Metodología para la auditoría de seguridad de aplicaciones Web

Abstract

Las aplicaciones web con frecuencia resultan ser el punto de entrada más débil a una red corporativa. Generalmente el acceso a las mismas debe ser público y estar disponible desde cualquier parte del mundo, 24 horas al día, los 365 días del año. Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro. Asegurar las aplicaciones web es crítico y no es una tarea fácil, debido a la inmensa cantidad de vulnerabilidades y amenazas a las que están expuestas. Para las aplicaciones web existen vulnerabilidades en la red, el sistema operativo, servidores que las contienen, e incluso en las mismas aplicaciones web. Un atacante puede aprovechar estas vulnerabilidades y cometer ataques, con el fin de obtener información confidencial, conseguir accesos no autorizados o simplemente causar algún daño. Sin embargo existen técnicas y buenas prácticas de desarrollo de software que pueden ayudar a proteger las aplicaciones web de estas vulnerabilidades. Siempre y cuando los desarrolladores, integradores y administradores de sistemas, estén concientes de la existencia de estas vulnerabilidades y de cómo prevenirlas o dificultar su explotación. El Trabajo Especial de Grado aborda las aplicaciones web desde el punto de vista de la seguridad. Describe las principales características de las aplicaciones web, sus vulnerabilidades y amenazas, y las medidas de seguridad que permiten protegerlas. Se consideran aspectos de plataforma, red, aplicaciones e implementaciones de funcionalidades en las aplicaciones web. Se propone una metodología para la auditoría de seguridad en aplicaciones web. Esta metodología establece un conjunto de pasos bien definidos, los cuales permitirían auditar cada característica de una aplicación web y determinar la existencia de posibles vulnerabilidades y amenazas de seguridad. Para luego hacer referencia a las respectivas medidas de seguridad correctivas que pueden ser aplicadas. Finalmente para probar la eficacia de la metodología se realizaron tres (3) casos de estudio, con los cuales se auditaron tres (3) aplicaciones web desarrolladas con tecnologías diferentes.