| dc.contributor | Jaimes-Parada, Héctor Darío | |
| dc.creator | González-Sánchez, Ricardo Andrés | |
| dc.creator | Moreno-Bernal, Davor Julián | |
| dc.date.accessioned | 2021 | |
| dc.date.accessioned | 2021-01-29T16:10:38Z | |
| dc.date.available | 2021 | |
| dc.date.available | 2021-01-29T16:10:38Z | |
| dc.date.created | 2021 | |
| dc.date.created | 2021-01-29T16:10:38Z | |
| dc.date.issued | 2021 | |
| dc.identifier | González-Sánchez, R. A. & Moreno-Bernal, D. J. (2020). Evaluación de seguridad de gestores de bases de datos Nosql MongoDB, Redis y Cassandra. Trabajo de Grado. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Bogotá, Colombia | |
| dc.identifier | https://hdl.handle.net/10983/25449 | |
| dc.description.abstract | El presente proyecto busca realizar una evaluación de la seguridad de gestores de bases de datos NoSQL MongoDB, Redis y Cassandra. El proyecto se desarrolla reuniendo información sobre ataques y vulnerabilidades principalmente, diseñando un plan de pruebas para implementarlo en los prototipos para finalmente analizar los resultados obtenidos y de ser posible proponer contramedidas. Es así que se puede seleccionar cuál herramienta es más conveniente utilizar para una persona u organización en un caso particular. Los resultados demostraron que MongoDB es más vulnerable a ataques de inyección NoSQL, Redis es más vulnerable a ataques registrados en el CVE y que Cassandra es más complejo de utilizar pero es menos vulnerable. | |
| dc.language | spa | |
| dc.publisher | Universidad Católica de Colombia | |
| dc.publisher | Facultad de Ingeniería | |
| dc.publisher | Bogotá | |
| dc.publisher | Ingeniería de Sistemas y Computación | |
| dc.relation | Adastra, V., 2011. Conceptos Básicos De Nikto – Técnicas De Escaneo De Servidores Y Aplicaciones Web. [online] Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW). Available at: <https://thehackerway.com/2011/05/12/conceptos-basicos-de-nikto-tecnicas-de- escaneo-de-servidores-y-aplicaciones-web/> [Accessed 13 November 2020]. | |
| dc.relation | Amazon, 2020. Bases De Datos No Relacionales | Bases De Datos De Gráficos | AWS. [online] Amazon Web Services, Inc. Obtenido de: <https://aws.amazon.com/es/nosql/> [Accesible 4 June 2020]. | |
| dc.relation | Amazon, 2020. ¿Qué Es Redis? – Amazon Web Services (AWS). [online] Amazon Web Services, Inc. Obtenido de: <https://aws.amazon.com/es/elasticache/what-is- redis/> [Accesible 4 June 2020]. | |
| dc.relation | AWS, 2020. ¿Qué Es AWS?. [online] Amazon Web Services, Inc. Available at: <https://aws.amazon.com/es/what-is-aws/> [Accessed 4 August 2020]. | |
| dc.relation | Barrera, A., 2020. JSON: ¿Qué Es Y Para Qué Sirve?. [online] NextU LATAM. Available at: <https://www.nextu.com/blog/que-es-json/> [Accessed 4 August 2020]. | |
| dc.relation | BD-Engines, 2020. Historical Trend Of The Popularity Ranking Of Database Management Systems. [online] Db-engines.com. Obtenido de: <https://db- engines.com/en/ranking_trend> [Accesible 6 June 2020]. | |
| dc.relation | Blogger, 2013. Metodologías Y Herramientas De Ethical Hacking. [online] Seguridadinformaticahoy.blogspot.com. Obtenido de: <https://seguridadinformaticahoy.blogspot.com/2013/02/metodologias-y- herramientas-de-ethical.html> [Accesible 4 June 2020]. | |
