Análisis de Vulnerabilidades y Pruebas de Estrés en el Sistema Académico de la Escuela Superior Politécnica de Chimborazo: Una Evaluación Integral

Autores/as

  • Andrea Vizuete 0705060614
  • Erika Astudillo

DOI:

https://doi.org/10.47187/perspectivas.5.2.196

Palabras clave:

Análisis de Vulnerabilidades, Metodología OWASP, Pruebas de Estrés, Sistema Académico de la ESPOCH

Resumen

En la era digital, es importante asegurar la seguridad y el óptimo rendimiento de las aplicaciones web, para proteger la información confidencial que se maneja. Con el aumento constante de las amenazas informáticas y los ataques cibernéticos, las organizaciones deben tomar medidas proactivas para evitar posibles violaciones de seguridad y pérdidas de datos. Además, un bajo rendimiento de las aplicaciones web puede tener un impacto negativo en la experiencia del usuario y en la eficiencia de los procesos empresariales. Con este antecedente, se llevó a cabo un análisis exhaustivo de las vulnerabilidades del sistema académico de la ESPOCH, siguiendo las etapas propuestas por la metodología OWASP y utilizando la herramienta OWASP ZAP. Además, se realizaron pruebas de estrés en el dicho aplicativo para comprobar si puede manejar la cantidad de solicitudes esperadas, mediante diversos cálculos. Como resultado de este análisis, se identificaron 15 debilidades en el sistema académico y se proporcionó las mejores prácticas para su mitigación, con resultados favorables. Finalmente, se determinó que el sistema académico está preparado para atender a una gran cantidad de peticiones de usuarios durante un período de cinco años y garantizar la disponibilidad de los servicios en momentos críticos.

Métricas

Citas

F. E. Arévalo Cordovilla, I. B. Ordoñez Sigcho, M. F. Peñaherrera Larenas, y V. J. Suárez Matamoros, «Importancia de la seguridad de los sistemas de información frente el abuso, error y hurto de información», Rev. Científica Dominio Las Cienc., vol. 6, n.o 2, p. 12, jun. 2020, doi: http://dx.doi.org/10.23857/dc.v6i2.1197.

R. Andrian y A. Fauzi, «Security Scanner For Web Applications Case Study: Learning Management System», J. Online Inform., vol. 4, n.o 2, p. 63, feb. 2020, doi: 10.15575/join.v4i2.394.

The OWASP Foundation, Web Security Testing Guide, 4.2. The OWASP Foundation, 2020.

S. Pradeep y Y. Kumar Sharma, «A Pragmatic Evaluation of Stress and Performance Testing Technologies for Web Based Applications», en 2019 Amity International Conference on Artificial Intelligence (AICAI), Dubai, United Arab Emirates: IEEE, feb. 2019, pp. 399-403. doi: 10.1109/AICAI.2019.8701327.

V. P. Agila Tinoco, «ANÁLISIS DE VULNERABILIDADES, AMENAZAS Y RIESGOS AL SISTEMA DE MATRICULACIÓN DE LA UNIDAD ACADÉMICA DE CIENCIAS EMPRESARIALES DE LA UTMACH», Universidad Técnica de Machala, Machala, ago. 2019.

Z. M. Jiang y A. E. Hassan, «A Survey on Load Testing of Large-Scale Software Systems», IEEE Trans. Softw. Eng., vol. 41, n.o 11, pp. 1091-1118, nov. 2019, doi: 10.1109/TSE.2015.2445340.

Anibal Herrera, «Entrevista para conocer la arquitectura del nuevo Sistema Académico de la ESPOCH», 13 de octubre de 2022.

D. Kornienko, S. Mishina, y M. Melnikov, «The Single Page Application architecture when developing secure Web services - IOPscience», J. Phys. Conf. Ser., p. 13, 2021, doi: 10.1088/1742-6596/2091/1/012065.

The MITRE Corporation, «CWE-352: Cross-Site Request Forgery (CSRF)», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/352.html (accedido 31 de enero de 2023).

the ZAP Dev Team, «Absence of Anti-CSRF Tokens», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10202/ (accedido 29 de enero de 2023).

