Actualmente los servicios ofrecidos en internet están en aumento y evolución
constante, tal aumento afecta la cantidad de datos a manejar, por lo cual se
requiere que las empresas involucradas en este ambiente logren probar la
seguridad en sus aplicaciones, servidores y activos de información. La manera
de probar esto es mediante un pentesting, simulando el comportamiento de un
atacante en un ambiente controlado, con el fin de descubrir vulnerabilidades en
la organización. El objetivo de este trabajo de investigación es identificar de
manera eficiente y eficaz las vulnerabilidades más comunes sobre las
aplicaciones web, siguiendo la metodología OWASP. Se implementó un
prototipo hardware y software sobre un cluster conformado por 6 dispositivos
SBC de bajo costo, ejecutando tareas de manera paralela y distribuida para
automatizar tanto el proceso del pentesting como la generación de reportes y
determinar la severidad de los riesgos. Se realizó un experimento controlado
sobre 5 sitios web, se compararon los resultados del prototipo contra cuatro
herramientas especializadas en pruebas de penetración, con el fin de precisar la
eficacia de las vulnerabilidades detectadas mediante un análisis de curvas ROC
y medir la eficiencia del prototipo analizando los tiempos de ejecución. Como
resultado se obtuvo un promedio de 12 vulnerabilidades en común que logró
identificar tanto el prototipo como las herramientas seleccionadas en toda la
prueba experimental. Para medir la eficiencia, el prototipo hardware y software
en tiempo de ejecución se mantuvo en un rango entre los 740 a 2050 segundos
aproximadamente para los 5 sitios web, siendo mejor que dos de las cuatro
herramientas con las que se comparó. Finalmente, se puede concluir que las
pruebas de concepto implementadas, identificaron las vulnerabilidades más
comunes sobre todos los sitios web y se puede mejorar los tiempos de ejecución
agregando más dispositivos SBC de bajo costo al implementar un cluster con las
mismas características y configuración.
Nowadays the services offered on internet are increasing and in constant evolution, such increase affects the amount of data to manage, whereby is required that the companies in this environment achieve test security in your applications, servers and information assets. The way of test this is through a pentesting, simulating behavior of an attacker in a controlled environment, due to discover vulnerabilities in the organization. The objective of this researching project is to identify efficiently and effectively the most common vulnerabilities on the web applications, following the OWASP methodology. It implemented a prototype hardware and software on cluster conformed by 6 low cost SBC device, executing task in parallel and distributed way to automate as the process of pentesting as the generation of reports and determine the severity of the risks. It made a controlled experiment on 5 websites the results of the prototype were compared against four specialized tools in test of penetration, in order accuracy the efficient and effective of the vulnerabilities detected, through an analysis ROC curves y measure the efficient of the prototype analyzing the runtimes. As a result, an average of 12 common vulnerabilities was obtained which was identified as the prototype as the tools selected throughout the experimental test. To measure efficiency, the prototype hardware and software at runtime remained in a range between 740 to 2050 seconds approximately for the 5 websites, being better than two of the four tools with which were compared. Finally, it can be concluded that the proof of concept implemented, identified the most common vulnerabilities on all websites and you can improve the runtime by adding more low cost SBC devices when implementing a cluster with the same characteristics and configuration.