| dc.relation | Cassandra, A., 2016. Apache Cassandra. [online] Cassandra.apache.org. Obtenido de: <https://cassandra.apache.org/> [Accesible 4 June 2020]. | |
| dc.relation | CVE, D., 2390. CVE-2019-2390 : An Unprivileged User Or Program On Microsoft Windows Which Can Create Openssl Configuration Files In A Fixed Location Ma. [online] Cvedetails.com. Obtenido de: <https://www.cvedetails.com/cve/CVE-2019- 2390/> [Accesible 4 June 2020]. | |
| dc.relation | CVE, D., 2019. CVE-2019-2389 : Incorrect Scoping Of Kill Operations In Mongodb Server's Packaged Sysv Init Scripts Allow Users With Write Access T. [online] Cvedetails.com. Available at: <https://www.cvedetails.com/cve/CVE-2019-2389/> [Accessed 31 August 2020]. | |
| dc.relation | CVE, D., 2019. CVE-2019-2386 : After User Deletion In Mongodb Server The Improper Invalidation Of Authorization Sessions Allows An Authenticated User&#. [online] Cvedetails.com. Available at: <https://www.cvedetails.com/cve/CVE-2019- 2386/> [Accessed 31 August 2020]. | |
| dc.relation | CVE, D., 8016. CVE-2018-8016 : The Default Configuration In Apache Cassandra 3.8 Through 3.11.1 Binds An Unauthenticated JMX/RMI Interface To All Netwo. [online] Cvedetails.com. Obtenido de: <https://www.cvedetails.com/cve/CVE-2018- 8016/> [Accesible 4 June 2020]. | |
| dc.relation | CVE, D., 2015. CVE-2015-0225 : The Default Configuration In Apache Cassandra 1.2.0 Through 1.2.19, 2.0.0 Through 2.0.13, And 2.1.0 Through 2.1.3 Binds. [online] Cvedetails.com. Available at: <https://www.cvedetails.com/cve/CVE-2015- 0225/> [Accessed 31 August 2020]. | |
| dc.relation | CVE, D., 10193. CVE-2019-10193 : A Stack-Buffer Overflow Vulnerability Was Found In The Redis Hyperloglog Data Structure Versions 3.X Before 3.2.13, 4.X. [online] Cvedetails.com. Obtenido de: <https://www.cvedetails.com/cve/CVE-2019- 10193/> [Accesible 4 June 2020]. | |
| dc.relation | CVE, D., 2018. CVE-2018-12453 : Type Confusion In The Xgroupcommand Function In T_Stream.C In Redis-Server In Redis Before 5.0 Allows Remote Attackers T. [online] Cvedetails.com. Available at: <https://www.cvedetails.com/cve/CVE-2018-12453/> [Accessed 31 August 2020]. | |
| dc.relation | CVE, D., 2018. CVE-2018-12326 : Buffer Overflow In Redis-Cli Of Redis Before 4.0.10 And 5.X Before 5.0 RC3 Allows An Attacker To Achieve Code Execution. [online] Cvedetails.com. Available at: <https://www.cvedetails.com/cve/CVE-2018- 12326/> [Accessed 31 August 2020]. | |
| dc.relation | Castro, C., 2015. ¿Qué Es El Ethical Hacking? - BLOG | UTEL. [online] BLOG | UTEL. Available at: <https://www.utel.edu.mx/blog/menu-profesional/que-es-el- ethical-hacking/> [Accessed 4 August 2020]. | |
| dc.relation | Carles, J., 2013. Firewall. Que Es, Para Que Sirve, Como Funciona, Tiene Limitaciones?. [online] geekland. Available at: <https://geekland.eu/que-es-y-para- que-sirve-un-firewall/> [Accessed 4 August 2020]. | |
| dc.relation | Carisio, E., 2020. Qué Es El Diseño De Base De Datos Y Cómo Planificarlo. [online] #ADNCLOUD. Available at: <https://blog.mdcloud.es/que-es-el-diseno-de- base-de-datos-y-como-planificarlo/> [Accessed 4 August 2020]. | |
