Plan de seguridad para plataformas web empleando normas ISO-27001 y considerando el OWASP top 10-2017

Abstract:

La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1: 2017), pérdida de autenticación (A2: 2017), exposición de datos sensibles (A3: 2017), pérdida de control de acceso (A5: 2017), configuración de seguridad incorrecta (A6: 2017), uso de componentes con vulnerabilidades conocidas (A9: 2017) y registro y monitoreo insuficientes (A10: 2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.

Año de publicación:

2022

Keywords:

Fuente:

google