Mostrar el registro sencillo del ítem
Diseño y validación de un framework de pentesting y recomendador deliberativo para la construcción de software seguro en aplicaciones empresariales
dc.contributor.advisor | Isaza, Gustavo | |
dc.contributor.author | Gutiérrez Gallego, David Leonardo | |
dc.date.accessioned | 2021-09-01T14:55:38Z | |
dc.date.available | 2021-09-01T14:55:38Z | |
dc.date.issued | 2021-08-30 | |
dc.identifier.uri | https://repositorio.ucaldas.edu.co/handle/ucaldas/17107 | |
dc.description | Ilustraciones, gráficas | spa |
dc.description.abstract | spa: Black Hat, scripts kiddies y diferentes tipos de hackers o adversarios con malas intenciones, usan las debilidades de aplicaciones de software para el robo de información sensible de clientes, elevar accesos que permitan el control de sistemas de los que no se tiene privilegio, y llegar a pérdidas costosas para las organizaciones. El proceso de pruebas de penetración en ambientes de desarrollo de aplicaciones es un procedimiento que ejecuta pruebas haciendo ataques deliberativos para comprometer la seguridad de un sistema, mismas técnicas que usan los cibercriminales. De ahí que se propone diseñar un marco de trabajo basado en la metodología propuesta de la Open Web Application Security Project – OWASP Testing Guide, que permita incluir las pruebas de penetración de seguridad dentro del ciclo de desarrollo de software de las empresas con modelo de recomendación deliberativo, haciendo uso de razonamiento basado en casos Case-based reasoning – CBR como método para la resolución de vulnerabilidades de las aplicaciones en ambientes empresariales de construcción de software. | spa |
dc.description.abstract | eng: Black Hat, Script kiddie and different types of hackers or adversaries with bad intentions use the weaknesses of software applications to steal sensitive customer information, increase accesses that allow the control of systems that do not have privileges and reach costly losses for organizations. The penetration testing process in application development environments is a procedure that performs tests by deliberative attacks to compromise the security of a system, the same techniques that cybercriminals use. This work proposes to design a framework based on the proposed methodology of the Open Web Application Security Project – OWASP Testing Guide that allows the inclusion of security penetration tests within the software development cycle of companies with a deliberative recommendation model making use of case-based reasoning. Case-based reasoning – CBR as a method for solving vulnerabilities in applications that are developed in business environments for software construction. | eng |
dc.description.tableofcontents | Resumen/ Introducción / Capítulo1. Planteamiento del Problema/ Campo temático/ Justificación/ Objetivos/ Objetivo General/.Objetivos Específicos./ Capítulo 2. Marco Teórico y Estado del Arte / Bases Teóricas/ Seguridad informática/El S-SDCL (Ciclo de vida del desarrollo del software seguro)/Pentesting/ Metodologías y estándares de seguridad / OWASP / OWASP Testing Project/ Arquitectura modelo-vista-controlador / Razonamiento basado en casos/ JColibri / Machine learning / KNN (K nearest neighbor) / Bases de datos de vulnerabilidades / 5 Estado del Arte / Capítulo 3. Metodología / Capítulo 4. Materiales y Métodos/ Capítulo 5. Diseño del Modelo de Pentesting/ Vista General/ Vista Detallada / Vista Desarrollo/Capítulo 6. Implementación del Prototipo de Framework de Pentesting/ Fase 1: Implementación pentesting-tools-project / Fase 2: Implementación del proyecto cbr-pentesting/ Fase 3: Despliegue y Ejecución del Prototipo/ Capítulo 7. Validación del Prototipo de Framework de Pentesting / Evaluación del Prototipo de Implementación del Modelo de Pentesting Autónomo Basado en Recomendaciones Deliberativas / Resultado de la Evaluación del CBR de Pentesting/ Capítulo 8. Conclusiones/ Capítulo 9. Líneas Futuras/ Bibliografía / Anexos / Anexo 1. Repositorio de Código y Estructura del Prototipo/ Anexo 2. Ejemplo Script de Despliegue para Ejecución Automática/ Anexo 3. Ejemplo Implementación del API ZAProxy / Anexo 4. Código de Ejecución de los Métodos Evaluadores del CBR/ 6 Anexo 5. Código de Configuración de Similitud del CBR/ Anexo 6. Imágenes de la Aplicación Web Juice-shop. | spa |
