Mostrar el registro sencillo del ítem

Diseño y validación de un framework de pentesting y recomendador deliberativo para la construcción de software seguro en aplicaciones empresariales

dc.contributor.advisorIsaza, Gustavo
dc.contributor.authorGutiérrez Gallego, David Leonardo
dc.date.accessioned2021-09-01T14:55:38Z
dc.date.available2021-09-01T14:55:38Z
dc.date.issued2021-08-30
dc.identifier.urihttps://repositorio.ucaldas.edu.co/handle/ucaldas/17107
dc.descriptionIlustraciones, gráficasspa
dc.description.abstractspa: Black Hat, scripts kiddies y diferentes tipos de hackers o adversarios con malas intenciones, usan las debilidades de aplicaciones de software para el robo de información sensible de clientes, elevar accesos que permitan el control de sistemas de los que no se tiene privilegio, y llegar a pérdidas costosas para las organizaciones. El proceso de pruebas de penetración en ambientes de desarrollo de aplicaciones es un procedimiento que ejecuta pruebas haciendo ataques deliberativos para comprometer la seguridad de un sistema, mismas técnicas que usan los cibercriminales. De ahí que se propone diseñar un marco de trabajo basado en la metodología propuesta de la Open Web Application Security Project – OWASP Testing Guide, que permita incluir las pruebas de penetración de seguridad dentro del ciclo de desarrollo de software de las empresas con modelo de recomendación deliberativo, haciendo uso de razonamiento basado en casos Case-based reasoning – CBR como método para la resolución de vulnerabilidades de las aplicaciones en ambientes empresariales de construcción de software.spa
dc.description.abstracteng: Black Hat, Script kiddie and different types of hackers or adversaries with bad intentions use the weaknesses of software applications to steal sensitive customer information, increase accesses that allow the control of systems that do not have privileges and reach costly losses for organizations. The penetration testing process in application development environments is a procedure that performs tests by deliberative attacks to compromise the security of a system, the same techniques that cybercriminals use. This work proposes to design a framework based on the proposed methodology of the Open Web Application Security Project – OWASP Testing Guide that allows the inclusion of security penetration tests within the software development cycle of companies with a deliberative recommendation model making use of case-based reasoning. Case-based reasoning – CBR as a method for solving vulnerabilities in applications that are developed in business environments for software construction.eng
dc.description.tableofcontentsResumen/ Introducción / Capítulo1. Planteamiento del Problema/ Campo temático/ Justificación/ Objetivos/ Objetivo General/.Objetivos Específicos./ Capítulo 2. Marco Teórico y Estado del Arte / Bases Teóricas/ Seguridad informática/El S-SDCL (Ciclo de vida del desarrollo del software seguro)/Pentesting/ Metodologías y estándares de seguridad / OWASP / OWASP Testing Project/ Arquitectura modelo-vista-controlador / Razonamiento basado en casos/ JColibri / Machine learning / KNN (K nearest neighbor) / Bases de datos de vulnerabilidades / 5 Estado del Arte / Capítulo 3. Metodología / Capítulo 4. Materiales y Métodos/ Capítulo 5. Diseño del Modelo de Pentesting/ Vista General/ Vista Detallada / Vista Desarrollo/Capítulo 6. Implementación del Prototipo de Framework de Pentesting/ Fase 1: Implementación pentesting-tools-project / Fase 2: Implementación del proyecto cbr-pentesting/ Fase 3: Despliegue y Ejecución del Prototipo/ Capítulo 7. Validación del Prototipo de Framework de Pentesting / Evaluación del Prototipo de Implementación del Modelo de Pentesting Autónomo Basado en Recomendaciones Deliberativas / Resultado de la Evaluación del CBR de Pentesting/ Capítulo 8. Conclusiones/ Capítulo 9. Líneas Futuras/ Bibliografía / Anexos / Anexo 1. Repositorio de Código y Estructura del Prototipo/ Anexo 2. Ejemplo Script de Despliegue para Ejecución Automática/ Anexo 3. Ejemplo Implementación del API ZAProxy / Anexo 4. Código de Ejecución de los Métodos Evaluadores del CBR/ 6 Anexo 5. Código de Configuración de Similitud del CBR/ Anexo 6. Imágenes de la Aplicación Web Juice-shop.spa
