Sistema de pruebas de penetración automatizadas para aplicaciones web
Tesis
Publication date
2021Metadata
Show full item record
Cómo citar
Hevia Angulo, Alejandro
Cómo citar
Sistema de pruebas de penetración automatizadas para aplicaciones web
Professor Advisor
Abstract
El trabajo presentado en esta memoria implementa una herramienta modular que automatiza y centraliza la ejecución simultánea de múltiples herramientas de pentesting, estandarizando los resultados de las herramientas para que puedan ser utilizados por usuarios con conocimientos básicos de ciberseguridad. La solución desarrollada permite agregar herramientas de pentesting adicionales con la implementación de los módulos necesarios correspondientes que los integren a la solución.
Para corroborar el correcto funcionamiento en ambientes programados con distintos lenguajes, la herramienta se probó en ambientes con vulnerabilidades documentadas como OWASP Mutillidae, Railsgoat, Google Gruyere, los cuales son ambientes programados en PHP, Ruby on Rails y Django (Python), respectivamente. En estos tres ambientes se detectó un 46% de las vulnerabilidades documentadas, lo que exhibe la capacidad de detección de la herramienta. A partir de los resultados, se observó que los scanners descubrieron distintos tipos de vulnerabilidades y, de las detectadas del mismo tipo, descubrieron diferentes vulnerabilidades, lo que indica que cada scanner posee una capacidad particular de detección de vulnerabilidades.
La herramienta desarrollada se incorporará al pipeline de integración continua de la empresa Fintual AGF, una Administradora General de Fondos Mutuos regulada por la Comisión para el Mercado Financiero (CMF). Como la plataforma web está en constante evolución, aumenta la probabilidad de introducir código vulnerable, por lo que la herramienta desarrollada será clave para sistematizar y estandarizar la búsqueda de vulnerabilidades críticas antes de que el código desarrollado pase a producción.
Se ejecutó la herramienta desarrollada en la plataforma web de Fintual, encontrándose 3 vulnerabilidades de riesgo alto y 2 vulnerabilidades de riesgo medio. Se diseñó un Dashboard para visualizar los resultados, tanto históricos como el detalle del último análisis, de manera que los usuarios tecnológicos y no tecnológicos sean capaces de entender el estado de seguridad de la aplicación y puedan resolver rápidamente las vulnerabilidades detectadas.
General note
Memoria para optar al título de Ingeniero Civil en Computación
Identifier
URI: https://repositorio.uchile.cl/handle/2250/181748
Collections
The following license files are associated with this item: