Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos
Los sitios web ayudan a miles de empresas y personas a postear sus servicios o productos en internet, esto ha provocado que el alcance que tienen al público en general sea mucho más amplio que otros medios modernos de difusión como la radio, televisión y el marketing. Conforme a la aparición de la w...
Saved in:
| Hovedforfatter: | |
|---|---|
| Format: | bachelorThesis |
| Udgivet: |
2021
|
| Fag: | |
| Online adgang: | http://repositorio.utmachala.edu.ec/handle/48000/17862 |
| Tags: |
Tilføj Tag
Ingen Tags, Vær først til at tagge denne postø!
|
Tilføj Tag | Summary: | Los sitios web ayudan a miles de empresas y personas a postear sus servicios o productos en internet, esto ha provocado que el alcance que tienen al público en general sea mucho más amplio que otros medios modernos de difusión como la radio, televisión y el marketing. Conforme a la aparición de la web 1.0 en 1990 el internet ha evolucionado a tal punto que ya estamos sobre la web 4.0, hay que mencionar, además que en la actualidad existen más de 1.88 mil millones de sitios web presentes en Internet y en aumento constante. Para poder desarrollar un sitio web y ponerlo en producción se debe tener un cúmulo de conocimientos medios en servidores, programación back-end, frontend, y más tecnologías. Al día de hoy con la llegada de los sistemas gestores de contenido (Content Management System, CMS, implementar un sitio web es mucho más sencillo y no requiere demasiado conocimiento en programación, la herramienta Wordpress es la más utilizada y por tal razón es el que sufre más ataques, este gestor tiene presencia con el 42.5% en internet, mientras que Joomla representa el 1,9%. Si bien algunos estudios han explorado algunos métodos para realizar pruebas de penetración, se puede notar una escasa investigación sobre estándares flexibles que comparen dos o más CMS con las respectivas configuraciones equilibradas y predeterminadas en aspectos de seguridad, a causa de esto se implementó un escenario de la vida real con dos sitios web implementados en dos CMS diferentes, para tales pruebas ambos cuentan con las mismas configuraciones, están implementados en línea, comparten mismo servidor y pertenecen a la categoría comercio electrónico. Luego de haber implementado el escenario se seleccionó las herramientas con las cuales se va a realizar las pruebas de penetración, se optó por utilizar el sistema operativo Parrot Security con toda la suite de herramientas que trae por defecto para auditorías de cualquier tipo, y otras herramientas en línea para la recolección de información. El estándar de ejecución de pruebas de penetración, PTES que se implementó consta de siete etapas, las cuales parten desde las interacciones previas al compromiso hasta la elaboración de informes, sin embargo, se añadió una etapa adicional de corrección de las vulnerabilidades encontradas para ambos sitios web; se realizó un reporte técnico debido a que el ejecutivo se emplea cuando se trabaja directamente con una empresa y tal reporte les interesa a todos los ejecutivos de la entidad. Las pruebas manuales arrojaron resultados favorables, así mismo se utilizó el servicio de Detectify que permite realizar escaneos de manera automáticas en busca de vulnerabilidades, los escaneos demoran un promedio de 5 a 6 horas, con esto se tiene dos resultados de pruebas de penetración y se puede hacer una comparativa de cual es más precisa y abarca la mayoría de vulnerabilidades. |
|---|