Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando SBC de bajo costo

Abstract

Actualmente los servicios ofrecidos en internet están en aumento y evolución constante, tal aumento afecta la cantidad de datos a manejar, por lo cual se requiere que las empresas involucradas en este ambiente logren probar la seguridad en sus aplicaciones, servidores y activos de información. La manera de probar esto es mediante un pentesting, simulando el comportamiento de un atacante en un ambiente controlado, con el fin de descubrir vulnerabilidades en la organización. El objetivo de este trabajo de investigación es identificar de manera eficiente y eficaz las vulnerabilidades más comunes sobre las aplicaciones web, siguiendo la metodología OWASP. Se implementó un prototipo hardware y software sobre un cluster conformado por 6 dispositivos SBC de bajo costo, ejecutando tareas de manera paralela y distribuida para automatizar tanto el proceso del pentesting como la generación de reportes y determinar la severidad de los riesgos. Se realizó un experimento controlado sobre 5 sitios web, se compararon los resultados del prototipo contra cuatro herramientas especializadas en pruebas de penetración, con el fin de precisar la eficacia de las vulnerabilidades detectadas mediante un análisis de curvas ROC y medir la eficiencia del prototipo analizando los tiempos de ejecución. Como resultado se obtuvo un promedio de 12 vulnerabilidades en común que logró identificar tanto el prototipo como las herramientas seleccionadas en toda la prueba experimental. Para medir la eficiencia, el prototipo hardware y software en tiempo de ejecución se mantuvo en un rango entre los 740 a 2050 segundos aproximadamente para los 5 sitios web, siendo mejor que dos de las cuatro herramientas con las que se comparó. Finalmente, se puede concluir que las pruebas de concepto implementadas, identificaron las vulnerabilidades más comunes sobre todos los sitios web y se puede mejorar los tiempos de ejecución agregando más dispositivos SBC de bajo costo al implementar un cluster con las mismas características y configuración.

Nowadays the services offered on internet are increasing and in constant evolution, such increase affects the amount of data to manage, whereby is required that the companies in this environment achieve test security in your applications, servers and information assets. The way of test this is through a pentesting, simulating behavior of an attacker in a controlled environment, due to discover vulnerabilities in the organization. The objective of this researching project is to identify efficiently and effectively the most common vulnerabilities on the web applications, following the OWASP methodology. It implemented a prototype hardware and software on cluster conformed by 6 low cost SBC device, executing task in parallel and distributed way to automate as the process of pentesting as the generation of reports and determine the severity of the risks. It made a controlled experiment on 5 websites the results of the prototype were compared against four specialized tools in test of penetration, in order accuracy the efficient and effective of the vulnerabilities detected, through an analysis ROC curves y measure the efficient of the prototype analyzing the runtimes. As a result, an average of 12 common vulnerabilities was obtained which was identified as the prototype as the tools selected throughout the experimental test. To measure efficiency, the prototype hardware and software at runtime remained in a range between 740 to 2050 seconds approximately for the 5 websites, being better than two of the four tools with which were compared. Finally, it can be concluded that the proof of concept implemented, identified the most common vulnerabilities on all websites and you can improve the runtime by adding more low cost SBC devices when implementing a cluster with the same characteristics and configuration.