Universidad Complutense de Madrid
E-Prints Complutense

Herramientas de análisis dinámico de vulnerabilidades en aplicaciones web

Impacto

Descargas

Último año



Armas Vega, Esteban Alejandro (2016) Herramientas de análisis dinámico de vulnerabilidades en aplicaciones web. [Trabajo Fin de Máster]

[img]
Vista previa
PDF
4MB


Resumen

Es habitual el uso de escáneres de vulnerabilidades para examinar la seguridad de aplicaciones web y en la literatura existen muchos trabajos que comparan las capacidades de detección de estas herramientas. Estos trabajos analizan aplicaciones web vulnerables con herramientas de análisis dinámico y luego comparan los informes resultantes. De esta comparación y posterior análisis, clasifican las herramientas de acuerdo al número de vulnerabilidades que detectan. En este trabajo, a diferencia de otras investigaciones, se pretende ir más allá y con el uso de un modelo de pruebas distinto al usado tradicionalmente, verificar las vulnerabilidades que detectan las herramientas, las pruebas que ejecutan y las vulnerabilidades que busca, de aquellas que realmente están presentes en la aplicación web analizada. A través de esto, se puede saber si las pruebas realizadas son eficientes y conocer dos aspectos relevantes sobre las herramientas de análisis dinámico de vulnerabilidades en aplicaciones Web: Qué pruebas no realizan las herramientas aunque están capacitadas para ello y qué pruebas realizan pero no reportan vulnerabilidades que realmente tienen las aplicaciones. Se modificó el modelo de pruebas utilizado en muchos trabajos anteriores colocando un IDS en medio de las herramientas de detección y las aplicaciones web vulnerables. De toda esta información recogida se comprobó que algunas de las herramientas no buscan vulnerabilidades conocidas y documentadas que se encuentran en las aplicaciones web analizadas, a pesar de que la herramienta tiene la capacidad de detección, y en otros casos, se realizan pruebas para detectar vulnerabilidades que realmente existen en las aplicaciones web analizadas pero que finalmente no se informa de su existencia.

Resumen (otros idiomas)

It is common to use automatic detection tools to review the security vulnerabilities of web applications and in the literature there are many studies that compare the detection capabilities of these tools. These studies analyze vulnerable web applications with dynamic analysis tools and then comparing the resulting reports. From the comparative and analysis, scanners are classified according to the number of vulnerabilities found correctly. In this study, unlike other studies, wants to go much further and using a different test model than the typically used in previews works, verify vulnerabilities that the scanners can detect, the tests that they perform and the vulnerabilities that try to detect from those who really are present into the analyzed web application. Through this, it can tell if the performed tests are efficient and know two relevant aspects about these scanners: What tests are not made by the tool even if the scanner are capable to do it and what tests to find vulnerabilities are made but do not report any vulnerability of those that really has the web application. The usual test model has been modified adding an IDS between the detection tools and the vulnerable web applications. From all collected information, was proofed it, in some cases automated tools are not looking for vulnerabilities existing in web applications despite they have the ability to detect it, and in other cases, conduct tests to detect vulnerabilities that actually exist in the web applications analyzed but ultimately do not report their existence.

Tipo de documento:Trabajo Fin de Máster
Información Adicional:

Máster en Ingeniería Informática, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, curso 2015-2016

Directores (o tutores):
NombreEmail del director (o tutor)
García Villalba, Luis Javier
Sandoval Orozco, Ana Lucila
Palabras clave:Análisis dinámico, Aplicaciones Web, IDS, Seguridad informática, Vulnerabilidades
Palabras clave (otros idiomas):Dynamic analysis, IDS, Security, Vulnerabilities, Web application
Materias:Ciencias > Informática > Internet
Ciencias > Informática > Software
Ciencias > Informática > Seguridad informática
Título del Máster:Máster en Ingeniería Informática
Código ID:45279
Depositado:30 Oct 2017 13:37
Última Modificación:31 Oct 2017 08:34

Descargas en el último año

Sólo personal del repositorio: página de control del artículo