dc.format.mimetype | application/pdf | spa |
dc.language.iso | eng | spa |
dc.language.iso | spa | spa |
dc.title | Diseño y validación de un framework de pentesting y recomendador deliberativo para la construcción de software seguro en aplicaciones empresariales | spa |
dc.type | Trabajo de grado - Maestría | spa |
dc.description.degreelevel | Maestría | spa |
dc.description.notes | Se realizará publicación científica (artículo, ponencia, otro) | spa |
dc.identifier.instname | Universidad de Caldas | spa |
dc.identifier.reponame | Repositorio institucional Universidad de Caldas | spa |
dc.identifier.repourl | https://repositorio.ucaldas.edu.co/ | spa |
dc.publisher.faculty | Facultad de Ingeniería | spa |
dc.publisher.place | Manizales | spa |
dc.relation.references | Accenture. (2019). The cost of cybercrime. Recuperado de: https://www.accenture.com/_ acnmedia/pdf-96/haccenture-2019-cost-of-cybercrimestudy-final.pdf | spa |
dc.relation.references | Aljawarneh, S. (2011). A web engineering security methodology for e-learning systems. Network Security, 2011(3), 12–15. Recuperado de: https://doi.org/10.1016/S1353-4858(11)70026-5 | spa |
dc.relation.references | Aljawarneh, S. A.; Alawneh, A. & Jaradat, R. (2017). Cloud security engineering: Early stages of SDLC. Future Generation Computer Systems. Recuperado de: https://doi.org/10.1016/j.future.2016.10.005 | spa |
dc.relation.references | Almubairik, N. A. & Wills, G. (2016). Automated penetration testing based on a threat model. 11th International Conference for Internet Technology and Secured Transactions (ICITST) 413–414. Recuperado de: https://doi.org/10.1109/ICITST.2016.7856742 | spa |
dc.relation.references | Amit, I. (2014, agosto). Main page. High Level Organization of the Standard. Recuperado de: http://www.pentest-standard.org/index.php/Main_Page | spa |
dc.relation.references | API Reference. (s.f.). Zaproxy.Org. Recuperado de: https://www.zaproxy.org/docs/api/ | spa |
dc.relation.references | Arkin, B.; Stender, S. & McGraw, G. (2005). Software penetration testing. IEEE Security Privacy, 3(1), 84–87. Recuperado de: https://doi.org/10.1109/MSP.2005.23 | spa |
dc.relation.references | Bello-Tomás, J. J.; González-Calero, P. A. &. (2004). JColibri: an object-oriented framework for building CBR systems. Advances in Case-Based Reasoning, 32–46. Recuperado de: https://doi.org/10.1007/978-3-540-28631-8_4 | spa |
dc.relation.references | Büchler et al. (2012). Semi-automatic security testing of web applications from a secure model. IEEE. Sixth International Conference on Software Security and Reliability, 253–262. Recuperado de: https://doi.org/10.1109/SERE.2012.38. | spa |
dc.relation.references | Chapple, M. (2014). An intro to automated penetration testing. Recuperado de: http://searchsecurity.techtarget.comltipiAn-intro-to-automated-penetrationtesting. | spa |
dc.relation.references | Chlis, N. K. (2013). Comparison of Statistical Methods for Genomic Signature Extraction. https://doi.org/10.13140/2.1.2230.6563 | spa |
dc.relation.references | Deepa, G. & Thilagam, P. S. (2016). Securing web applications from injection and logic vulnerabilities: Approaches and challenges. Information and Software Technology, 74, 160– 180. Recuperado de: https://doi.org/10.1016/j.infsof.2016.02.005 | spa |
dc.relation.references | Dey, A. (2016). Machine learning algorithms. A Review, 7, 6 | spa |
dc.relation.references | Diario El Espectador (2017, mayo 17). Así llegó Wannacry a Colombia. Recuperado de: http://www.elespectador.com/noticias/judicial/asi-llego-wannacry-colombia-articulo-694262 | spa |
dc.relation.references | Díaz-Agudo, B.; González-Calero, P. A.; Recio-García, J. A. & Sánchez-Ruiz-Granados, A. A. (2007). Building CBR systems with jcolibri. Science of Computer Programming, 69(1–3), 68–75. Recuperado de: https://doi.org/10.1016/j.scico.2007.02.004 | spa |