| dc.relation | Catoira, F., 2013. Nueva Funcionalidad De Monitoreo Continuo De Nessus | Welivesecurity. [online] WeLiveSecurity. Available at: <https://www.welivesecurity.com/la-es/2013/06/17/nueva-funcionalidad-de- monitoreo-continuo-de-nessus/#:~:text=sobre%20sus%20redes.- ,Nessus%20es%20una%20herramienta%20desarrollada%20para%20realizar%20 escaneos%20de%20seguridad,de%20seguridad%20de%20los%20sistemas.> [Accessed 13 November 2020]. | |
| dc.relation | Cso, 2018. ¿Qué Es Wireshark? Así Funciona La Nueva Tendencia Esencial En Seguridad. [online] Cso.computerworld.es. Available at: <https://cso.computerworld.es/tendencias/que-es-wireshark-asi-funciona-la-nueva- tendencia-esencial-en-seguridad> [Accessed 4 August 2020]. | |
| dc.relation | DATA, C., 2015. ¿Qué Importancia Tienen Las Bases De Datos A Nivel Empresarial?. [online] DataCentric.Obtenido de: <https://www.datacentric.es/blog/bases-datos/importancia-bases-de-datos-2/> [Accesible 4 June 2020]. | |
| dc.relation | Dictionary, C., 2020. DATA | Meaning In The Cambridge English Dictionary. [online] Dictionary.cambridge.org. Obtenido de: <https://dictionary.cambridge.org/dictionary/english/data#dataset-cald4> [Accesible 4 June 2020]. | |
| dc.relation | EASSA, Ahmed M., et al. NoSQL Injection Attack Detection in Web Applications Using RESTful Service. Programming and Computer Software, 2018, vol. 44, no 6, p. 435-444.Obtenido de: <https://link.springer.com/article/10.1134/S036176881901002X> [Accesible 4 June 2020]. | |
| dc.relation | Ecured.cu. 2020. Atributo (Informática) - Ecured. [online] Available at: <https://www.ecured.cu/Atributo_(inform%C3%A1tica)> [Accessed 4 August 2020]. | |
| dc.relation | Erb, M., 2020. 7. Análisis De Riesgo. [online] Gestión de Riesgo en la Seguridad Informática. Available at: <https://protejete.wordpress.com/gdr_principal/analisis_riesgo/> [Accessed 4 August 2020]. | |
| dc.relation | Everac99, 2008. Alta Disponibilidad: Qué Es Y Cómo Se Logra. [online] ::everac99. Available at: <https://everac99.wordpress.com/2008/08/19/alta- disponibilidad-que-es-y-como-se-logra/> [Accessed 4 August 2020]. | |
| dc.relation | EYMAR SILVA, 2017. [online] Repository.unad.edu.co. Available at: <https://repository.unad.edu.co/bitstream/handle/10596/14277/74375013.pdf?sequ ence=1&isAllowed=y> [Accessed 27 August 2020]. | |
| dc.relation | First, 2020. CVSS V3.1 Specification Document. [online] FIRST — Forum of Incident Response and Security Teams. Obtenido de: <https://www.first.org/cvss/v3.1/specification-document> [Accesible 4 June 2020]. | |
| dc.relation | Guru99, 2020. What Is Database? What Is SQL?. [online] Guru99.com. Obtenido de: <https://www.guru99.com/introduction-to-database-sql.html> [Accesible 4 June 2020]. | |
| dc.relation | Guru99, 2020. What Is Mongodb? Introduction, Architecture, Features & Example. [online] Guru99.com. Obtenido de: <https://www.guru99.com/what-is- mongodb.html> [Accesible 4 June 2020]. | |
| dc.relation | GUPTA, Shrankhla; SINGH, Nikhil Kumar; TOMAR, Deepak Singh. Analysis of NoSQL Database Vulnerabilities. En Proceedings of 3rd International Conference on Internet of Things and Connected Technologies (ICIoTCT). 2018. p. 26-27. Obtenido de: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3172769> [Accesible 4 June 2020]. | |