dc.format.mimetypeapplication/pdfspa
dc.language.isoengspa
dc.language.isospaspa
dc.titleDiseño y validación de un framework de pentesting y recomendador deliberativo para la construcción de software seguro en aplicaciones empresarialesspa
dc.typeTrabajo de grado - Maestríaspa
dc.description.degreelevelMaestríaspa
dc.description.notesSe realizará publicación científica (artículo, ponencia, otro)spa
dc.identifier.instnameUniversidad de Caldasspa
dc.identifier.reponameRepositorio institucional Universidad de Caldasspa
dc.identifier.repourlhttps://repositorio.ucaldas.edu.co/spa
dc.publisher.facultyFacultad de Ingenieríaspa
dc.publisher.placeManizalesspa
dc.relation.referencesAccenture. (2019). The cost of cybercrime. Recuperado de: https://www.accenture.com/_ acnmedia/pdf-96/haccenture-2019-cost-of-cybercrimestudy-final.pdfspa
dc.relation.referencesAljawarneh, S. (2011). A web engineering security methodology for e-learning systems. Network Security, 2011(3), 12–15. Recuperado de: https://doi.org/10.1016/S1353-4858(11)70026-5spa
dc.relation.referencesAljawarneh, S. A.; Alawneh, A. & Jaradat, R. (2017). Cloud security engineering: Early stages of SDLC. Future Generation Computer Systems. Recuperado de: https://doi.org/10.1016/j.future.2016.10.005spa
dc.relation.referencesAlmubairik, N. A. & Wills, G. (2016). Automated penetration testing based on a threat model. 11th International Conference for Internet Technology and Secured Transactions (ICITST) 413–414. Recuperado de: https://doi.org/10.1109/ICITST.2016.7856742spa
dc.relation.referencesAmit, I. (2014, agosto). Main page. High Level Organization of the Standard. Recuperado de: http://www.pentest-standard.org/index.php/Main_Pagespa
dc.relation.referencesAPI Reference. (s.f.). Zaproxy.Org. Recuperado de: https://www.zaproxy.org/docs/api/spa
dc.relation.referencesArkin, B.; Stender, S. & McGraw, G. (2005). Software penetration testing. IEEE Security Privacy, 3(1), 84–87. Recuperado de: https://doi.org/10.1109/MSP.2005.23spa
dc.relation.referencesBello-Tomás, J. J.; González-Calero, P. A. &. (2004). JColibri: an object-oriented framework for building CBR systems. Advances in Case-Based Reasoning, 32–46. Recuperado de: https://doi.org/10.1007/978-3-540-28631-8_4spa
dc.relation.referencesBüchler et al. (2012). Semi-automatic security testing of web applications from a secure model. IEEE. Sixth International Conference on Software Security and Reliability, 253–262. Recuperado de: https://doi.org/10.1109/SERE.2012.38.spa
dc.relation.referencesChapple, M. (2014). An intro to automated penetration testing. Recuperado de: http://searchsecurity.techtarget.comltipiAn-intro-to-automated-penetrationtesting.spa
dc.relation.referencesChlis, N. K. (2013). Comparison of Statistical Methods for Genomic Signature Extraction. https://doi.org/10.13140/2.1.2230.6563spa
dc.relation.referencesDeepa, G. & Thilagam, P. S. (2016). Securing web applications from injection and logic vulnerabilities: Approaches and challenges. Information and Software Technology, 74, 160– 180. Recuperado de: https://doi.org/10.1016/j.infsof.2016.02.005spa
dc.relation.referencesDey, A. (2016). Machine learning algorithms. A Review, 7, 6spa
dc.relation.referencesDiario El Espectador (2017, mayo 17). Así llegó Wannacry a Colombia. Recuperado de: http://www.elespectador.com/noticias/judicial/asi-llego-wannacry-colombia-articulo-694262spa
dc.relation.referencesDíaz-Agudo, B.; González-Calero, P. A.; Recio-García, J. A. & Sánchez-Ruiz-Granados, A. A. (2007). Building CBR systems with jcolibri. Science of Computer Programming, 69(1–3), 68–75. Recuperado de: https://doi.org/10.1016/j.scico.2007.02.004spa
