Detecção e Análise de Vulnerabilidades em um Servidor OJS utilizando Teste de Penetração

  • Denys Maciel UFC
  • Arthur Callado UFC
  • Roberto Filho UFC
  • Marcos Ortiz UFC

Resumo


Este trabalho tem como objetivo detectar e analisar possíveis vulnerabilidades existentes em um servidor OJS local utilizando técnicas de teste de penetração. Para isso, a técnica de teste de penetração automatizado OSSTMM foi utilizada, através do uso de scanners web que realizam varreduras em um sistema em busca de vulnerabilidades web, e também utilizando técnicas de teste de penetração manual com o auxílio da ferramenta Burp Suite, com o objetivo de encontrar o máximo de vulnerabilidades possíveis. A versão do OJS avaliada neste trabalho foi a 3.1.1-4. Esta versão apresenta controles que inibem a exploração das vulnerabilidades mais comuns em sistemas web.

Referências

Shebli, H. M. Z. A. e Beheshti, B. D. (2018) "A study on penetration testing process and tools", In: IEEE Long Island Systems, Applications and Technology Conference (LISAT).

Bertoglio, D. D. e Zorzo, A. F. (2015) "Um mapeamento sistemático sobre testes de penetração", In: Relatório Técnico: no. 84. Porto Alegre: Faculdade de Informática PUC-RS.

Bertoglio, D. D. e Zorzo, A. F. (2016) "Tramonto: Uma estratégia de recomendações para testes de penetração", In: XVI Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais.

Edgar, B. D e Willinsky, J. (2010) "A Survey of Scholarly Journals Using Open Journal Systems", In: Scholarly and Research Communication.

Jiménez, R. E. L. D (2016) "Pentesting on web applications using ethical-hacking", In: IEEE 36th Central American and Panama Convention (CONCAPAN XXXVI).

Nagpure, S. e Kurkure, S. (2017) "Vulnerability assessment and penetration testing of Web application", In: IEEE International Conference on Computing, Communication, Control and Automation (ICCUBEA).

Parmar, P. e Feleol, A. (2013) "Aplicação de Pentest em Sistemas Computacionais para Análise de Vulnerabilidades: um Estudo de Caso", In: Encontro Regional de Computação e Sistemas de Informação (ENCOSIS 2013). Fundação Centro de Análise, Pesquisa e Inovação Tecnológica (FUCAPI).

Tetsky, A. e Kharchenko, V. (2018) "Neural networks based choice of tools for penetration testing of web applications", In: IEEE 9th International Conference on Dependable Systems, Services and Technologies (DESSERT).

Valdez, A. (2013) "OSSTMM 3", In: Revista de Información, Tecnología y Sociedad.

Yunanri, W., Riadi, I. e Yudhana, A. (2018) "Analisis Deteksi Vulnerability Pada Web Server Open Jurnal System Menggunakan OWASP Scanner", In: Jurnal Rekayasa Teknologi Informasi.
Publicado
27/05/2022
MACIEL, Denys; CALLADO, Arthur; FILHO, Roberto; ORTIZ, Marcos. Detecção e Análise de Vulnerabilidades em um Servidor OJS utilizando Teste de Penetração. In: WORKSHOP DE TESTES E TOLERÂNCIA A FALHAS (WTF), 23. , 2022, Fortaleza. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2022 . p. 85-98. ISSN 2595-2684. DOI: https://doi.org/10.5753/wtf.2022.223524.