Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group
Descripción del Articulo
En los últimos años, los sistemas web de empresas pequeñas, medianas y grandes han sido el punto clave de los ciberdelincuentes, quienes mediante técnicas de hacking y el uso de herramientas tecnológicas buscan vulnerar, alterar y dañar todo sistema web que sea público o privado, con el fin de comet...
| Autor: | |
|---|---|
| Formato: | tesis de grado |
| Fecha de Publicación: | 2021 |
| Institución: | Universidad Tecnológica del Perú |
| Repositorio: | UTP-Institucional |
| Lenguaje: | español |
| OAI Identifier: | oai:repositorio.utp.edu.pe:20.500.12867/4995 |
| Enlace del recurso: | https://hdl.handle.net/20.500.12867/4995 |
| Nivel de acceso: | acceso abierto |
| Materia: | Seguridad de la información Gestión de riesgos (seguridad de la información) Sistema web https://purl.org/pe-repo/ocde/ford#2.02.04 |
| id |
UTPD_33a3ff4de6b45a43d18f955470629729 |
|---|---|
| oai_identifier_str |
oai:repositorio.utp.edu.pe:20.500.12867/4995 |
| network_acronym_str |
UTPD |
| network_name_str |
UTP-Institucional |
| repository_id_str |
4782 |
| dc.title.es_PE.fl_str_mv |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| title |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| spellingShingle |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group Orbegoso Herhuay, Jefferson David Seguridad de la información Gestión de riesgos (seguridad de la información) Sistema web https://purl.org/pe-repo/ocde/ford#2.02.04 |
| title_short |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| title_full |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| title_fullStr |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| title_full_unstemmed |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| title_sort |
Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group |
| author |
Orbegoso Herhuay, Jefferson David |
| author_facet |
Orbegoso Herhuay, Jefferson David |
| author_role |
author |
| dc.contributor.advisor.fl_str_mv |
Yataco Silva, Genns Eduardo |
| dc.contributor.author.fl_str_mv |
Orbegoso Herhuay, Jefferson David |
| dc.subject.es_PE.fl_str_mv |
Seguridad de la información Gestión de riesgos (seguridad de la información) Sistema web |
| topic |
Seguridad de la información Gestión de riesgos (seguridad de la información) Sistema web https://purl.org/pe-repo/ocde/ford#2.02.04 |
| dc.subject.ocde.es_PE.fl_str_mv |
https://purl.org/pe-repo/ocde/ford#2.02.04 |
| description |
En los últimos años, los sistemas web de empresas pequeñas, medianas y grandes han sido el punto clave de los ciberdelincuentes, quienes mediante técnicas de hacking y el uso de herramientas tecnológicas buscan vulnerar, alterar y dañar todo sistema web que sea público o privado, con el fin de cometer algún ciberdelito intentando poder robar gran cantidad de información confidencial que comprometa a los empleados o usuarios finales con las operaciones de negocio de las organizaciones. A medida que las organizaciones establezcan sus operaciones en aplicaciones web, el riesgo de ser vulnerados es superior ya que, puede que al momento en que se desarrolle un sistema web este no se encuentre correctamente diseñado, aplicaciones integradas desactualizadas, etc. Por ese motivo son más vulnerables a los ataques por parte de los ciberdelincuentes. El siguiente informe de suficiencia profesional, se propone realizar una implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group. En este modelo propuesto se aplica la metodología OWASP con el objetivo de evaluar y calificar los riesgos encontrados, brindando diferentes enfoques para el análisis de vulnerabilidades. Para ello se utilizó el apartado OWASP Top 10 2017 donde se muestra los 10 riesgos más críticos en vulnerabilidades web y junto con laspruebas de Pentestingque consiste en 5 faseslas cuales son: recolección de información, escaneo de vulnerabilidades, explotación de vulnerabilidades, post-explotación de vulnerabilidades e informe, se detectará dichas vulnerabilidades, finalmente para determinar la severidad de los riesgos encontrados se desarrolló un esquema de calificación utilizando el OWASP Risk Rating Methodology. Como resultado se logró identificar algunas vulnerabilidades, se evaluó en qué nivel se encontraban los riesgos encontrados y mediante el plan de prevención brindado se logrará reducir el nivel de riesgo más crítico. |
