Conceptual foundation for an automated pentester based on a single board computer

Geraldín Vergara Fajardo; Diana Marcela Montaño; Siler Amado Donado; Katerine Márceles Villalba

doi:10.16925/2357-6014.2019.02.08

Fundamento conceptual para un pentester automatizado con una base en el computador de placa única

Artículos de investigación

https://doi.org/10.16925/2357-6014.2019.02.08

Geraldín Vergara Fajardo Ver Biografía

Universidad del Cauca

Diana Marcela Montaño Ver Biografía

Institución Universitaria Colegio Mayor del Cauca

Siler Amado Donado Ver Biografía

Universidad del Cauca

Katerine Márceles Villalba Ver Biografía

Institución Universitaria Colegio Mayor del Cauca

Introducción: Este artículo es producto del trabajo de investigación “Pruebas de Concepto Automatizado sobre Aplicaciones Web Basados en OWASP”, realizado durante el 2017 y 2018 en la ciudad de Popayán, capital del departamento del Cauca.

Problema: Establecer e identificar un soporte teórico del tema de investigación que ayudará a resolver la pregunta problema del trabajo investigativo, ¿Es necesario desarrollar scripts que automaticen el proceso de pruebas de concepto para la detección de vulnerabilidades correspondientes al Top 10 de OWASP 2017?

Objetivo: Proponer un componente conceptual y de antecedentes, a través del estudio de fuentes primarias, secundarias, factores de inclusión y exclusión, que permitan determinar la relevancia a la problemática propuesta, para llegar a la construcción de una solución.

Metodología: La metodología empleada fue documental, por lo que se consultaron varias fuentes de bases de datos, para poder determinar las bases conceptuales, teóricas y de antecedentes pertinentes que soportarán este trabajo de investigación.

Resultados: Como resultado se obtuvo un análisis significativo, se logró obtener bases conceptuales pertinentes que permitieron aportar a la solución del problema.

Conclusión: A pesar de la existencia de herramientas para realizar pentesting web, ninguna resuelve totalmente la problemática planteada en este artículo, no obstante, los artículos encontrados ayudaron en la solución del objetivo.

Originalidad: Automatización del proceso de pentesting, bajo la metodología OWASP, en un SBC, utilizando software libre, para disminuir costos a empresarios al momento de probar la seguridad de aplicaciones web.

Limitaciones: El acceso a las bases de datos en la institución, el tiempo y dinero empleado para realizar pruebas en otros dispositivos SBC.

Palabras clave: OWASP, Pentesting, Security, SBC (Single Board Computer), Scripts

K. Linux, Kali Linux Official Documentation, 2016. [Online]. Available: http://es.docs.kali.org/introduction-es/que-es-kali-linux

OWASP, OWASP Top Ten Project, 2017. [Online]. Available: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

P. &. T. Pino, “Gestión y desarrollo de proyectos de investigación distribuidos en ingeniería del software por medio de investigación-acción,” Revista Facultad de Ingeniería Universidad de Antioquia, Vol. 1, 2013.

Muñoz S. & Perez A, Pentester de Aplicaciones web alineado a la metodología Owasp basados en un Cluster de SBC, Facultad de Ingenieria, UNICAUCA, 2018.

OWASP, OWASP Testing Project, 2017. [Online]. Available: https://www.owasp.org/index.php/OWASP_Testing_Project.

AndrewTang, “A guide to penetration testing”, Science Direct, vol. 1, no. 2, pp. 8-11, 2014. [Online]. doi: https://doi.org/10.1016/S1353-4858(14)70079-0

N. A. A. G. K. A. F. H. M. T. F. A. R. “Ain Zubaidah MohdSaleha, A Method for Web Application Vulnerabilities Detection by Using Boyer-Moore String Matching Algorithm”, Science Direct, vol. vol. 72. pp. 112-121, 2015. [Online]. doi: https://doi.org/10.1016/j.procs.2015.12.111.

P. E. H. K. Neha Sharma, “A Review of Information Security using Cryptography Technique”, International Journal of Advanced Research in Computer Science, vol. 8. [Online]. Available: https://www.ijarcs.info/index.php/Ijarcs/article/download/3760/3246, 2017.

