Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi, 2021
DOI:
https://doi.org/10.32645/13906925.1138Palabras clave:
vulnerabilidad, seguridad, servidor web, sitios web, OwaspResumen
La presente investigación denominada “Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi” profundizó en el estudio de las vulnerabilidades presentes en los servidores web y su relación con los procesos de seguridad. El objetivo principal fue diagnosticar las vulnerabilidades existentes en los servidores web tales como inyecciones SQL, XXS Cross Site Script, ataques de fuerza bruta, entre otras. Mediante herramientas de pentest se dio a conocer los riesgos y amenazas presentes. Para cumplir esta meta se planteó un enfoque cualitativo en conjunto con la investigación de campo y documental que permitieron recolectar datos a través de la técnica de una entrevista al coordinador del laboratorio de ciberseguridad, dando como resultado información detallada de los procesos de seguridad y los problemas más comunes que se producen en los servidores web. A partir de los resultados obtenidos se estableció varias pruebas utilizando una metodología para desarrollar los procesos, la metodología Owasp y Owasp Zap fueron las herramientas principales para encontrar alertas de amenazas, como también la ejecución de procesos tales como: recolección de información, uso de motores de búsqueda para verificar análisis, enumeración de las aplicaciones del servidor, revisión de comentarios hacia el sitio web para verificar la presencia de información vulnerable, identificación de puntos de entrada, alertas y análisis de la arquitectura de la aplicación, test de manejo de configuración y desarrollo, test de configuración e infraestructura, test de extensiones de archivos, test método http, test de seguridad estricto Hsts, test de validación de entradas, entre otras más. Como también la utilización de Kali Linux como sistema operativo que permitió la utilización de técnicas de pentest y correcciones de seguridad al servidor. Por otra parte, se estableció una comparativa de los servidores web con un valor alcanzado del 80% para Apache y el 30% para Microsoft IIS, como también una comparación final de las vulnerabilidades del 5,33% para manejo, configuración y desarrollo, 8% manejo de identidad y método http, 7% fuerza bruta y Cross Site Scripting, 5% inyección SQL y DoS y finalmente 4,67% Owasp Zap/directorios. El uso de estas técnicas fusionado con la gestión de las fases de la metodología Owasp permitió organizar, orientar de manera rápida y confiable técnicas básicas para proteger contra amenazas comunes e importantes, obteniendo como referencia la documentación generada que puede ser reutilizable para proyectos futuros o en trabajos de implementación.
Referencias
Briones, G., y Hernández, E. (2018). Auditoría de Seguridad del Servidor Web de la Empresa Publinext S.A. Utilizando Mecanismos Basados en OWASP (tesis de grado). Universidad de Guayaquil. Ecuador http://repositorio.ug.edu.ec/bitstream/redug/26837/1b-cint-ptg-.249%20briones%20pincay%20gerson
Hidalgo, J. (2015) Diseño de una red Wi-Fi para proporcionar servicios de una ciudad digital para Tulcán (Tesis de grado). Pontificia Universidad Católica del Ecuador, Quito. Ecuador http://repositorio.puce.edu.ec/handle/22000/7661
Pérez, C., y Quiñones, J. (2017). Uso de herramientas de pentesting para el análisis de vulnerabilidades en las comunicaciones móviles de las operadoras ubicadas en la ciudad de Guayaquil (Tesis de grado). Universidad de Guayaquil. Ecuador http://repositorio.ug.edu.ec/bitstream/redug/22444/1/B-CINT-PTG-.190.p%c3%a9rez%20falcon%c3%ad%20carolina%20victoria.qui%c3%b1ones%20mo nta%c3%b1o%20jairo%20alexander.pdf
Consultores en Seguridad de la Información. (2016). Seguridad Informática vs Seguridad de la Información. Recuperado el 03 de marzo de 2017, de https://www.maestrodelacomputacion.net/seguridad-informatica-seguridad-de-la-informacion/
Gonzalez, J. (2011). ¿Seguridad Informática o Seguridad de la Información? Recuperado el 02 de febrero de 2016, de http://www.seguridadparatodos.es/2011/10/seguridad-informatica-oseguridad-de-la.html
ISOTools Excellence. (2017) ¿Seguridad informática o seguridad de la información? Recuperado el 05 de marzo de 2017, de http://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/
Rojas Valduciel, H. (2016). Seguridad de la Información, Seguridad Informática y Ciberseguridad: ¿Son sinónimos? Recuperado el 20 de febrero de 2017, de https://infobyteabyte.wordpress.com/2016/04/20/seguridad-de-la-informacion-seguridadinformatica-y-ciberseguridad-son-sinonimos
Publicado
Número
Sección
Licencia
Derechos de autor 2022 Álvaro Steebe Castillo Enríquez, Jairo Vladimir Hidalgo Guijarro, Carlitos Alberto Guano Cárdenas
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
El autor mantiene los derechos morales e intelectuales de su obra, autorizando a la editorial de la revista Sathiri la difusión y divulgación de su contenido con fines estrictamente académicos y de investigación, sin fines de lucro. Así mismo, se autoriza que la obra sea descargada y compartida con otras personas, siempre y cuando no sea alterada y se reconozca su autoria.
