UNIVERSIDAD NACIONAL SAN CRISTÓBAL DE HUAMANGA

FACULTADA DE INGENIERIA DE MINAS, GEOLOGIA Y CIVIL

ESCUELA DE FORMACIÓN PROFESIONA DE INGENIERIA DE SISTEMAS
I CICLO DE ACTUALIZACIÓN PROFESIONAL

TRABAJO MONOGRÁFICO PARA LA OBTENCION DEL TÍTULO PROFESIONAL DE INGENIERIA DE SISTEMAS

TEMA: PENTESTING PARA EL ANÁLISIS DE LAS VULNERABILIDADES EN LA CAPA DE APLICACIÓN

PRESENTADO POR: BACH. QUISPE HUAMAN WAGNER EMBER
ASESOR: MG. ING. JANAMPA PATILLA HUBNER

AYACUCHO – PERÚ
2022
JUSTIFICACIÓN

Actualmente las organizaciones no le prestan importancia en la seguridad informática de los sistemas

existentes, por lo cual no realizan pruebas de penetración a sus sistemas con el fin de conocer las

vulnerabilidades, estas son vulnerables a ataques internos o externos, debido a la situación crítica se

realiza el trabajo monográfico para conocer las vulnerabilidades existentes en la capa de aplicación.
OBJETIVOS
OBJETIVO GENERAL

a. Realizar el pentesting para el análisis de las vulnerabilidades en la capa de aplicación.

OBJETIVOS ESPECIFICOS

b. Ejecutar el pentesting para la recopilación de información en el análisis de vulnerabilidades en la capa de

aplicación.

c. Ejecutar el pentesting para la explotación en el análisis de vulnerabilidades en la capa de aplicación

d. Ejecutar el pentesting para el reporte de explotación en el análisis de vulnerabilidades en la capa de aplicación

MARCO TEORICO
Pentesting
Schawartz J. y Kurniawati H. (2019), menciona que el pentesting es un proceso critico en el
desarrollo de sistemas cibernéticos seguros, que consiste en realizar un ataque controlado
sobre una pieza de software o una red para evaluar su seguridad.

Para Georgia, W. (2014), las pruebas de penetración o pentesting implica simular ataques
reales para evaluar el riesgo asociado con posibles brechas de seguridad, en un
pentesting los evaluadores no solo descubren la vulnerabilidad que podría ser utilizadas
por los atacantes, pero también explotar la vulnerabilidad, cuando sea posible, para
evaluar lo que los atacantes podrían ganar después de una exitosa explotación.
MARCO TEORICO
Reconocimiento de información
Según Messier (2016), la recopilación de información es un trabajo de reconocimiento contra su
objetivo y variará según la cantidad de información que se le proporcionó antes del compromiso,
incluso si fuera dado el alcance completo, probablemente querrá realizar algo de
reconocimiento para que pueda proporcionar orientación al cliente en cuanto a qué tan
expuestos están a una fuga de información perspectiva.
Identificación de vulnerabilidad
Georgia W (2014), al identificar las vulnerabilidades, se busca activamente problemas que
conduzcan a compromiso en la fase de explotación

Explotación
Chowdhary, A. et al. (2020), menciona la explotación involucra el ataque usando cargas
basadas en scripts personalizados, o el uso de herramientas como metasploit para explotar
vulnerabilidad, recopilando la creación de pruebas para un informe que explique los resultados
obtenidos.
MARCO TEORICO
Reporte
Según Schawartz J. y Kurniawati H. (2019), una vez que se realiza un ataque exitoso, la
secuencia especifica de las acciones de ataque pueden ser reportadas y utilizadas por los
administradores del sistema para arreglar el problema.
Capa de Aplicación
Tanenbaum A. y wetherall d. (2012), indica la capa de aplicación es donde se encuentran las
aplicaciones, en la cual necesitan apoyo de los protocolos para que permitan el funcionamiento
de las aplicaciones.
FTP POP
DNS SMTP
DHCP SSH
HTTP TELNET
NAT TFTP
METODOLOGÍA
La metodología que se usará en el trabajo monográfico es cyber kill
chain, que consta de 7 pasos distintos.
a. Reconocimiento
b. Preparación
c. Distribución
d. Explotación
e. Instalación
f. Comando y control
g. Acción sobre los objetivos
METODOLOGÍA
Reconocimiento
El primer paso para la conquista del sistema, es buscar información
sobre el objetivo en la plataforma Whois, Redes Sociales.
Explotación
Es la etapa los atacantes aprovechan las vulnerabilidades que han
descubierto en etapas anteriores para infiltrarse aún más en la red
de un objetivo y lograr sus objetivos.

Reporte del pentesting

Es la última fase del pentesting en
donde se transmite los hallazgos
de manera objetiva, aquí debe
estar claro lo que se debe hacer
como resultado de lo que se
encontró
RESULTADO
a. Se logro realizar el pentesting para la recopilación de información en el análisis de
vulnerabilidades en la capa de aplicación utilizando herramientas web libres para
recopilar información del objetivo.
b. Se logro ejecutar el pentesting para la explotación en el análisis de vulnerabilidades en
la capa de aplicación utilizando metasploit y un servidor virtual, en ella se muestra la
explotación a un protocolo SSH de la capa de aplicación, para acceder a un servidor
Windows server 2008.
c. A través del pentesting se logró conocer las vulnerabilidades de un servidor y finalmente
realizar el reporte respectivo a la organización.
CONCLUSIONES
En lo aplicado en la metodología, durante el trabajo monográfico se llega a la conclusión
de que el pentesting es un proceso importante para la seguridad de la información de las
organizaciones, en el trabajo se vio que un servidor puede ser fácilmente explotado o
también no, los atacantes siempre están esperando actuar frente a las vulnerabilidades
existentes de un sistema.

El trabajo monográfico es útil para cualquiera que quiera seguir los pasos para realizar un
pentesting a un sistema, en la cual el pentester tiene que conocer sobre las técnicas para
encontrar todas las vulnerabilidades de un sistema.
GRACIAS