Publication:
Herramientas de análisis dinámico de vulnerabilidades en aplicaciones web

Thumbnail Image
Files
TFM-Esteban_Armas.pdf (4.13 MB)
Official URL
Full text at PDC
Publication Date
2016
Authors
Advisors (or tutors)
Editors
Journal Title
Journal ISSN
Volume Title
Publisher
Citations
Google Scholar
Exportar
DC QDC MarcXML RDF MODS METS ORE-ATOM
Research Projects
Organizational Units
Journal Issue
Abstract
Es habitual el uso de escáneres de vulnerabilidades para examinar la seguridad de aplicaciones web y en la literatura existen muchos trabajos que comparan las capacidades de detección de estas herramientas. Estos trabajos analizan aplicaciones web vulnerables con herramientas de análisis dinámico y luego comparan los informes resultantes. De esta comparación y posterior análisis, clasifican las herramientas de acuerdo al número de vulnerabilidades que detectan. En este trabajo, a diferencia de otras investigaciones, se pretende ir más allá y con el uso de un modelo de pruebas distinto al usado tradicionalmente, verificar las vulnerabilidades que detectan las herramientas, las pruebas que ejecutan y las vulnerabilidades que busca, de aquellas que realmente están presentes en la aplicación web analizada. A través de esto, se puede saber si las pruebas realizadas son eficientes y conocer dos aspectos relevantes sobre las herramientas de análisis dinámico de vulnerabilidades en aplicaciones Web: Qué pruebas no realizan las herramientas aunque están capacitadas para ello y qué pruebas realizan pero no reportan vulnerabilidades que realmente tienen las aplicaciones. Se modificó el modelo de pruebas utilizado en muchos trabajos anteriores colocando un IDS en medio de las herramientas de detección y las aplicaciones web vulnerables. De toda esta información recogida se comprobó que algunas de las herramientas no buscan vulnerabilidades conocidas y documentadas que se encuentran en las aplicaciones web analizadas, a pesar de que la herramienta tiene la capacidad de detección, y en otros casos, se realizan pruebas para detectar vulnerabilidades que realmente existen en las aplicaciones web analizadas pero que finalmente no se informa de su existencia.
It is common to use automatic detection tools to review the security vulnerabilities of web applications and in the literature there are many studies that compare the detection capabilities of these tools. These studies analyze vulnerable web applications with dynamic analysis tools and then comparing the resulting reports. From the comparative and analysis, scanners are classified according to the number of vulnerabilities found correctly. In this study, unlike other studies, wants to go much further and using a different test model than the typically used in previews works, verify vulnerabilities that the scanners can detect, the tests that they perform and the vulnerabilities that try to detect from those who really are present into the analyzed web application. Through this, it can tell if the performed tests are efficient and know two relevant aspects about these scanners: What tests are not made by the tool even if the scanner are capable to do it and what tests to find vulnerabilities are made but do not report any vulnerability of those that really has the web application. The usual test model has been modified adding an IDS between the detection tools and the vulnerable web applications. From all collected information, was proofed it, in some cases automated tools are not looking for vulnerabilities existing in web applications despite they have the ability to detect it, and in other cases, conduct tests to detect vulnerabilities that actually exist in the web applications analyzed but ultimately do not report their existence.
Description
Máster en Ingeniería Informática, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, curso 2015-2016
UCM subjects
Internet (Informática) , Software , Seguridad informática
Unesco subjects
3325 Tecnología de las Telecomunicaciones , 3304.16 Diseño Lógico
Keywords
Citation
URI
https://hdl.handle.net/20.500.14352/25206
Collections
Trabajos Fin de Master (TFM)