PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017
| Autor: | Pinango Bayas, Álvaro Humberto, Méndez Naranjo, Pablo Martí, Caiza Méndez, Diego Gustavo, Barreno Naranjo, Danilo Geovanny |
|---|---|
| Jazyk: | Spanish; Castilian |
| Rok vydání: | 2022 |
| Předmět: | |
| Zdroj: | CIENCIA UNEMI; Vol. 15 Núm. 40 (2022): Volumen 15 número 40: Septiembre-Diciembre; 1-15 Science Magazine Unemi; Vol 15 No 40 (2022): Volumen 15 número 40: Septiembre-Diciembre; 1-15 |
| ISSN: | 1390-4272 2528-7737 |
| Popis: | The present investigation was carried out on the web platform of the services of the Fire Department of the Municipal GAD of Santo Domingo with the objective of detecting vulnerabilities and implementing a security plan using ISO 27001 standards considering the list of security risks of OWASP Top 10- 2017, to reduce, mitigate or eliminate them. The process for penetration testing and exploitation of web vulnerabilities was carried out in 4 phases: information gathering, vulnerability analysis, exploitation and report generation. For the tests, the following tools were used: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra and Zenmap. As a result, it was determined that the web platform was vulnerable to: injection (A1:2017), loss of authentication (A2:2017), exposure of sensitive data (A3:2017), loss of access control (A5:2017), configuration of incorrect security (A6:2017), use of components with known vulnerabilities (A9:2017), and insufficient logging and monitoring (A10:2017). Based on this evaluation, a security plan for the web platform was created and implemented. Vulnerability tests were carried out on 2 prototypes (Prototype I: without a security plan, Prototype II: considering the security plan) from which an improvement in the security of the web platform was obtained by 75%. La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%. |
| Databáze: | OpenAIRE |
| Externí odkaz: |
|