitos y realidades. Revista Seguridad , 1(12).
Jiménez, J. (23 de Junio de 2021). Principales amenzas de seguridad web. Recuperado el 21 de Octubre de 2021, de https://www.redeszone.net/tutoriales/seguridad/principales-amenazas-seguridad-web/
Muñoz, A., Pérez, S., & Amador, S. (2018). Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando un cluster conformado por dispositivos SBC de bajo costo. Revista Ibérica de Sistemas e Tecnologias de Informaçión, 1(16), 1-14.
Ortegón, C. (2019). Amenazas, vulnerabilidades, factores de riesgo, y defensa en profundidad en aplicaciones web. Bogotá : Universidad Piloto de Colombia.
Parra, J. (2020). Análisis de Vulnerabilidades basado en Pentesting y Propuesta de Aseguramiento de un Escenario Simulado de la Infraestructura Física y Lógica para la Institución del Caso de Estudio Institución Registraduría Nacional. Bogotá : Universidad Nacional Abierta y a Distancia - UNAD.
Rodríguez, A. (2020). Herramientas fundamentales para el hacking ético. Revista Cubana de Informática Médica, 12(1), 116-131.
Ron, R., & Sacoto, V. (2017). Las Pymes ecuatorianas: su impacto en el empleo como contribución del Pib Pymes al Pib total. Espacios, 38, 11.
Silva, L., Rentería, E., & Duque, J. (2011). Análisis comparativo de las principales técnicas de hacking empresarial . Pereira: Universidad Tecnológica de Pereira.
Tamayo, O. (2016). Desarrollo de una guía técnica estándar para aplicar herramientas de ethical hacking en redes de datos, dirigidos a Pymes. Quito: PUCE.
Tomanek, M., & Klima, T. (2015). Penetration Testing in Agile Software Development Projects. Int. J. Cryptogr. Inf. Secur, 5(12), 1-7.
UNHCR. (2018). Guidance on the protection of personal data of persons of concern to UNHCR. págs. 1-68.
Vela, F., & Andrade, R. (2014). Guía de pruebas 4.0 OWASP (Open Web Aplication Security Project) versión español. Quito: Escuela Politecnica Nacional.
Veloz, J., Alcivar, A., Salvatierra, G., & Silva, C. (2017). Ethical hacking, una metodología para descubrir fallas deseguridad en sistemas informáticos mediante la herramienta Kali-Linux. Revista de las Tecnologías de la Informática y las Comunicaciones , 1(1), 1-12.
Zambrano, A., Guarda, T., Haro, E., & Ninahualpa, G. (2019). Técnicas de mitigación para principales vulnerabilidades de seguridad en aplicaciones web. Revista Ibérica de Sistemas e Tecnologias de Informação(17), 299-308.
Zúñiga, R., Serrano, I., & Molina, L. (2020). Seguridad informática en las PyMES de la ciudad de Quevedo. Journal of Business and Entrepreneurial Studie, 4(2), https://doi.org/10.37956/jbes.v4i2.97.
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2022 Los autores mantienen los derechos sobre los artículos y por lo tanto son libres de compartir, copiar, distribuir, ejecutar y comunicar públicamente el trabajo en sus sitios web personales o en depósitos institucionales, luego de su publicación en esta revista, siempre y cuando proporcionen información bibliográfica que certifique su publicación en esta revista.
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial 4.0.
