Técnicas para la optimización del análisis automático de vulnerabilidades en aplicaciones web

Román Muñoz, Fernando

Publication:
Técnicas para la optimización del análisis automático de vulnerabilidades en aplicaciones web

Files

T40484.pdf (5.08 MB)

Publication Date

2018-10-29

Authors

Román Muñoz, Fernando

Advisors (or tutors)

García Villalba, Luis Javier

Publisher

Universidad Complutense de Madrid

Citations

Exportar

Abstract

En la actualidad el uso de las aplicaciones web se ha extendido a muchos ámbitos de la vida cotidiana, estando disponibles en cualquier momento a un gran número de usuarios potenciales y, por lo tanto, expuestas a ataques malintencionados o no. Por ejemplo,uno puede intentar saltarse el flujo predefinido o introducir valores no esperados. Estas aplicaciones se desarrollan con el objetivo de proporcionar cierta funcionalidad, dejando en muchos casos la seguridad en un segundo plano. Para mitigar los riesgos es habitual realizar un análisis de vulnerabilidades sobre las aplicaciones web durante el ciclo de vida de su desarrollo.Los métodos para detectar las vulnerabilidades en las aplicaciones web pueden ser de dos tipos: estáticos si analizan el código fuente de la aplicación o dinámicos si analizan la aplicación ejecutándola. En los métodos estáticos se analiza el código fuente de la aplicación para detectar fragmentos que se correspondan con patrones de vulnerabilidades conocidas.En los métodos dinámicos se ejecuta la aplicación y desde un navegador, real o simulado,se envían valores a la aplicación y se registran y analizan las respuestas producidas para intentar reconocer en ellas vulnerabilidades. Estos últimos son los más frecuentes...
At present, the use of web applications has spread across many areas of daily life, withmany potential users able to readily access it. It can therefore be exposed to maliciousattacks. For example, one may try to bypass the predefined stream or enter unexpectedvalues. These applications are developed with the aim of providing some functionality,which risks neglecting the security aspect. To mitigate the risks, it is common to performa vulnerability analysis on web applications during the development life cycle.Methods for detecting vulnerabilities in web applications can be of two types: static ifthey parse the source code of the application or dynamic if they analyze the applicationexecuting it. In static methods, the source code of the application is analyzed to detectfragments that correspond to known vulnerability patterns. In dynamic methods, theapplication is executed and from a real or simulated browser, values are sent to theapplication and the responses are recorded and analyzed to try to recognize vulnerabilitiesin them. The latter are the most frequent. Dynamic vulnerability analysis consists of twostages: the first is called passive or crawling phase and the second is called active phase.In the passive phase, it tries to locate the greatest possible number of entry points of theapplication...

Description

Tesis inédita de la Universidad Complutense de Madrid, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, leída el 20-12-2017

Publication:
Técnicas para la optimización del análisis automático de vulnerabilidades en aplicaciones web

Files

Official URL

Full text at PDC

Publication Date

Authors

Advisors (or tutors)

Editors

Journal Title

Journal ISSN

Volume Title

Publisher

Citations

Exportar

Research Projects

Organizational Units

Journal Issue

Abstract

Description

UCM subjects

Unesco subjects

Keywords

Citation

URI

Collections

Publication: Técnicas para la optimización del análisis automático de vulnerabilidades en aplicaciones web

Files

Official URL

Full text at PDC

Publication Date

Authors

Advisors (or tutors)

Editors

Journal Title

Journal ISSN

Volume Title

Publisher

Citations

Exportar

Research Projects

Organizational Units

Journal Issue

Abstract

Description

UCM subjects

Unesco subjects

Keywords

Citation

URI

Collections

Publication:
Técnicas para la optimización del análisis automático de vulnerabilidades en aplicaciones web