Fundamento conceptual para un pentester automatizado con una base en el computador de placa única

Conceptual foundation for an automated pentester with a single-board computer-based pentester

Este artículo es producto del trabajo de investigación “Pruebas de Concepto Automatizado sobre Aplicaciones Web Basados en OWASP”, realizado durante el 2017 y 2018 en la ciudad de Popayán, capital del departamento del Cauca. Problema: Establecer e identificar un soporte teórico del tema de investigación que ayudará a resolver la pregunta problema del trabajo investigativo, ¿Es necesario desarrollar scripts que automaticen el proceso de pruebas de concepto para la detección de vulnerabilidades correspondientes al Top 10 de OWASP 2017? Objetivo: Proponer  un  componente  conceptual  y  de  antecedentes,  a  través  del  estudio  de  fuentes  primarias,  secundarias, factores de inclusión y exclusión, que permitan determinar la relevancia a la problemática propuesta, para llegar a la construcción de una solución. Metodología: La metodología empleada fue documental, por lo que se consultaron varias fuentes de bases de datos, para poder determinar las bases conceptuales, teóricas y de antecedentes pertinentes que soportarán este trabajo de investigación. Resultados: Como resultado se obtuvo un análisis significativo, se logró obtener bases conceptuales pertinentes que permitieron aportar a la solución del problema. Conclusión: A pesar de la existencia de herramientas para realizar pentesting web, ninguna resuelve totalmente la problemática planteada en este artículo, no obstante, los artículos encontrados ayudaron en la solución del objetivo.

1. INTRODUCCIÓN

En la actualidad uno de los mayores problemas de los sitios web a nivel mundial ha sido la seguridad de la información, por lo tanto, cuando existen diferentes herramientas para el análisis de pruebas de concepto -que encuentran vulnerabilidades en los sitios web-, existen metodologías en el área de seguridad informática donde se puede realizar no solo el análisis sino también un estudio de los riesgos tanto técnicos como de negocio, debido a las vulnerabilidades de los sitios web. Todo ello con el objetivo de encontrar posibles soluciones y mejoras en los sitios para minimizar los riesgos planteados y evitar las posibles amenazas y ataques de agentes externos.

Hoy en día existen aplicaciones dedicadas a la detección de vulnerabilidades en sitios web, que se incluyen en una distribución de Linux Back Track, llamada Kali Linux [1]1, utilizada para realizar auditorías de seguridad y pruebas de penetración. Existen más de 300 herramientas disponibles para ello; algunas de ellas son: Nmap, Zenmap, Nping, Sparta, sqlmap, Wireshark, Nikto, Burpsuite, Owasp-zap, entre otras, pero en algunos casos no se proporciona toda la información necesaria y por lo tanto esto duplica el trabajo que implica tratar de encontrar vulnerabilidades manualmente.