Modelo Base de Conocimiento para Auditorías de Seguridad en Servicios Web con SQL Injection

Knowledge base model for security audits in Web Services with SQL Injection

Palabras clave: Information model, information security, computer security, web services, web application auditing, SQL Injection, knowledge base, ontologies, taxonomies (en_US)
Palabras clave: Modelo de información, seguridad de la información, seguridad informática, servicios web, auditoría de aplicaciones web, inyección SQL, base de conocimiento, ontologías, taxonomías (es_ES)

Resumen (es_ES)

Contexto: Debido a la gran cantidad de ciberataques a nivel internacional y nacional (Colombia), se han activado mecanismos y procedimientos preventivos en las organizaciones, para contrarrestar estas vulnerabilidades en la seguridad de la información. El tema de este proyecto surge de la necesidad de hacer una propuesta a la oficina de seguridad de la información de la DIAN para implementar y dar seguimiento a la Estrategia de Gobierno en línea de MinTIC en el componente de Seguridad de la Información y Privacidad, a través de la política de seguridad de la información institucional y a través de este conocimiento. modelo base para auditorías en servicios web, aplicado a un prototipo particular.

Método: La metodología general que se trabajó para el modelo de conocimiento base incluye dos partes del trabajo, la primera corresponde a la recolección, procesamiento y purificación de la base y la segunda corresponde al proceso de tematización del sistema del modelo propuesto. OpenKM (un software abierto) se implementó como el software que soporta la base de conocimiento. Para el desarrollo de la auditoría es importante tener en cuenta que dentro de la metodología general se incluyó una serie de guías en cada una de las fases del modelo, el proyecto utilizará estándares, buenas prácticas, herramientas y asesoramiento profesional como: ISO27000, OSSTMM, OWASP, JUnit y las guías de gestión de riesgos y auditoría emitidas por el MinTIC. Para el desarrollo del prototipo con el WS a exponer, se utilizó el método OPENUP. La implementación se limitó a la construcción de dos métodos HTTP: GET y POST para consultas y acciones de entrada de información.

Resultados: Con este proyecto fue posible crear un modelo de base de conocimiento implementado en OpenKM, ejecutando una auditoría de seguridad de servicios web con inyección de SQL en un prototipo organizacional.

Conclusiones: Se debe tener en cuenta que nunca habrá una infraestructura 100% segura, ya que siempre habrá riesgos en las plataformas debido a la naturaleza en la que cambian las formas de llevar a cabo los ataques, sin embargo, siempre habrá alternativas como esta modelo base de auditoría de seguridad de la información para evitar o mitigar tales riesgos o ataques.

Resumen (en_US)

Context: Due to the large number of cyber-attacks at international and national level (Colombia), preventive mechanisms and procedures have been triggered in organizations, this in order to counteract these vulnerabilities in information security. The issue of this project arises from the need to make a proposal to the information security office of the DIAN to implement and follow up on the MinTIC Online Government Strategy in the Information Security and Privacy component, through the institutional information security policy and through this knowledge base model for audits in web services, applied to a particular prototype.

Method: The general methodology that was worked for the base knowledge model includes two parts of work, the first corresponds to the collection, processing and purification of the base and the second corresponds to the systematization process of the proposed model. OpenKM (an open software) was implemented as the software that supports the knowledge base. For the development of the audit it is important to keep in mind that within the general methodology a series of guides were included in each of the phases of the model, the project will use standards, good practices, tools and professional advice such as: ISO27000, OSSTMM, OWASP, JUnit and the Risk Management and Audit guides issued by the MinTIC. For the development of the prototype with the WS to be exposed, the OPENUP method was used. The implementation was limited to the construction of two HTTP methods: GET and POST for consultation and information entry actions.

Results: With this project it was possible to create a knowledge base model implemented on OpenKM, executing a web services security audit with SQL Injection on an organizational prototype.

Conclusions: It must be taken into account that there will never be a 100% secure infrastructure, since there will always be risks on the platforms due to nature in which the ways of carrying out the attacks change, how- ever, there will always be alternatives such as this base model of information security auditing to avoid or mitigate such risks or attacks.