dc.relation.referencesFernández-Medina, E.; Jurjens, J.; Trujillo, J. & Jajodia, S. (2009). Model-Driven Development for secure information systems. Information and Software Technology, 51(5), 809–814. Recuperado de: https://doi.org/10.1016/j.infsof.2008.05.010spa
dc.relation.referencesFortinet. (2021). América Latina sufrió más de 41 billones de intentos de ciberataques en 2020. Recuperado de: https://www.fortinet.com/lat/corporate/about-us/newsroom/pressreleases/2021/latin-america-suffered-more-than-41-billion-cyberattack-attempts-in-2020spa
dc.relation.referencesFowler, M. (2006). GUI Architectures. Recuperado de: https://martinfowler.com/eaaDev/uiArchs.htmlspa
dc.relation.referencesGlobal Threat Intelligence – GTIR. (2020). Reporte 2020. Recuperado de: https://hello.global.ntt/en-us/insights/2020-global-threat-intelligence-reportspa
dc.relation.referencesGranova, A. & Slaviero, M. (2017). Chapter 83—Cyber Warfare. In: J. R. Vacca (Ed.). Computer and information security handbook (third edition). Morgan Kaufmann. Recuperado de: https://doi.org/10.1016/B978-0-12-803843-7.00083-1spa
dc.relation.referencesGuo, G.; Wang, H.; Bell, D.; Bi, Y. & Greer, K. (2003). KNN Model-Based Approach in Classification. In: Meersman, R.; Tari, Z. & Schmidt, D. C. (Eds.). The move to meaningful internet systems. CoopIS, DOA and ODBASE. (986–996). Springer Berlin Heidelberg.spa
dc.relation.referencesHan, J.; Kamber, M. & Pei, J. (2012). Data mining: concepts and techniques. (3a. Ed.). Morgan Kaufmann Publishers Inc.spa
dc.relation.referencesHern, A. & Gibbs, S. (2017). ¿What is WannaCry ransomware and why is it attacking global computers? Recuperado de: https://www.theguardian.com/technology/2017/may/12/nhsransomware-cyber-attack-what-is-wanacrypt0r-20spa
dc.relation.referencesHerzog, P. (2010). OSSTMM 3 – the open-source security testing methodology manual. Recuperado de: https://www.isecom.org/OSSTMM.3.pdfspa
dc.relation.referencesKhan, M. & Zulkernine, M. (2009). A survey on requirements and design methods for secure software development. Recuperado de: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.498.2950&rep=rep1&type=pdfspa
dc.relation.referencesKimminich, B. (2021). Juice shop - insecure web application for training. Recuperado de: https://github.com/OWASP/www-project-juice-shop/blob/master/index.md .spa
dc.relation.referencesKissel, R. (2011). Glossary of key information security terms. Diane Publishing. Recuperado de: http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=913810spa
dc.relation.referencesLeyden, J. (2020). Web application attacks rise to account for almost half of all data breaches. The Daily Swig. Recuperado de: https://portswigger.net/daily-swig/web-application-attacksrise-to-account-for-almost-half-of-all-data-breachesspa
dc.relation.referencesMoradian, E. (2009). System engineering security. In: Velásquez, J. D.; Ríos, S. A.; Howlett, R. J. & Jain, L. C. (Eds.). Knowledge-based and intelligent information and engineering systems (821–828). Springer Berlin Heidelberg. Recuperado de: https://doi.org/10.1007/978-3-642- 04592-9_102spa
dc.relation.referencesMuller, A. & Meucci, M. (2020). OWASP testing guide 4.2. Recuperado de: https://www.owasp.org/images/1/19/OTGv4.pdfspa
dc.relation.referencesNiño, M. P. (2018). Penetration testing. Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá. Recuperado de: https://tic.bogota.gov.co/sites/default/files/seguridad-de-la-informacion/ambito2.pdfspa
dc.relation.referencesOspino, L.; Gómez, D. & García, A. (2020). Política nacional de confianza y seguridad digital. Documento CONPES 3995. Recuperado de: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdfspa
dc.relation.referencesOwasp. (s.f.). Vulnerability scanning tools. Recuperado de: https://owasp.org/wwwcommunity/Vulnerability_Scanning_Toolsspa
dc.relation.referencesPfleeger, C. P. & Pfleeger, S. L. (2007). Security in computing. 4th Ed. Upper Saddle River, NJ: Prentice Hall.spa
dc.relation.referencesRepública de Colombia. Ministerio de Tecnologías de la Información y las Comunicaciones - MINTIC. (2016). Guía metodológica de pruebas de efectividad. Recuperado de: https://gobiernodigital.mintic.gov.co/692/articles-150526_G1_Metodologia_pruebas_ efectividad.pdfspa