| publishDate |
2021 |
| dc.date.accessioned.none.fl_str_mv |
2022-02-14T16:01:29Z |
| dc.date.available.none.fl_str_mv |
2022-02-14T16:01:29Z |
| dc.date.issued.fl_str_mv |
2021 |
| dc.type.es_PE.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.version.es_PE.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| format |
bachelorThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/20.500.12867/4995 |
| url |
https://hdl.handle.net/20.500.12867/4995 |
| dc.language.iso.es_PE.fl_str_mv |
spa |
| language |
spa |
| dc.relation.ispartof.fl_str_mv |
SUNEDU |
| dc.rights.es_PE.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.uri.es_PE.fl_str_mv |
http://creativecommons.org/licenses/by-nc-sa/4.0/ |
| eu_rights_str_mv |
openAccess |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by-nc-sa/4.0/ |
| dc.format.es_PE.fl_str_mv |
application/pdf |
| dc.publisher.es_PE.fl_str_mv |
Universidad Tecnológica del Perú |
| dc.publisher.country.es_PE.fl_str_mv |
PE |
| dc.source.es_PE.fl_str_mv |
Repositorio Institucional - UTP Universidad Tecnológica del Perú |
| dc.source.none.fl_str_mv |
reponame:UTP-Institucional instname:Universidad Tecnológica del Perú instacron:UTP |
| instname_str |
Universidad Tecnológica del Perú |
| instacron_str |
UTP |
| institution |
UTP |
| reponame_str |
UTP-Institucional |
| collection |
UTP-Institucional |
| bitstream.url.fl_str_mv |
http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/2/license.txt http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/3/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.txt http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/4/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.jpg http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/5/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf |
| bitstream.checksum.fl_str_mv |
8a4605be74aa9ea9d79846c1fba20a33 342ab1743613d270f96ce3a3c899176c cb2654cbd714df2ed4b7aa8335ac319f ce37ffd97d5ab62749d80931ca071a57 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Institucional de la Universidad Tecnológica del Perú |
| repository.mail.fl_str_mv |
repositorio@utp.edu.pe |
| _version_ |
1817984828459450368 |
| spelling |
Yataco Silva, Genns EduardoOrbegoso Herhuay, Jefferson David2022-02-14T16:01:29Z2022-02-14T16:01:29Z2021https://hdl.handle.net/20.500.12867/4995En los últimos años, los sistemas web de empresas pequeñas, medianas y grandes han sido el punto clave de los ciberdelincuentes, quienes mediante técnicas de hacking y el uso de herramientas tecnológicas buscan vulnerar, alterar y dañar todo sistema web que sea público o privado, con el fin de cometer algún ciberdelito intentando poder robar gran cantidad de información confidencial que comprometa a los empleados o usuarios finales con las operaciones de negocio de las organizaciones. A medida que las organizaciones establezcan sus operaciones en aplicaciones web, el riesgo de ser vulnerados es superior ya que, puede que al momento en que se desarrolle un sistema web este no se encuentre correctamente diseñado, aplicaciones integradas desactualizadas, etc. Por ese motivo son más vulnerables a los ataques por parte de los ciberdelincuentes. El siguiente informe de suficiencia profesional, se propone realizar una implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Group. En este modelo propuesto se aplica la metodología OWASP con el objetivo de evaluar y calificar los riesgos encontrados, brindando diferentes enfoques para el análisis de vulnerabilidades. Para ello se utilizó el apartado OWASP Top 10 2017 donde se muestra los 10 riesgos más críticos en vulnerabilidades web y junto con laspruebas de Pentestingque consiste en 5 faseslas cuales son: recolección de información, escaneo de vulnerabilidades, explotación de vulnerabilidades, post-explotación de vulnerabilidades e informe, se detectará dichas vulnerabilidades, finalmente para determinar la severidad de los riesgos encontrados se desarrolló un esquema de calificación utilizando el OWASP Risk Rating Methodology. Como resultado se