CIENCIA UNEMI//(VOL. 15, NUM. 40)
Volumen: 15, Numero: 40, Páginas: 01-15 pp.
The present investigation was carried out on the technological platform of the Fire Department of the Municipal GAD of Santo Domingo with the objective of identifying threats, vulnerabilities and defining a security plan using ISO 27001 and OWASP Top 10-2017 standards. The process for penetration testing and exploitation of web vulnerabilities was carried out in 4 phases: informa- tion gathering, vulnerability analysis, exploitation and report generation. For the tests, the following tools were used: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra and Zenmap. As a result, it was determined that the web platform was vulnerable to: injection (A1:2017), loss of authentication (A2:2017), exposure of sensitive data (A3:2017), loss of access control (A5:2017), con- figuration incorrect security (A6:2017), use of components with known vulnerabilities (A9:2017), insufficient logging and monito- ring (A10:2017); Based on this evaluation, internal security policies and procedures were created and implemented. Subsequently, vulnerability tests were carried out on 2 prototypes (Prototype I: without a security plan, Prototype II: considering the security plan) from which an increase in the security of the technological platform of 75% was obtained.
La presente investigación se realizó sobre la plataforma tecnológica del Cuerpo de Bomberos del GAD Municipal de Santo Domingocon el objetivo de identificar amenazas, vulnerabilidades y definir un plan de seguridad empleando normas ISO 27001 y OWASPTop 10-2017. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilaciónde información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas:Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web eravulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de con-trol de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas(A9:2017), registro y monitoreo insuficientes (A10:2017); en base a esta evaluación se creó e implementó políticas y procedimien-tos internos de seguridad. Posteriormente se ejecutó pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan deseguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo un incremento en la seguridad de la plataformatecnológica de un 75%.