| dc.relation | Hou, B., Qian, K., Li, L. and Shi, Y., 2016. Mongodb Nosql Injection Analysis And Detection - IEEE Conference Publication. [online] Ieeexplore.ieee.org. Obtenido de: <https://ieeexplore.ieee.org/abstract/document/7545900/authors#authors> [Accesible 4 June 2020]. | |
| dc.relation | IICS, 2020. Concientización De Ciberseguridad Seguridad Informática De Información. [online] IICS. Available at: <https://www.iicybersecurity.com/concientizacion-ciberseguridad-seguridad- informatica.html> [Accessed 4 August 2020]. | |
| dc.relation | INFOSEGUR, 2013. Confidencialidad – Seguridad Informática. [online] Seguridad Informática. Available at: <https://infosegur.wordpress.com/tag/confidencialidad/> [Accessed 4 August 2020]. | |
| dc.relation | Intellipaat, 2016. What Is Cassandra - An Introduction To Apache Cassandra. [online] Intellipaat Blog. Obtenido de: <https://intellipaat.com/blog/what-is-apache- cassandra/> [Accesible 4 June 2020]. | |
| dc.relation | Java T Point, 2011. DBMS SQL Introduction - Javatpoint. [online] www.javatpoint.com. Obtenido de: <https://www.javatpoint.com/dbms-sql- introduction> [Accesible 4 June 2020]. | |
| dc.relation | Jonathan P, 2015. [online] Apps.dtic.mil. Available at: <https://apps.dtic.mil/sti/pdfs/AD1009288.pdf> [Accessed 27 August 2020]. | |
| dc.relation | Juntadeandalucia, 2020. Conceptos Sobre La Escalabilidad | Marco De Desarrollo De La Junta De Andalucía. [online] Juntadeandalucia.es. Available at: <http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/220#:~:text= Se%20entiende%20por%20escalabilidad%20a,n%C3%BAmero%20de%20usuario s%20del%20mismo.> [Accessed 4 August 2020]. | |
| dc.relation | Malwarebytes, 2020. ¿Qué Es El Malware? | Malwarebytes. [online] Malwarebytes. Available at: <https://es.malwarebytes.com/malware/> [Accessed 4 August 2020]. | |
| dc.relation | Marin de la Fuente, J., 2019. ¿Qué Es Nmap? Por Qué Necesitas Este Mapeador De Red. [online] José Marin de la Fuente. Available at: <https://www.marindelafuente.com.ar/que-es-nmap-por-que-necesitas-este- mapeador-de-red/> [Accessed 13 November 2020]. | |
| dc.relation | Microsoft, 2019. Tablas - SQL Server. [online] Docs.microsoft.com. Available at: <https://docs.microsoft.com/es-es/sql/relational-databases/tables/tables?view=sql- server- ver15#:~:text=Las%20tablas%20son%20objetos%20de,que%20contienen%20tod os%20sus%20datos.&text=En%20las%20tablas%2C%20los%20datos,un%20cam po%20dentro%20del%20registro.> [Accessed 4 August 2020]. | |
| dc.relation | MinTic, 2012. [online] Mintic.gov.co. Available at: <https://www.mintic.gov.co/portal/604/articles-4274_documento.pdf> [Accessed 28 October 2020]. | |
| dc.relation | MongoDB, 2020. Nosql Databases Explained. [online] MongoDB. Obtenido de: <https://www.mongodb.com/nosql-explained> [Accesible 4 June 2020]. | |
| dc.relation | MongoDB Alerts. 2020. Mongodb Alerts. [online] MongoDB. Obtenido de: <https://www.mongodb.com/alerts> [Accesible 4 June 2020] | |