dc.relation.referencesSalini, P. & Kanmani, S. (2012). Security requirements engineering process for web applications. Procedia Engineering, 38, 2799–2807. Recuperado de: https://doi.org/10.1016/j.proeng.2012.06.328spa
dc.relation.referencesSammut, C. & Webb, G. I. (Eds.). (2010a). Hold out evaluation. Encyclopedia of Machine Learning (506–507). Springer US. Recuperado de: https://doi.org/10.1007/978-0-387-30164- 8_369spa
dc.relation.referencesSammut, C. & Webb, G. I. (Eds.). (2010b). Leave-One-Out Cross-Validation. Encyclopedia of Machine Learning (600–601). Springer US. Recuperado de: https://doi.org/10.1007/978-0- 387-30164-8_469spa
dc.relation.referencesScarfone, K. A.; Souppaya, M. P.; Cody, A. & Orebaugh, A. D. (2008). Technical guide to information security testing and assessment. National Institute of Standards and Technology 84 NIST SP 800-115. Recuperado de: https://doi.org/10.6028/NIST.SP.800-115spa
dc.relation.referencesSYMANTEC. (2016). Internet security threat report – ISTR 21. Recuperado de: https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdfspa
dc.relation.referencesTung, Y. H.; Lo, S. C.; Shih, J. F. & Lin, H. F. (2016). An integrated security testing framework for secure software development life cycle. 18th Asia-Pacific Network Operations and Management Symposium (APNOMS) (1–4). Recuperado de: https://doi.org/10.1109/APNOMS.2016.7737238spa
dc.relation.referencesUzunov, A. V.; Falkner, K. & Fernández, E. B. (2015). A comprehensive pattern-oriented approach to engineering security methodologies. Information and Software Technology, 57, 217–247. Recuperado de: https://doi.org/10.1016/j.infsof.2014.09.001spa
dc.relation.referencesVerizon. (2020). Informe de investigación de violación de datos. Recuperado de: https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdfspa
dc.relation.referencesXing, W. & Bei, Y. (2020). Medical health big data classification based on KNN classification algorithm. IEEE Access, 8, 28808–28819. Recuperado de: https://doi.org/10.1109/ACCESS.2019.2955754spa
dc.relation.referencesYeo, J. (2013). Using penetration testing to enhance your company’s security. Computer Fraud & Security, (4), 17–20.spa
dc.relation.referencesYujian, L. & Bo, L. (2007). A normalized levenshtein distance metric. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(6), 1091–1095. doi:10.1109/tpami.2007.1078spa
dc.relation.referencesZhu, J.; Xie, J.; Lipford, H. R. & Chu, B. (2014). Supporting secure programming in web applications through interactive static analysis. Journal of Advanced Research, 5(4), 449–462. Recuperado de: https://doi.org/10.1016/j.jare.2013.11.006spa
dc.rights.accessrightsinfo:eu-repo/semantics/closedAccessspa
dc.subject.lembInformática
dc.subject.lembCibernética
dc.subject.lembSoftware
dc.subject.proposalAplicaciones webspa
dc.subject.proposalCiberataquesspa
dc.subject.proposalRazonamientospa
dc.subject.proposalSeguridad informáticaspa
dc.type.contentTextspa
dc.type.driverinfo:eu-repo/semantics/masterThesisspa
dc.type.redcolhttps://purl.org/redcol/resource_type/TMspa
dc.type.versioninfo:eu-repo/semantics/publishedVersionspa
oaire.versionhttp://purl.org/coar/version/c_ab4af688f83e57aaspa
oaire.accessrightshttp://purl.org/coar/access_right/c_14cbspa
dc.description.degreenameMagister en Ingeniería Computacionalspa
dc.publisher.programMaestría en Ingeniería Computacionalspa


Ficheros en el ítem

Thumbnail
Nombre:
DavidLeonardo_GutierrezGallego ...
Tamaño:
1.859Mb
Formato:
PDF
Descripción:
DavidLeonardo_GutierrezGallego ...
Ver/
Thumbnail
Nombre:
DavidLeonardo_GutierrezGallego ...
Tamaño:
420.6Kb
Formato:
PDF
Descripción:
Acta de sustentación
Ver/
Thumbnail
Nombre:
carta-autorizacion-publicacion ...
Tamaño:
238.6Kb
Formato:
PDF
Descripción:
Carta de autorización
Ver/

Este ítem aparece en la(s) siguiente(s) colección(ones)

Mostrar el registro sencillo del ítem