logró identificar algunas vulnerabilidades, se evaluó en qué nivel se encontraban los riesgos encontrados y mediante el plan de prevención brindado se logrará reducir el nivel de riesgo más crítico.In recent years, the web systemsof small, médium and large companies have been the key point of cybercriminals, who through hacking techniques and the use of technological tools seek to violate, alter and damage any web system that is public or private, in order to commit a cybercrime trying to steal a large amount of confidential information that compromises employees or end users with the business operations of organizations. As organizations establish their operations in web applications, the risk of being compromised is higher since, when a web system is developed, it may not be properly designed, outdated integrated applications, etc. For This reason, they are more vulnerable to attacks by cybercriminals.The following profesional sufficiency report proposes to implement a vulnerability and risk análisis model for the web systems of the company Social Capital Group.In this proposed model, the OWASP methodology is applied in order to evaluate and qualify the risks found, providing different approaches for the análisis of vulnerabilities. For this, the OWASP Top 2017 section was used where the 10 most critical risk in web vulnerabilities are shown and together with the Pentesting tests that consists of 5 phases which are: information collection, vulnerability scanning, vulnerability exploitation, post –exploitation of vulnerabilities and reporting, said vulnerabilities will be detected, finally to determine the severity of the risk found, a rating scheme was developed using the OWASP Risk Rating Methodology. As a result, it was possible to identify some vulnerabilities, it was evaluated at what level the risks were found and through the prevention plan provided, it will be possible to reduce the most critical leve lof risk.Campus Lima Centroapplication/pdfspaUniversidad Tecnológica del PerúPEinfo:eu-repo/semantics/openAccesshttp://creativecommons.org/licenses/by-nc-sa/4.0/Repositorio Institucional - UTPUniversidad Tecnológica del Perúreponame:UTP-Institucionalinstname:Universidad Tecnológica del Perúinstacron:UTPSeguridad de la informaciónGestión de riesgos (seguridad de la información)Sistema webhttps://purl.org/pe-repo/ocde/ford#2.02.04Implementación de un modelo de análisis de vulnerabilidades y riesgos para los sistemas web de la empresa Social Capital Groupinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/publishedVersionSUNEDUIngeniero de Sistemas e InformáticaUniversidad Tecnológica del Perú. Facultad de IngenieríaIngeniería de Sistemas e InformáticaPregrado47448048612156http://purl.org/pe-repo/renati/level#tituloProfesionalhttp://purl.org/pe-repo/renati/type#trabajoDeSuficienciaProfesionalLICENSElicense.txtlicense.txttext/plain; charset=utf-81748http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/2/license.txt8a4605be74aa9ea9d79846c1fba20a33MD52TEXTJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.txtJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.txtExtracted texttext/plain130843http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/3/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.txt342ab1743613d270f96ce3a3c899176cMD53THUMBNAILJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.jpgJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.jpgGenerated Thumbnailimage/jpeg10046http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/4/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdf.jpgcb2654cbd714df2ed4b7aa8335ac319fMD54ORIGINALJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdfJ.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdfapplication/pdf2915862http://repositorio.utp.edu.pe/bitstream/20.500.12867/4995/5/J.Orbegoso_Trabajo_de_Suficiencia_Profesional_Titulo_Profesional_2021.pdfce37ffd97d5ab62749d80931ca071a57MD5520.500.12867/4995oai:repositorio.utp.edu.pe:20.500.12867/49952022-02-25 10:02:51.959Repositorio Institucional de la Universidad Tecnológica del Perúrepositorio@utp.edu.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 |
| score |
13.897048 |
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
