Auditoría de seguridad web como herramienta de diagnóstico de vulnerabilidades de la página web del Centro de Transferencia de Tecnología - Talleres Tecnológicos de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial
No Thumbnail Available
Files
Date
2025-02
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Universidad Técnica de Ambato. Facultad de Ingeniería en Sistemas, Electrónica e Industrial. Carrera de Software
Abstract
This research aimed to conduct a web security audit using pentesting techniques to detect vulnerabilities in the CTT-TT page of FISEI during the 2024-2025 academic period, applying the CVSS scoring system based on which possible solutions will be proposed to improve computer security.
The methodology combined bibliographic, field, and experimental research. Data collection was performed through interviews, direct observation, and specialized tools such as Nessus, ZAP, and OpenVAS.
Among the results obtained, critical vulnerabilities were identified, such as the use of an unsupported PHP version (CVSS 10), and configuration issues, including accessible directories, absence of HSTS, insecure HTTP methods (TRACE/TRACK), and clickjacking vulnerabilities. Based on these findings, a proposal was developed to strengthen computer security, which included software updates, disabling HTTP TRACE and TRACK methods, blocking directory browsing, implementing Anti-CSRF Tokens, and data validation and SQL injection prevention.
Finally, a new analysis with Nessus showed the elimination of all critical and high vulnerabilities, as well as the mitigation of medium and informational risks. The results highlight the importance of conducting periodic security audits and keeping the system updated to ensure continuous protection of the website
Description
La presente investigación tuvo como objetivo aplicar una auditoría de seguridad web usando técnicas de pentesting para detectar vulnerabilidades en la página del CTT-TT de la FISEI durante el período académico 2024-2025 aplicando el sistema de calificaciones CVSS en base al cual se propondrá posibles soluciones para mejorar la seguridad informática.
La metodología empleada combinó investigación bibliográfica, de campo y experimental. Para la recolección de datos se utilizaron la entrevista, observación directa y herramientas especializadas como Nessus, ZAP y OpenVAS.
Entre los resultados obtenidos, se identifican vulnerabilidades críticas, como el uso de una versión de PHP sin soporte (CVSS 10), y problemas de configuración, tales como directorios accesibles, ausencia de HSTS, métodos HTTP inseguros (TRACE/TRACK) y vulnerabilidades de clickjacking. Con base en estos hallazgos, se elaboró una propuesta para fortalecer la seguridad informática, que incluyó la actualización del software, deshabilitación de métodos HTTP TRACE y TRACK, bloqueo de navegación por directorios, implementación de Tokens Anti-CSRF y validación de datos y prevención de inyecciones SQL. Finalmente, un nuevo análisis con Nessus evidenció la eliminación de todas las vulnerabilidades críticas y altas, además de la mitigación de riesgos medios e informativos. Los resultados destacan la importancia de realizar auditorías de seguridad periódicas y mantener actualizado el sistema para garantizar la protección continua del sitio web
Keywords
AUDITORÍA DE SEGURIDAD WEB, TÉCNICAS DE PENTESTING, VULNERABILIDADES DE SEGURIDAD, PUNTUACIÓN CVSS