L. J. G. V. Fernando Román Muñoz, “An algorithm to find relationships between web vulnerabilities”, The Journal of Supercomputing, vol. 74, no. 3. [Online]. doi: https://doi.org/10.1007/s11227-016-1770-3, pp. 1061-1089 , 2018.

S. J. Johnston, M. Apetroaie-Cristea, M. Scott & S. J. Cox, “Applicability of commodity, low cost, single board computers for Internet of Things devices”, IEEE XPLORE Digital Library. [Online]. doi: https://doi.org/10.1109/WF-IoT.2016.7845414, 2016.

G. D. S. T. A. K. P. R. P. Palsetia, “Black-box detection of XQuery injection and parameter tampering vulnerabilities in web applications”, International Journal of Information Security, vol. 17, no.1. [Online]. doi: https://doi.org/10.1007/s10207-016-0359-4, pp. 105-120, 2018.

G. R. D. S. Aruina Jaiswal, “Blackbox Penetration Testing on Web Applications”, International Journal of Computer Applications, vol. 88, no. 3, 2014.

Q. DuPont & B. Fidler, “Edge Cryptography and the Codevelopment of Computer Networks and Cybersecurity,” IEEE XPLORE Digital Library, vol. 38. [Online]. doi: https://doi.org/ 10.1109/MAHC.2016.49, pp. 55 - 73, 2016.

P. K. DaljitKaur, “Empirical Analysis of Web Attacks,” Science Direct, vol. 78, no. [Online]. doi: https://doi.org/10.1016/j.procs.2016.02.057, pp. 298-306, 2016.

S. S. Kanchana Natarajan, “Generation of Sql-injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks,” Science Direct, vol. 4, no. 4. [Online]. doi: https://doi.org/10.1016/j.protcy.2012.05.129, pp. 790-796, 2012.

M. M. W. M. T. A. M. K. I. K. Y. H. Hidemasa Naruoka, “ICS Honeypot System (CamouflageNet) Based on Attacker's Human Factors,” Science Direct, vol. 3. [Online]. doi: https://doi.org/10.1016/j.promfg.2015.07.175, pp. 1074 - 1081, 2015.

S. R. C. A. O. William & G. J. Halfond, “Improving penetration testing through static and dynamic analysis,” Published online in Wiley Online Library (wileyonlinelibrary.com). [Online]. doi: https://doi.org/10.1002/stvr.450 , 2011.

S. A. T. H. Lee Allen, Kali Linux – Assuring Security by Penetration Testing, Packt Publishing, volumen 2014, Issue 8, https://doi.org/10.1016/S1353-4858(14)70077-7, 2014.

M. F. R. B. Philipp Zech, “Knowledge-based security testing of web applications by logic programming” International Journal on Software Tools for Technology Transfer, vols. 1, no. 2. [Online]. doi: https://doi.org/10.1007/s10009-017-0472-3, pp. 1-26, 2017.

R. C. L. C. N. D. A. A. U. M. Avinash Sudhodanan, “Large-Scale Analysis & Detection of Authentication Cross-Site Request,” IEEE XPLORE Digital library. [Online]. doi: https://doi.org/10.1109/EuroSP.2017.45, 2017.

J. H. R. F. J. H. Lukas Malina, “On perspective of security and privacy-preserving solutions in the internet of things,” Science Direct, vol. 102. [Online]. doi: https://doi.org/10.1016/j.comnet.2016.03.011, pp. 83-95, 2016.

A. F. Z. Daniel Dalalana Bertoglio, “Overview and open issues on penetration test,” Journal of the Brazilian Computer Society. [Online]. doi: https://doi.org/10.1186/s13173-017-0051-1, 2017.

B. Chacos, “Raspberry Pi 3: The revolutionary $35 mini-PC cures its biggest headaches,” PcWorld, vol. 9, no. 9. 2016. [Online]. Available: https://www.pcworld.com/article/3057888/computers/raspberry-pi-3-review-the-revolutionary-35-mini-pc-cures-its-biggest-headaches.html. [Último acceso: 2 12 2017].