| dc.relation | Neuvoo.com.mx. 2020. ¿Qué Hace Un Administrador De Bases De Datos?. [online] Available at: <https://neuvoo.com.mx/neuvooPedia/es/administrador-de- bases-de-datos/> [Accessed 4 August 2020]. | |
| dc.relation | Oracle, 2020. Privilegios (Descripción General) - Guía De Administración Del Sistema: Servicios De Seguridad. [online] Docs.oracle.com. Available at: <https://docs.oracle.com/cd/E24842_01/html/E23286/prbac-2.html> [Accessed 4 August 2020]. | |
| dc.relation | Owasp, 2017. [online] Wiki.owasp.org. Available at: <https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf> [Accessed 31 August 2020]. | |
| dc.relation | Quanti, 2020. ¿Qué Es Load Balance O Balance De Carga?. [online] Quanti. Available at: <https://quanti.com.mx/2018/07/20/que-es-load-balance-o-balance- de-carga/> [Accessed 20 July 2018]. | |
| dc.relation | Perez Prieto, J., 2020. Estilo De Codificación Y Buenas Prácticas — Documentación De Curso De Python Para Astronomia - 20191118. [online] Research.iac.es. Available at: <http://research.iac.es/sieinvens/python- course/source/estilo.html> [Accessed 4 August 2019]. | |
| dc.relation | Pagnotta, S., 2017. Continúa La Ola De Ataques Extorsivos Contra Bases De Datos Mongodb | Welivesecurity. [online] WeLiveSecurity. Obtenido de: <https://www.welivesecurity.com/la-es/2017/09/07/ataques-extorsivos-bases-de- datos-mongodb/> [Accesible 4 June 2020]. | |
| dc.relation | Poggi, N., 2018. 24 Estadísticas De Seguridad Informática Que Importan En El 2019 - The Missing Report. [online] The Missing Report. Obtenido de: <https://preyproject.com/blog/es/24-estadisticas-seguridad-informatica-2019/> [Accesible 4 June 2020]. | |
| dc.relation | Raffino, M., 2020. Dato En Informática: Concepto, Tipos Y Ejemplos. [online] Concepto.de. Obtenido de: <https://concepto.de/dato-en-informatica/> [Accesible 4 June 2020]. | |
| dc.relation | Redis, 2020. Redis. [online] Redis.io. Obtenido de: <https://redis.io/> [Accesible 4 June 2020]. | |
| dc.relation | Redis Security, 2020. Redis Security – Redis. [online] Redis.io. Available at: <https://redis.io/topics/security#string-escaping-and-nosql-injection> [Accessed 17 November 2020]. | |
| dc.relation | RavenDB, 2020. Why Are So Many Nosql Databases Getting Hacked? | Ravendb Nosql. [online] Ravendb.net. Obtenido de: <https://ravendb.net/articles/why-are-so- many-nosql-databases-getting-hacked> [Accessed 5 June 2020]. | |
| dc.relation | Rouse, M., 2020. What Is A Database Management System? - Definition From Whatis.Com. [online] SearchSQLServer. Obtenido de: <https://searchsqlserver.techtarget.com/definition/database-management-system> [Accesible 4 June 2020]. | |
| dc.relation | ScaleGrid, 2019. 2019 Database Trends - SQL Vs. Nosql, Top Databases, Single Vs. Multiple Database Use. [online] Scalegrid.io. Obtenido de: <https://scalegrid.io/blog/2019-database-trends-sql-vs-nosql-top-databases-single- vs-multiple-database-use/> [Accesible 4 June 2020]. | |
| dc.relation | Stack Overflow, 2017. Stack Overflow Developer Survey 2017. [online] Stack Overflow. Obtenido de: <https://insights.stackoverflow.com/survey/2017/>[Accesible 4 June 2020]. | |