The MITRE Corporation, «CWE-693: Protection Mechanism Failure», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/693.html (accedido 31 de enero de 2023).

the ZAP Dev Team, «Content Security Policy (CSP) Header Not Set», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10038/ (accedido 2 de febrero de 2023).

OWASP Foundation, Inc., «Clickjacking», OWASP Foundation, 2023. https://owasp.org/www-community/attacks/Clickjacking (accedido 3 de febrero de 2023).

The MITRE Corporation, «CWE-1021: Improper Restriction of Rendered UI Layers or Frames», CWE - Common Weakness Enumeration, 2023. https://cwe.mitre.org/data/definitions/1021.html (accedido 31 de enero de 2023).

The MITRE Corporation, «CWE-829: Inclusion of Functionality from Untrusted Control Sphere», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/829.html (accedido 2 de febrero de 2023).

The MITRE Corporation, «CWE-1275: Sensitive Cookie with Improper SameSite Attribute», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/1275.html (accedido 2 de febrero de 2023).

the ZAP Dev Team, «Cookie without SameSite Attribute», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10054/ (accedido 3 de febrero de 2023).

The MITRE Corporation, «CWE-200: Exposure of Sensitive Information to an Unauthorized Actor», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/200.html (accedido 2 de febrero de 2023).

the ZAP Dev Team, «Server Leaks Information via “X-Powered-By” HTTP Response Header Field(s)», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10037/ (accedido 3 de febrero de 2023).

the ZAP Dev Team, «Private IP Disclosure», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/2/ (accedido 2 de febrero de 2023).

the ZAP Dev Team, «Server Leaks its Webserver Application via “Server” HTTP Response Header Field», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10036-1/ (accedido 29 de enero de 2023).

ScanRepeat, «Strict-Transport-Security Header Not Set», ScanRepeat, 2020. https://scanrepeat.com/web-security-knowledge-base/strict-transport-security-header-not-set (accedido 29 de enero de 2023).

the ZAP Dev Team, «Strict-Transport-Security Header», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10035/ (accedido 29 de enero de 2023).

ScanRepeat, «X-Content-Type-Options Header Missing», ScanRepeat, 2020. https://scanrepeat.com/web-security-knowledge-base/${'https://scanrepeat.com/' + path} (accedido 30 de enero de 2023).

the ZAP Dev Team, «X-Content-Type-Options Header Missing», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10021/ (accedido 30 de enero de 2023).

ScanRepeat, «Information Disclosure - Suspicious Comments», ScanRepeat, 2020. https://scanrepeat.com/web-security-knowledge-base/${'https://scanrepeat.com/' + path} (accedido 30 de enero de 2023).

the ZAP Dev Team, «Modern Web Application», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10109/ (accedido 30 de enero de 2023).

The MITRE Corporation, «CWE-525: Use of Web Browser Cache Containing Sensitive Information», CWE - Common Weakness Enumeration, 31 de enero de 2023. https://cwe.mitre.org/data/definitions/525.html (accedido 3 de febrero de 2023).

the ZAP Dev Team, «Re-examine Cache-control Directives», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10015/ (accedido 30 de enero de 2023).

the ZAP Dev Team, «User Agent Fuzzer», OWASP ZAP, 2023. https://www.zaproxy.org/docs/alerts/10104/ (accedido 30 de enero de 2023).

M. C. Noboa Cevallos y D. E. Cuenca Obregon, «LEVANTAMIENTO Y ANÁLISIS ESTADÍSTICO DESCRIPTIVO DE LAS TASAS DE DESERCIÓN, RETENCIÓN Y TITULACIÓN DE LOS ESTUDIANTES DE LA ESPOCH EN LOS PERIODOS 2014-2020», Proyecto de Investigación, Escuela Superior Politécnica de Chimborazo, Riobamba, 2021.

Descargas

Publicado

2023-08-16

Cómo citar

[1]
A. Vizuete y E. Astudillo, «Análisis de Vulnerabilidades y Pruebas de Estrés en el Sistema Académico de la Escuela Superior Politécnica de Chimborazo: Una Evaluación Integral», Perspectivas, vol. 5, n.º 2, pp. 1–14, ago. 2023.

Número

Sección

Artículos arbitrados