A. Manu Kumar, “Reverse Engineering and Vulnerability Analysis in Cyber Security,” International Journal of Advanced Research in Computer Science, vol. 8, no. 5. pp. 950- 953, 2017. [Online]. Availablbe: https://www.ijarcs.info/index.php/Ijarcs/article/viewFile/3502/3456

P. S. E. M. M.I, “Security Testing Methodology for Vulnerabilities Detection of XSS in Web Services and WS-Security,” Science Direct, vol. 302, no. 25. [Online]. doi: https://doi.org/10.1016/j.entcs.2014.01.024, pp. 133-154, 2014.

D. M. D. M. S. M. B. Alie El-Din Mady, “Towards resilient cyber security for embedded devices on Internet,” IEEE Computer Society - IEEE 3rd World Forum on Internet of Things (WF-IoT), pp. 1-2, 2016. [Online]. Available: http://www.computer.org/csdl/proceedings/wf-iot/2016/4130/00/07845439-abs.html,

B. Jai Narayan Goel, “Vulnerability Assessment & Penetration Testing as a Cyber Defence Technology,” Science Direct, vol. 57. [Online]. doi: https://doi.org/10.1016/j.procs.2015.07.458, pp. 710-715, 2015.

M. Ubaidullah & Q. Makki, “A Review on Symmetric Key Encryption Techniques in Cryptography,” International Journal of Computer Applications, vol. 147, no. 10, , pp.43-48, 2016. [Online]. Available: https://www.ijarcs.info/index.php/Ijarcs/article/download/3777/3258

N. J. Nisal Madhushan Vithanage, “WebGuardia - An integrated penetration testing system to detect web application vulnerabilities,” IEEE XPLORE Digital Library - 2016 International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET). [Online]. doi: https://doi.org/10.1109/WiSPNET.2016.7566124, 2016.

J. F. Herrera-Cubides, P. A. Gaona-García, C. E. Montenegro-Marín, S. Sánchez-Alonso, y D. Martin-Moncunill, “Abstraction of linked data’s world”, Visión electrónica, vol. 13, no. 1, pp. 57-74, feb. 2019. https://doi.org/10.14483/22484728.14397

[1]

G. Vergara Fajardo, D. M. Montaño, S. Amado Donado, and K. M. Villalba, “Fundamento conceptual para un pentester automatizado con una base en el computador de placa única”, ing. Solidar, vol. 15, no. 2, pp. 1–16, May 2019, doi: 10.16925/2357-6014.2019.02.08.

Descargar cita

Derechos de autor 2019 Ingeniaría Solidaria

Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.

Compromiso ético y cesión de derechos

El autor debe declarar que su trabajo es original e inédito y que no se ha postulado a evaluación simultánea para su publicación por otro medio. Además, debe asegurar que no tiene impedimentos de ninguna naturaleza para la concesión de los derechos previstos en el contrato.

El autor se compromete a esperar el resultado de evaluación de la revista Ingeniería Solidaria, antes de considerar su presentación a otro medio; en caso de que la respuesta de publicación sea positiva, adicionalmente, se compromete a responder por cualquier acción de reivindicación, plagio u otra clase de reclamación que al respecto pudiera sobrevenir por parte de terceros.

Asimismo, debe declarar que, como autor o coautor, está de acuerdo por completo con los contenidos presentados en el trabajo y ceder todos los derechos patrimoniales, es decir, su reproducción, comunicación pública, distribución, divulgación, transformación, puesta a disposición y demás formas de utilización de la obra por cualquier medio o procedimiento, por el término de su protección legal y en todos los países del mundo, al Fondo Editorial de la Universidad Cooperativa de Colombia, de manera gratuita y sin contraprestación presente o futura.

Número

Vol. 15 Núm. 2 (2019)

Publicado

2019-05-15

Descargas

PDF (Inglés)

Métricas

Cargando métricas ...

https://plu.mx/plum/a/?doi=10.16925/2357-6014.2019.02.08