| dc.relation | Studytonight, 2020. Components Of DBMS (Database Management System) | Studytonight. [online] Studytonight.com. Obtenido de: <https://www.studytonight.com/dbms/components-of-dbms.php> [Accesible 4 June 2020]. | |
| dc.relation | SQLcourse, 2019. 2019 Database Trends - SQL Vs. Nosql, Top Databases, Single Vs. Multiple Database Use. [online] Scalegrid.io. Obtenido de: <https://scalegrid.io/blog/2019-database-trends-sql-vs-nosql-top-databases-single- vs-multiple-database-use/>[Accesible 4 June 2020]. | |
| dc.relation | Segurinformacion, 2018. Seguridad De Redes Y Contramedidas. [online] Sites.google.com. Available at: <https://sites.google.com/site/segurinformacion/> [Accessed 4 August 2020]. | |
| dc.relation | TechNet, E., 2016. ¿Cómo Mejorar El Rendimiento De Mi Base De Datos?. [online] Executrain.com.mx. Available at: <https://www.executrain.com.mx/blog/microsoft/item/como-mejorar-el-rendimiento- de-mi-base-de-datos> [Accessed 4 August 2020]. | |
| dc.relation | Techopedia, 2019. What Is A Database Management System (DBMS)? - Definition From Techopedia. [online] Techopedia.com. Obtenido de: <https://www.techopedia.com/definition/24361/database-management-systems- dbms> [Accesible 4 June 2020]. | |
| dc.relation | TUNGGAL, A., 2020. What Is A Vulnerability?. [online] Upguard.com. Obtenido de: <https://www.upguard.com/blog/vulnerability> [Accesible 4 June 2020]. | |
| dc.relation | TUNGGAL, A., 2020. What Is A Cyber Threat?. [online] Upguard.com. Obtenido de: <https://www.upguard.com/blog/cyber-threat> [Accesible 4 June 2020]. | |
| dc.relation | Underc0de, 2019. Legion Una Herramienta De Prueba De Penetración De Red Fácil De Usar. [online] Underc0de.org. Available at: <https://underc0de.org/foro/hacking/t38960/#:~:text=Legion%20Una%20herramien ta%20de%20prueba%20de%20penetraci%C3%B3n%20de%20red%20f%C3%A1c il%20de%20usar,- en%3A%20Marzo%2007&text=Legion%2C%20una%20bifurcaci%C3%B3n%20de %20la,explotaci%C3%B3n%20de%20sistemas%20de%20informaci%C3%B3n.> [Accessed 13 November 2020]. | |
| dc.relation | Wiki, 2020. Kali Linux. [online] Es.wikipedia.org. Available at: <https://es.wikipedia.org/wiki/Kali_Linux> [Accessed 4 August 2020]. | |
| dc.relation | Wiki, 2020. Escáner De Vulnerabilidades. [online] Es.wikipedia.org. Available at: <https://es.wikipedia.org/wiki/Esc%C3%A1ner_de_vulnerabilidades> [Accessed 4 August 2020]. | |
| dc.relation | wordpress, p., 2020. 6. Amenazas Y Vulnerabilidades. [online] Gestión de Riesgo en la Seguridad Informática. Available at: <https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/> [Accessed 4 August 2020]. | |
| dc.relation | Zaforas, M., 2016. Cassandra, La Dama De Las Bases De Datos Nosql. [online] Paradigmadigital.com. Available at: <https://www.paradigmadigital.com/dev/cassandra-la-dama-de-las-bases-de- datos-nosql/> [Accessed 4 August 2020]. | |
| dc.rights | info:eu-repo/semantics/openAccess | |
| dc.rights | Atribución-NoComercial 4.0 Internacional (CC BY-NC 4.0) | |
| dc.rights | https://creativecommons.org/licenses/by-nc/4.0/ | |
| dc.rights | Derechos Reservados - Universidad Católica de Colombia, 2020 | |
| dc.title | Evaluación de seguridad de gestores de bases de datos Nosql MongoDB, Redis y Cassandra | |
| dc.type | Trabajo de grado - Pregrado | |
