Repositorio Dspace

Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos

Mostrar el registro sencillo del ítem

dc.contributor.advisor Morocho Román, Rodrigo Fernando
dc.contributor.author Ramírez Benítez, Danny Alejandro
dc.date.accessioned 2021-10-20T13:39:47Z
dc.date.available 2021-10-20T13:39:47Z
dc.date.issued 2021
dc.identifier.citation Ramírez Benítez, Danny Alejandro. (2021) Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos (trabajo de titulación). UTMACH, Facultad de Ingeniería Civil, Machala, Ecuador. es_ES
dc.identifier.other TTFIC-2021-IS-DE00031
dc.identifier.uri http://repositorio.utmachala.edu.ec/handle/48000/17862
dc.description Los sitios web ayudan a miles de empresas y personas a postear sus servicios o productos en internet, esto ha provocado que el alcance que tienen al público en general sea mucho más amplio que otros medios modernos de difusión como la radio, televisión y el marketing. Conforme a la aparición de la web 1.0 en 1990 el internet ha evolucionado a tal punto que ya estamos sobre la web 4.0, hay que mencionar, además que en la actualidad existen más de 1.88 mil millones de sitios web presentes en Internet y en aumento constante. Para poder desarrollar un sitio web y ponerlo en producción se debe tener un cúmulo de conocimientos medios en servidores, programación back-end, frontend, y más tecnologías. Al día de hoy con la llegada de los sistemas gestores de contenido (Content Management System, CMS, implementar un sitio web es mucho más sencillo y no requiere demasiado conocimiento en programación, la herramienta Wordpress es la más utilizada y por tal razón es el que sufre más ataques, este gestor tiene presencia con el 42.5% en internet, mientras que Joomla representa el 1,9%. Si bien algunos estudios han explorado algunos métodos para realizar pruebas de penetración, se puede notar una escasa investigación sobre estándares flexibles que comparen dos o más CMS con las respectivas configuraciones equilibradas y predeterminadas en aspectos de seguridad, a causa de esto se implementó un escenario de la vida real con dos sitios web implementados en dos CMS diferentes, para tales pruebas ambos cuentan con las mismas configuraciones, están implementados en línea, comparten mismo servidor y pertenecen a la categoría comercio electrónico. Luego de haber implementado el escenario se seleccionó las herramientas con las cuales se va a realizar las pruebas de penetración, se optó por utilizar el sistema operativo Parrot Security con toda la suite de herramientas que trae por defecto para auditorías de cualquier tipo, y otras herramientas en línea para la recolección de información. El estándar de ejecución de pruebas de penetración, PTES que se implementó consta de siete etapas, las cuales parten desde las interacciones previas al compromiso hasta la elaboración de informes, sin embargo, se añadió una etapa adicional de corrección de las vulnerabilidades encontradas para ambos sitios web; se realizó un reporte técnico debido a que el ejecutivo se emplea cuando se trabaja directamente con una empresa y tal reporte les interesa a todos los ejecutivos de la entidad. Las pruebas manuales arrojaron resultados favorables, así mismo se utilizó el servicio de Detectify que permite realizar escaneos de manera automáticas en busca de vulnerabilidades, los escaneos demoran un promedio de 5 a 6 horas, con esto se tiene dos resultados de pruebas de penetración y se puede hacer una comparativa de cual es más precisa y abarca la mayoría de vulnerabilidades. es_ES
dc.description.abstract Websites help thousands of companies and individuals to post their services or products on the Internet, this has caused the reach they have to the general public to be much broader than other modern means of dissemination such as radio, television and marketing. According to the appearance of the web 1.0 in 1990 the internet has evolved to such an extent that we are already on the web 4.0, it is necessary to mention, in addition that at the present time there are more than 1.88 billion web sites present in Internet and in constant increase. In order to develop a website and put it into production you must have a lot of average knowledge in servers, back-end programming, frontend, and more technologies. Nowadays, with the advent of Content Management Systems, CMS, implementing a website is much easier and does not require too much programming knowledge, Wordpress is the most used tool and for this reason it is the one that suffers more attacks, this manager has a presence of 42.5% on the Internet, while Joomla represents 1.9%. Although some studies have explored some methods to perform penetration tests, there is little research on flexible standards that compare two or more CMS with the respective balanced and default configurations in security aspects, because of this a real-life scenario was implemented with two websites implemented in two different CMS, for such tests both have the same configurations, are implemented online, share the same server and belong to the e-commerce category. After having implemented the scenario, the tools with which the penetration tests will be performed were selected, we chose to use the Parrot Security operating system with all the suite of tools that brings by default for audits of any kind, and other online tools for information gathering. The penetration test execution standard, PTES that was implemented consists of seven stages, which start from pre-engagement interactions to reporting, however, an additional stage was added to correct the vulnerabilities found for both websites; a technical report was made because the executive is used when working directly with a company and such a report is of interest to all executives of the entity. The manual tests yielded favorable results, and the Detectify service was also used to perform automatic scans in search of vulnerabilities, the scans take an average of 5 to 6 hours, with this we have two results of penetration tests and can make a comparison of which is more accurate and covers most vulnerabilities. es_ES
dc.format.extent 102 p. es_ES
dc.language.iso es es_ES
dc.publisher Machala: Universidad Técnica de Machala es_ES
dc.rights openAccess es_ES
dc.rights.uri https://creativecommons.org/licenses/by-nc-sa/3.0/ec/ es_ES
dc.subject GESTOR DE CONTENIDO es_ES
dc.subject VULNERABILIDAD es_ES
dc.subject PRUEBA DE PENETRACION es_ES
dc.subject METODOLOGIA PARA PENTESTING es_ES
dc.title Identificación, explotación y corrección de vulnerabilidades en sitios web desarrollados mediante gestores de contenido gratuitos es_ES
dc.type bachelorThesis es_ES
dc.email daramirez_est@utmachala.edu.ec es_ES
dc.cedula 0941390841 es_ES
dc.utmachtitulacion.titulacion Propuestas tecnológicas es_ES
dc.utmachbibliotecario.bibliotecario Peralta Mercy es_ES
dc.utmachproceso.proceso PT-170521 (2021-1) es_ES


Ficheros en el ítem

Este ítem aparece en la(s) siguiente(s) colección(ones)

Mostrar el registro sencillo del ítem

openAccess Excepto si se señala otra cosa, la licencia del ítem se describe como openAccess

Buscar en DSpace


Búsqueda avanzada

Listar

Mi cuenta

Estadísticas