dc.relation.references | Fernández-Medina, E.; Jurjens, J.; Trujillo, J. & Jajodia, S. (2009). Model-Driven Development for secure information systems. Information and Software Technology, 51(5), 809–814. Recuperado de: https://doi.org/10.1016/j.infsof.2008.05.010 | spa |
dc.relation.references | Fortinet. (2021). América Latina sufrió más de 41 billones de intentos de ciberataques en 2020. Recuperado de: https://www.fortinet.com/lat/corporate/about-us/newsroom/pressreleases/2021/latin-america-suffered-more-than-41-billion-cyberattack-attempts-in-2020 | spa |
dc.relation.references | Fowler, M. (2006). GUI Architectures. Recuperado de: https://martinfowler.com/eaaDev/uiArchs.html | spa |
dc.relation.references | Global Threat Intelligence – GTIR. (2020). Reporte 2020. Recuperado de: https://hello.global.ntt/en-us/insights/2020-global-threat-intelligence-report | spa |
dc.relation.references | Granova, A. & Slaviero, M. (2017). Chapter 83—Cyber Warfare. In: J. R. Vacca (Ed.). Computer and information security handbook (third edition). Morgan Kaufmann. Recuperado de: https://doi.org/10.1016/B978-0-12-803843-7.00083-1 | spa |
dc.relation.references | Guo, G.; Wang, H.; Bell, D.; Bi, Y. & Greer, K. (2003). KNN Model-Based Approach in Classification. In: Meersman, R.; Tari, Z. & Schmidt, D. C. (Eds.). The move to meaningful internet systems. CoopIS, DOA and ODBASE. (986–996). Springer Berlin Heidelberg. | spa |
dc.relation.references | Han, J.; Kamber, M. & Pei, J. (2012). Data mining: concepts and techniques. (3a. Ed.). Morgan Kaufmann Publishers Inc. | spa |
dc.relation.references | Hern, A. & Gibbs, S. (2017). ¿What is WannaCry ransomware and why is it attacking global computers? Recuperado de: https://www.theguardian.com/technology/2017/may/12/nhsransomware-cyber-attack-what-is-wanacrypt0r-20 | spa |
dc.relation.references | Herzog, P. (2010). OSSTMM 3 – the open-source security testing methodology manual. Recuperado de: https://www.isecom.org/OSSTMM.3.pdf | spa |
dc.relation.references | Khan, M. & Zulkernine, M. (2009). A survey on requirements and design methods for secure software development. Recuperado de: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.498.2950&rep=rep1&type=pdf | spa |
dc.relation.references | Kimminich, B. (2021). Juice shop - insecure web application for training. Recuperado de: https://github.com/OWASP/www-project-juice-shop/blob/master/index.md . | spa |
dc.relation.references | Kissel, R. (2011). Glossary of key information security terms. Diane Publishing. Recuperado de: http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=913810 | spa |
dc.relation.references | Leyden, J. (2020). Web application attacks rise to account for almost half of all data breaches. The Daily Swig. Recuperado de: https://portswigger.net/daily-swig/web-application-attacksrise-to-account-for-almost-half-of-all-data-breaches | spa |
dc.relation.references | Moradian, E. (2009). System engineering security. In: Velásquez, J. D.; Ríos, S. A.; Howlett, R. J. & Jain, L. C. (Eds.). Knowledge-based and intelligent information and engineering systems (821–828). Springer Berlin Heidelberg. Recuperado de: https://doi.org/10.1007/978-3-642- 04592-9_102 | spa |
dc.relation.references | Muller, A. & Meucci, M. (2020). OWASP testing guide 4.2. Recuperado de: https://www.owasp.org/images/1/19/OTGv4.pdf | spa |
dc.relation.references | Niño, M. P. (2018). Penetration testing. Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá. Recuperado de: https://tic.bogota.gov.co/sites/default/files/seguridad-de-la-informacion/ambito2.pdf | spa |
dc.relation.references | Ospino, L.; Gómez, D. & García, A. (2020). Política nacional de confianza y seguridad digital. Documento CONPES 3995. Recuperado de: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf | spa |
dc.relation.references | Owasp. (s.f.). Vulnerability scanning tools. Recuperado de: https://owasp.org/wwwcommunity/Vulnerability_Scanning_Tools | spa |
