Acometer contra un ERP con Software Libre

Autor: Crespo, Esteban, Carvajal, Fabian, Astudillo, Catalina, Orellana, Marcos, Vintimilla, Rosalva, Carvallo, Juan
Jazyk: Spanish; Castilian
Rok vydání: 2018
Předmět:
Zdroj: Enfoque UTE; Vol. 9 Núm. 1 (2018); pp. 138-148
Enfoque UTE; Vol. 9 No. 1 (2018); pp. 138-148
Scipedia Open Access
Scipedia SL
ISSN: 1390-6542
1390-9363
DOI: 10.29019/enfoqueute.v9n1
Popis: Information security is a growing concern in companies and organizations, being even higher when linked to financial platforms where sensitive information exists. This article explains the techniques used in the pentesting performed on the ERP software developed in APEX 5 by the University of Azuay. To achieve this goal, six stages has been considered for perform a penetration test: I) Conceptualization, where is defined the scope of the tests to be performed. II) Preparation of the laboratory, which identifies some of the tools used to initiate the safety tests. III) Obtaining of information, where the possible objects are recognized and scanned in greater depth to identify intrinsic characteristics for subsequently exploit them. IV) Analysis of the vulnerabilities found in the previous stage. V) Exploitation of vulnerabilities; and VI) post-exploitation, a stage that contemplates the destruction of evidence of the attack and the conservation of the connection and the accesses obtained to extract information. All these stages were carried out within the facilities of the “Universidad del Azuay”, considering the development environment in which this software is currently located.
La seguridad de la información es una preocupación creciente en empresas y organizaciones, siendo más alta aun cuando se vincula a plataformas financieras donde existe información sensible. Este artículo resume las técnicas utilizadas en el pentesting realizado al software ERP desarrollado en APEX 5 por la Universidad del Azuay; para ello se han contemplado seis etapas que sugiere una prueba de penetración: i) la conceptualización, donde se define el alcance de las pruebas a realizar; ii) la preparación del laboratorio, en la que se identifican algunas de las herramientas que servirán para el inicio de las pruebas de seguridad; iii) la obtención de información, donde se hace el reconocimiento y escaneo de posibles objetivos que posteriormente serán explorados con mayor profundidad para identificar características intrínsecas que puedan ser aprovechadas; iv) el análisis de las vulnerabilidades encontradas en la etapa anterior; v) la explotación de vulnerabilidades; y vi) la post explotación, etapa que contempla la destrucción de evidencias del ataque y la conservación de la conexión y los accesos logrados para extraer información. Todas estas etapas fueron efectuadas dentro de las instalaciones de la Universidad del Azuay, considerando el ambiente de desarrollo en el que actualmente se encuentra este software.
Databáze: OpenAIRE