Seguridad en aplicaciones web : una visión práctica

Abstract

Se puede encontrar numerosa bibliografía al respecto de la seguridad en entornos web, pormenorizados manuales que abordan de una manera muy extensa todos y cada uno de los detalles a tener en cuenta a la hora de elaborar este tipo de aplicaciones. Así mismo, existen también referencias que ahondan en la legislación aplicable al desarrollo de software y sobre la implantación de estándares de seguridad. La idea fundamental de este proyecto es situarse en un punto intermedio de todo este material, dando una visión más cercana y concreta de los puntos desarrollados en esa bibliografía. Se compone de un primer análisis sobre la legislación vigente en materia de desarrollo de aplicaciones así como los estándares relativos a la seguridad de la información. Este análisis se centra en las implicaciones a nivel de seguridad y del desarrollo orientado a la web, no limitándose a reproducir los párrafos de la legislación aplicable o los estándares. Posteriormente se desglosa un listado detallado de las vulnerabilidades posibles, dando una explicación concreta y entendible, aun cuando no se tenga un conocimiento muy extenso en lo que al desarrollo web se refiere. Para profundizar en el apartado anterior se ha implementado una pequeña aplicación de entrenamiento donde llevar a cabo test de penetración. Además puede servir como práctica para desarrolladores planteándose el ejercicio de solucionar las numerosas vulnerabilidades existentes. En el apartado de la memoria relativo a la aplicación se explican las vulnerabilidades más frecuentes en los desarrollos actuales, la forma en la que podrían detectarse y explotarse, así como una serie de contramedidas a aplicar por parte de los desarrolladores para protegerlas.

There is abundant literature regarding security in web environments, including detailed manuals that meticulously address every aspect to consider when elaborating this kind of applications. Besides, there are also references that look deep into the legislation applicable to software development and to the implementation of security standards. The core idea of this project is to consider all the existing material and to offer a closer and more specific view of the different points developed in the literature. First, the present dissertation includes an analysis of the current legislation on application development and the standards of information security. This analysis does not just present relevant extracts of applicable legislation or standards: it focuses on the implications of such regulations and their impact at security level and at web development level. Then, a detailed list of potential vulnerabilities is presented together with a precise explanation of the matter, accessible to those who are not extensively acquainted with web development. In order to deepen the understanding of this matter, a training application has been implemented: it allows to perform penetration tests, and to train developers to solve many existing vulnerabilities that are most frequently encountered in current developments. Those vulnerabilities are examined, together with potential detection and exploitation methods and a series of countermeasures that developers may adopt to protect their applications.