Trabajo de grado - Maestría
Diseño y validación de un framework de pentesting y recomendador deliberativo para la construcción de software seguro en aplicaciones empresariales
Registro en:
Universidad de Caldas
Repositorio institucional Universidad de Caldas
Autor
Gutiérrez Gallego, David Leonardo
Institución
Resumen
Ilustraciones, gráficas spa: Black Hat, scripts kiddies y diferentes tipos de hackers o adversarios con malas intenciones, usan las debilidades de aplicaciones de software para el robo de información sensible de clientes, elevar accesos que permitan el control de sistemas de los que no se tiene privilegio, y llegar a pérdidas costosas para las organizaciones.
El proceso de pruebas de penetración en ambientes de desarrollo de aplicaciones es un procedimiento que ejecuta pruebas haciendo ataques deliberativos para comprometer la seguridad de un sistema, mismas técnicas que usan los cibercriminales.
De ahí que se propone diseñar un marco de trabajo basado en la metodología propuesta de la Open Web Application Security Project – OWASP Testing Guide, que permita incluir las pruebas de penetración de seguridad dentro del ciclo de desarrollo de software de las empresas con modelo de recomendación deliberativo, haciendo uso de razonamiento basado en casos Case-based reasoning – CBR como método para la resolución de vulnerabilidades de las aplicaciones en ambientes empresariales de construcción de software. eng: Black Hat, Script kiddie and different types of hackers or adversaries with bad intentions use the weaknesses of software applications to steal sensitive customer information, increase accesses that allow the control of systems that do not have privileges and reach costly losses for organizations.
The penetration testing process in application development environments is a procedure that performs tests by deliberative attacks to compromise the security of a system, the same techniques that cybercriminals use.
This work proposes to design a framework based on the proposed methodology of the Open Web Application Security Project – OWASP Testing Guide that allows the inclusion of security penetration tests within the software development cycle of companies with a deliberative recommendation model making use of case-based reasoning. Case-based reasoning – CBR as a method for solving vulnerabilities in applications that are developed in business environments for software construction. Resumen/ Introducción / Capítulo1. Planteamiento del Problema/ Campo temático/ Justificación/ Objetivos/ Objetivo General/.Objetivos Específicos./ Capítulo 2. Marco Teórico y Estado del Arte / Bases Teóricas/ Seguridad informática/El S-SDCL (Ciclo de vida del desarrollo del software seguro)/Pentesting/ Metodologías y estándares de seguridad / OWASP / OWASP Testing Project/ Arquitectura modelo-vista-controlador / Razonamiento basado en casos/ JColibri / Machine learning / KNN (K nearest neighbor) / Bases de datos de vulnerabilidades / 5 Estado del Arte / Capítulo 3. Metodología / Capítulo 4. Materiales y Métodos/ Capítulo 5. Diseño del Modelo de Pentesting/ Vista General/ Vista Detallada / Vista Desarrollo/Capítulo 6. Implementación del Prototipo de Framework de Pentesting/ Fase 1: Implementación pentesting-tools-project / Fase 2: Implementación del proyecto cbr-pentesting/ Fase 3: Despliegue y Ejecución del Prototipo/ Capítulo 7. Validación del Prototipo de Framework de Pentesting / Evaluación del Prototipo de Implementación del Modelo de Pentesting Autónomo Basado en Recomendaciones Deliberativas / Resultado de la Evaluación del CBR de Pentesting/ Capítulo 8. Conclusiones/ Capítulo 9. Líneas Futuras/ Bibliografía / Anexos / Anexo 1. Repositorio de Código y Estructura del Prototipo/ Anexo 2. Ejemplo Script de Despliegue para Ejecución Automática/ Anexo 3. Ejemplo Implementación del API ZAProxy / Anexo 4. Código de Ejecución de los Métodos Evaluadores del CBR/ 6 Anexo 5. Código de Configuración de Similitud del CBR/ Anexo 6. Imágenes de la Aplicación Web Juice-shop. Maestría Se realizará publicación científica (artículo,
ponencia, otro) Magister en Ingeniería Computacional