使用ISO-27001标准并考虑OWASP TOP 10-2017的Web平台安全计划

IF 0.2 Q4 SOCIAL SCIENCES, INTERDISCIPLINARY

Ciencia UNEMI Pub Date : 2022-09-15 DOI:10.29076/issn.2528-7737vol15iss40.2022pp1-15p

Álvaro Humberto Pinango Bayas, Pablo Martí Méndez Naranjo, Diego Gustavo Caiza Méndez, Danilo Geovanny Barreno Naranjo

{"title":"使用ISO-27001标准并考虑OWASP TOP 10-2017的Web平台安全计划","authors":"Álvaro Humberto Pinango Bayas, Pablo Martí Méndez Naranjo, Diego Gustavo Caiza Méndez, Danilo Geovanny Barreno Naranjo","doi":"10.29076/issn.2528-7737vol15iss40.2022pp1-15p","DOIUrl":null,"url":null,"abstract":"La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.","PeriodicalId":41371,"journal":{"name":"Ciencia UNEMI","volume":" ","pages":""},"PeriodicalIF":0.2000,"publicationDate":"2022-09-15","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017\",\"authors\":\"Álvaro Humberto Pinango Bayas, Pablo Martí Méndez Naranjo, Diego Gustavo Caiza Méndez, Danilo Geovanny Barreno Naranjo\",\"doi\":\"10.29076/issn.2528-7737vol15iss40.2022pp1-15p\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.\",\"PeriodicalId\":41371,\"journal\":{\"name\":\"Ciencia UNEMI\",\"volume\":\" \",\"pages\":\"\"},\"PeriodicalIF\":0.2000,\"publicationDate\":\"2022-09-15\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Ciencia UNEMI\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.29076/issn.2528-7737vol15iss40.2022pp1-15p\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"Q4\",\"JCRName\":\"SOCIAL SCIENCES, INTERDISCIPLINARY\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Ciencia UNEMI","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.29076/issn.2528-7737vol15iss40.2022pp1-15p","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"Q4","JCRName":"SOCIAL SCIENCES, INTERDISCIPLINARY","Score":null,"Total":0}

引用次数: 0

摘要

这项研究是在圣多明各市GAD消防局服务的网络平台上进行的，目的是通过考虑到OWASP Top 10-2017的安全风险清单，使用ISO 27001标准来发现漏洞并实施安全计划，以减少、减轻或消除这些漏洞。网络漏洞渗透和利用测试的过程分为四个阶段进行：信息收集、漏洞分析、利用和报告生成。使用工具进行测试：Nessus、Vega、Burpsuite、Beef、Metasploit、Synflood、Hydra和Zenmap。结果发现，该网站平台容易受到以下攻击：注射（A1:2017）、身份验证丢失（A2:2017）、敏感数据暴露（A3:2017）、访问控制丢失（A5:2017）、安全配置错误（A6:2017）、使用已知漏洞的组件（A9:2017）以及记录和监测不足（A10:2017）。在这一评估的基础上，为网络平台制定并实施了一项安全计划。对2个原型（原型一：没有安全计划，原型二：考虑到安全计划）进行了漏洞测试，使网站平台的安全性提高了75%。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

查看原文本刊更多论文

PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017

La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.

求助全文

通过发布文献求助，成功后即可免费获取论文全文。去求助

来源期刊

Ciencia UNEMI SOCIAL SCIENCES, INTERDISCIPLINARY-

自引率

0.00%

发文量

审稿时长

32 weeks