Descargas

La descarga de datos todavía no está disponible.

Referencias

Allen AU and Walter S. L. FUNG. Knowledge Audit Model for Information Security. The Chinese University of Hong Kong, Shatin, Hong Kong. The Hong Kong Polytechnic University, Hunghom, China, 2018.

Contreras Flórez Johan Lorenzo. Propuesta de auditoría a las aplicaciones web de la empresa C&M consultores aplicando herramientas de software libre. Universidad Nacional Abierta y a Distancia, Colombia, 2017.

Coronado Steven. Desarrollo de una guía metodológica basada en análisis SQL injection y formas de protección a las bases de datos, Quito, Ecuador, 2017.

Amirmohammad Sadeghian, Mazdak Zamani, Azizah Abd. Manaf. A Taxonomy of SQL Injection Detection and Prevention Techniques. Universiti Teknologi Malaysia, 2013.

https://doi.org/10.1109/ICICM.2013.18

Amirmohammad Sadeghian, Mazdak Zamani, Shahidan M. Abdullah. A taxonomy of SQL Injection Attacks.

Universiti Teknologi, Malaysia, 2013.

Amirmohammad Sadeghian, Mazdak Zamani, Suhaimi Ibrahim. SQL Injection is Still Alive: A Study on SQL Injection Signature Evasion Techniques. Universiti Teknologi, Malaysia, 2013.

https://doi.org/10.1109/ICICM.2013.52

Rodríguez Sánchez Miriam. Auditoría de aplicaciones web: metodología y práctica profesional. Universitat Oberta de Catalunya, España, 2015.

Eleanor A. Varela-Tapia, Delia Estrada-Becerra, Iván L. Acosta-Guzmán. Wiki, herramienta informática para la base de conocimiento para el proyecto PROMEINFO de la Universidad de Guayaquil, Guayaquil, Ecuador, 2017.

MinTIC. Modelo de seguridad y privacidad de la Información y Guía de auditoría de Seguridad y privacidad de la información, 2016.

Guaman, D., Guaman, F., Jaramillo, D., & Sucunuta, M. Implementation of techniques and OWASP security recommendations to avoid SQL and XSS attacks using J2EE and WS-security. Universidad Técnica Particular de Loja, Departamento de Ciencias de la Computación y Electrónica, Ecuador, 2017.

https://doi.org/10.23919/CISTI.2017.7975981

ISO/IEC 27000. Information technology - Security techniques - Information security management systems - Overview and vocabulary, 2018.

Singh Jai Puneet. Analysis of SQL Injection Detection Techniques, CIISE, Concordia University, Montreal, Québec, Canada, 2017.

https://doi.org/10.20904/281-2037

Gunawan, T.S. Lim, M.K. Kartiwi, M. Malik, N.A. Ismail, N. Penetration testing using Kali linux: SQL injection, XSS, wordpress, and WPA2 attacks, International Islamic University Malaysia, Malaysia, 2018.

https://doi.org/10.11591/ijeecs.v12.i2.pp729-737

Chapman, J., Van der Stock, A., Keary, E., Perego, P., Lowry, D., Rook, D., Cruz, D. and Williams, J. OWASP Code Review Guide v2, OWASP Foundation, 2017.

Xin Liu, Qingchen Yu, Xiaokang Zhou, Qingguo Zhou. OwlEye: An Advanced Detection System of Web Attacks Based on HMM, China, 2018.

https://doi.org/10.1109/DASC/PiCom/DataCom/CyberSciTec.2018.00044

Universidad de Berkeley. Cómo protegerse contra los ataques de inyección SQL, California, Estados Unidos, 2019.

Cómo citar
Moreno Marín, J. E., & Coronado Sánchez, P. C. (2020). Modelo Base de Conocimiento para Auditorías de Seguridad en Servicios Web con SQL Injection. Ingeniería, 25(3). https://doi.org/10.14483/23448393.15740
Publicado: 2020-10-02
Sección
Ingeniería de Sistemas