Pentesting en entornos controlados

Abstract

El objetivo de este Trabajo Fin de Grado es realizar una auditoría de seguridad, en la que usaremos un entorno controlado. En esta simulación se evaluará la seguridad de las máquinas Metasploitable 3, tanto en su versión Windows como en su versión Ubuntu. Además se pretende mostrar una variedad importante de técnicas, para conseguir abarcar un mayor espectro de vulnerabilidades. Para ello utilizaremos herramientas de Pentesting de código abierto o que tengan una versión gratuita, con el fin de que se pueda reproducir el contenido explicado en este Trabajo Fin de Grado con fines educativos. Por ejemplo estas herramientas podrían ser Nmap, Burpsuite, SQLmap y muchas otras. El desarrollo del trabajo se ajustará a la metodología para auditoría de seguridad OWASP, en la que habrá unas fases claras: Reconocimiento, Analisis de vulnerabilidades, Explotación y Post Explotación. Finalmente, se analizarán los resultados obtenidos y se desarrollará un informe con posibles soluciones y recomendaciones.

The goal of this Final Degree Project is to replicate a Pentesting exercise, in which we will use a controlled environment. In this simulation we will evaluate the security of Metasploitable 3 machines,in its Windows version and in its Ubuntu version. In addition, it is intended to show as many techniques as possible, in order to cover a wider spectrum of vulnerabilities. For this purpose we will use open source Pentesting tools or tools that have a free version, so that the content explained in this Final Degree Project can be used for educational purposes. For example these tools could be used (Nmap, Burpsuite, SQLmap and many others). Also The OWASP security audit methodology will be used, in which there will be clear phases: Reconnaissance, Analysis of vulnerabilities, Exploitation and Post Exploitation. Finally, the results obtained will be analyzed and a report will be developed with possible solutions and recommendations.