Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando un cluster conformado por dispositivos SBC de bajo costo

Andrés Muñoz Mayorga; Santiago Pérez Solarte; Siler Amador Donado

Ayuda

Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando un cluster conformado por dispositivos SBC de bajo costo

Andrés Muñoz Mayorga ^[1] ; Santiago Pérez Solarte ^[1] ; Siler Amador Donado ^[1]
1. [1] Universidad del Cauca
  
  Universidad del Cauca
  
  Colombia
Localización: RISTI: Revista Ibérica de Sistemas e Tecnologias de Informação, ISSN-e 1646-9895, Nº. Extra 16, 2018, págs. 1-14
Idioma: español
Títulos paralelos:
- Web application pentesting based on OWASP methodology using a cluster conformed by low-cost SBC devices
Enlaces
- Texto completo (pdf)
Resumen
- español
  Hoy en día, las empresas necesitan probar la seguridad en sus aplicaciones, servidores, infraestructura y activos de información. El modo de prueba, es realizar un pentesting, debido a que permite el descubrimiento de vulnerabilidades en la organización. El objetivo de este proyecto de investigación es identificar de manera eficiente y eficaz las vulnerabilidades más comunes en las aplicaciones web, siguiendo la metodología OWASP. Se implementó un prototipo de hardware y software en clúster conformado por 6 Raspberry Pi, ejecutando tareas tanto paralelas como distribuidas para automatizar el proceso de pentesting y la generación de informes y determinar la severidad de los riesgos. Se llevó a cabo un experimento controlado en cinco sitios web, donde se compararon los resultados del prototipo con cuatro herramientas pentesting. Por último, se obtuvo un promedio de 12 vulnerabilidades comunes. Para medir la eficiencia, el prototipo en tiempo de ejecución se mantuvo en un rango entre 740 y 2050 segundos para cinco sitios web.
- English
  Nowadays the companies need testing security in your applications, servers, infrastructure and information assets. The way of test, it is through a pentesting, due to discover vulnerabilities in the organization. The objective of this researching project is to identify efficiently and effectively the most common vulnerabilities on the web applications, following the OWASP methodology.
  
  It implemented a prototype hardware and software on cluster conformed by 6 Raspberry Pi, executing task both in parallel and distributed way to automate as the process of pentesting as the generation of reports and determine the severity of the risks. It was carried out a controlled experiment on five websites, where the prototype results were compared against four pentesting tools. Lastly, it was obtained an average of 12 common vulnerabilities. To measure efficiency, the prototype at runtime remained in a range between 740 to 2050 seconds for five websites.