dc.relation.references | Pfleeger, C. P. & Pfleeger, S. L. (2007). Security in computing. 4th Ed. Upper Saddle River, NJ: Prentice Hall. | spa |
dc.relation.references | República de Colombia. Ministerio de Tecnologías de la Información y las Comunicaciones - MINTIC. (2016). Guía metodológica de pruebas de efectividad. Recuperado de: https://gobiernodigital.mintic.gov.co/692/articles-150526_G1_Metodologia_pruebas_ efectividad.pdf | spa |
dc.relation.references | Salini, P. & Kanmani, S. (2012). Security requirements engineering process for web applications. Procedia Engineering, 38, 2799–2807. Recuperado de: https://doi.org/10.1016/j.proeng.2012.06.328 | spa |
dc.relation.references | Sammut, C. & Webb, G. I. (Eds.). (2010a). Hold out evaluation. Encyclopedia of Machine Learning (506–507). Springer US. Recuperado de: https://doi.org/10.1007/978-0-387-30164- 8_369 | spa |
dc.relation.references | Sammut, C. & Webb, G. I. (Eds.). (2010b). Leave-One-Out Cross-Validation. Encyclopedia of Machine Learning (600–601). Springer US. Recuperado de: https://doi.org/10.1007/978-0- 387-30164-8_469 | spa |
dc.relation.references | Scarfone, K. A.; Souppaya, M. P.; Cody, A. & Orebaugh, A. D. (2008). Technical guide to information security testing and assessment. National Institute of Standards and Technology 84 NIST SP 800-115. Recuperado de: https://doi.org/10.6028/NIST.SP.800-115 | spa |
dc.relation.references | SYMANTEC. (2016). Internet security threat report – ISTR 21. Recuperado de: https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf | spa |
dc.relation.references | Tung, Y. H.; Lo, S. C.; Shih, J. F. & Lin, H. F. (2016). An integrated security testing framework for secure software development life cycle. 18th Asia-Pacific Network Operations and Management Symposium (APNOMS) (1–4). Recuperado de: https://doi.org/10.1109/APNOMS.2016.7737238 | spa |
dc.relation.references | Uzunov, A. V.; Falkner, K. & Fernández, E. B. (2015). A comprehensive pattern-oriented approach to engineering security methodologies. Information and Software Technology, 57, 217–247. Recuperado de: https://doi.org/10.1016/j.infsof.2014.09.001 | spa |
dc.relation.references | Verizon. (2020). Informe de investigación de violación de datos. Recuperado de: https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf | spa |
dc.relation.references | Xing, W. & Bei, Y. (2020). Medical health big data classification based on KNN classification algorithm. IEEE Access, 8, 28808–28819. Recuperado de: https://doi.org/10.1109/ACCESS.2019.2955754 | spa |
dc.relation.references | Yeo, J. (2013). Using penetration testing to enhance your company’s security. Computer Fraud & Security, (4), 17–20. | spa |
dc.relation.references | Yujian, L. & Bo, L. (2007). A normalized levenshtein distance metric. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(6), 1091–1095. doi:10.1109/tpami.2007.1078 | spa |
dc.relation.references | Zhu, J.; Xie, J.; Lipford, H. R. & Chu, B. (2014). Supporting secure programming in web applications through interactive static analysis. Journal of Advanced Research, 5(4), 449–462. Recuperado de: https://doi.org/10.1016/j.jare.2013.11.006 | spa |
dc.rights.accessrights | info:eu-repo/semantics/closedAccess | spa |
dc.subject.lemb | Informática | |
dc.subject.lemb | Cibernética | |
dc.subject.lemb | Software | |
dc.subject.proposal | Aplicaciones web | spa |
dc.subject.proposal | Ciberataques | spa |
dc.subject.proposal | Razonamiento | spa |
dc.subject.proposal | Seguridad informática | spa |
dc.type.content | Text | spa |
dc.type.driver | info:eu-repo/semantics/masterThesis | spa |
dc.type.redcol | https://purl.org/redcol/resource_type/TM | spa |
dc.type.version | info:eu-repo/semantics/publishedVersion | spa |
oaire.version | http://purl.org/coar/version/c_ab4af688f83e57aa | spa |
oaire.accessrights | http://purl.org/coar/access_right/c_14cb | spa |
dc.description.degreename | Magister en Ingeniería Computacional | spa |
dc.publisher.program | Maestría en Ingeniería Computacional | spa |