Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi, 2021

Abstract

La presente investigación denominada “Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi” profundizó en el estudio de las vulnerabilidades presentes en los servidores web y su relación con los procesos de seguridad. El objetivo principal fue diagnosticar las vulnerabilidades existentes en los servidores web tales como inyecciones SQL, XXS Cross Site Script, ataques de fuerza bruta, entre otras. Mediante herramientas de pentest se dio a conocer los riesgos y amenazas presentes. Para cumplir esta meta se planteó un enfoque cualitativo en conjunto con la investigación de campo y documental que permitieron recolectar datos a través de la técnica de una entrevista al coordinador del laboratorio de ciberseguridad, dando como resultado información detallada de los procesos de seguridad y los problemas más comunes que se producen en los servidores web. A partir de los resultados obtenidos se estableció varias pruebas utilizando una metodología para desarrollar los procesos, la metodología Owasp y Owasp Zap fueron las herramientas principales para encontrar alertas de amenazas, como también la ejecución de procesos tales como: recolección de información, uso de motores de búsqueda para verificar análisis, enumeración de las aplicaciones del servidor, revisión de comentarios hacia el sitio web para verificar la presencia de información vulnerable, identificación de puntos de entrada, alertas y análisis de la arquitectura de la aplicación, test de manejo de configuración y desarrollo, test de configuración e infraestructura, test de extensiones de archivos, test método http, test de seguridad estricto Hsts, test de validación de entradas, entre otras más. Como también la utilización de Kali Linux como sistema operativo que permitió la utilización de técnicas de pentest y correcciones de seguridad al servidor. Por otra parte, se estableció una comparativa de los servidores web con un valor alcanzado del 80% para Apache y el 30% para Microsoft IIS, como también una comparación final de las vulnerabilidades del 5,33% para manejo, configuración y desarrollo, 8% manejo de identidad y método http, 7% fuerza bruta y Cross Site Scripting, 5% inyección SQL y DoS y finalmente 4,67% Owasp Zap/directorios. El uso de estas técnicas fusionado con la gestión de las fases de la metodología Owasp permitió organizar, orientar de manera rápida y confiable técnicas básicas para proteger contra amenazas comunes e importantes, obteniendo como referencia la documentación generada que puede ser reutilizable para proyectos futuros o en trabajos de implementación.