DSpace logo

  1. Repositorio Digital de la UTMACH
  2. Trabajos de Titulación Facultad de Ingeniería Civil
  3. Ingeniería de Sistemas
  4. Trabajo de Titulación Ingeniería de sistemas
Por favor, use este identificador para citar o enlazar este ítem: http://repositorio.utmachala.edu.ec/handle/48000/17862
Título : Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos
Autor : Ramírez Benítez, Danny Alejandro
Director(es): Morocho Román, Rodrigo Fernando
Palabras clave : GESTOR DE CONTENIDO;VULNERABILIDAD;PRUEBA DE PENETRACION;METODOLOGIA PARA PENTESTING
Fecha de publicación : 2021
Editorial : Machala: Universidad Técnica de Machala
Citación : Ramírez Benítez, Danny Alejandro. (2021) Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos (trabajo de titulación). UTMACH, Facultad de Ingeniería Civil, Machala, Ecuador.
Descripción : Los sitios web ayudan a miles de empresas y personas a postear sus servicios o productos en internet, esto ha provocado que el alcance que tienen al público en general sea mucho más amplio que otros medios modernos de difusión como la radio, televisión y el marketing. Conforme a la aparición de la web 1.0 en 1990 el internet ha evolucionado a tal punto que ya estamos sobre la web 4.0, hay que mencionar, además que en la actualidad existen más de 1.88 mil millones de sitios web presentes en Internet y en aumento constante. Para poder desarrollar un sitio web y ponerlo en producción se debe tener un cúmulo de conocimientos medios en servidores, programación back-end, frontend, y más tecnologías. Al día de hoy con la llegada de los sistemas gestores de contenido (Content Management System, CMS, implementar un sitio web es mucho más sencillo y no requiere demasiado conocimiento en programación, la herramienta Wordpress es la más utilizada y por tal razón es el que sufre más ataques, este gestor tiene presencia con el 42.5% en internet, mientras que Joomla representa el 1,9%. Si bien algunos estudios han explorado algunos métodos para realizar pruebas de penetración, se puede notar una escasa investigación sobre estándares flexibles que comparen dos o más CMS con las respectivas configuraciones equilibradas y predeterminadas en aspectos de seguridad, a causa de esto se implementó un escenario de la vida real con dos sitios web implementados en dos CMS diferentes, para tales pruebas ambos cuentan con las mismas configuraciones, están implementados en línea, comparten mismo servidor y pertenecen a la categoría comercio electrónico. Luego de haber implementado el escenario se seleccionó las herramientas con las cuales se va a realizar las pruebas de penetración, se optó por utilizar el sistema operativo Parrot Security con toda la suite de herramientas que trae por defecto para auditorías de cualquier tipo, y otras herramientas en línea para la recolección de información. El estándar de ejecución de pruebas de penetración, PTES que se implementó consta de siete etapas, las cuales parten desde las interacciones previas al compromiso hasta la elaboración de informes, sin embargo, se añadió una etapa adicional de corrección de las vulnerabilidades encontradas para ambos sitios web; se realizó un reporte técnico debido a que el ejecutivo se emplea cuando se trabaja directamente con una empresa y tal reporte les interesa a todos los ejecutivos de la entidad. Las pruebas manuales arrojaron resultados favorables, así mismo se utilizó el servicio de Detectify que permite realizar escaneos de manera automáticas en busca de vulnerabilidades, los escaneos demoran un promedio de 5 a 6 horas, con esto se tiene dos resultados de pruebas de penetración y se puede hacer una comparativa de cual es más precisa y abarca la mayoría de vulnerabilidades.
Resumen : Websites help thousands of companies and individuals to post their services or products on the Internet, this has caused the reach they have to the general public to be much broader than other modern means of dissemination such as radio, television and marketing. According to the appearance of the web 1.0 in 1990 the internet has evolved to such an extent that we are already on the web 4.0, it is necessary to mention, in addition that at the present time there are more than 1.88 billion web sites present in Internet and in constant increase. In order to develop a website and put it into production you must have a lot of average knowledge in servers, back-end programming, frontend, and more technologies. Nowadays, with the advent of Content Management Systems, CMS, implementing a website is much easier and does not require too much programming knowledge, Wordpress is the most used tool and for this reason it is the one that suffers more attacks, this manager has a presence of 42.5% on the Internet, while Joomla represents 1.9%. Although some studies have explored some methods to perform penetration tests, there is little research on flexible standards that compare two or more CMS with the respective balanced and default configurations in security aspects, because of this a real-life scenario was implemented with two websites implemented in two different CMS, for such tests both have the same configurations, are implemented online, share the same server and belong to the e-commerce category. After having implemented the scenario, the tools with which the penetration tests will be performed were selected, we chose to use the Parrot Security operating system with all the suite of tools that brings by default for audits of any kind, and other online tools for information gathering. The penetration test execution standard, PTES that was implemented consists of seven stages, which start from pre-engagement interactions to reporting, however, an additional stage was added to correct the vulnerabilities found for both websites; a technical report was made because the executive is used when working directly with a company and such a report is of interest to all executives of the entity. The manual tests yielded favorable results, and the Detectify service was also used to perform automatic scans in search of vulnerabilities, the scans take an average of 5 to 6 hours, with this we have two results of penetration tests and can make a comparison of which is more accurate and covers most vulnerabilities.
URI : http://repositorio.utmachala.edu.ec/handle/48000/17862
Aparece en las colecciones: Trabajo de Titulación Ingeniería de sistemas

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
TTFIC-2021-IS-DE00031.pdfTRABAJO DE TITULACION4,05 MBAdobe PDFVisualizar/Abrir
Mostrar el registro Dublin Core completo del ítem


Este ítem está sujeto a una licencia Creative Commons Licencia Creative Commons Creative Commons