Herramienta de análisis estático de código para encontrar vulnerabilidades de seguridad en las aplicaciones Web

Abstract

Después del análisis inicial del estado de seguridad en las aplicaciones Web y, más en concreto, en los entornos de desarrollo Java surgen los objetivos principales de este proyecto. Con el trabajo realizado en este PFC se pretende: · Estudiar los aspectos de seguridad de Java que afectan a las Aplicaciones Web: Se analizarán las amenazas más comunes y frecuentes para las aplicaciones Web. Especialmente se tendrá en cuenta las aplicaciones Web creadas con la tecnología J2EE. Se estudiarán los aspectos de seguridad Java y sus vulnerabilidades más extendidas. · Estudiar las técnicas de análisis de seguridad estático sobre desarrollos java: Se estudiará el trabajo del grupo proyecto de seguridad del grupo “Stanford SUIF Compiler Group” de la Universidad Stanford, en particular los métodos de análisis estático de código que proponen. Se analizará el proyecto LAPSE, de forma detallada, teniendo en cuenta sus antecedentes, funcionamiento, implantación y resultados que obtiene. · Mejorar las técnicas de análisis de seguridad estático sobre desarrollos java: Partiendo de los trabajos realizados por el grupo SUIF de la Universidad de Stanford se va a construir una versión actualizada y mejorada de la herramienta para detección de vulnerabilidades de seguridad en el código estático en la nueva herramienta LAPSE+ · Definir un procedimiento que describa la inclusión de nuevas vulnerabilidades en LAPSE+: Se va a definir un procedimiento para la definición e inclusión de nuevas vulnerabilidades en LAPSE+. La integración de nuevas vulnerabilidades en LAPSE+ se podrá realizar sin necesidad de entender el funcionamiento interno de la herramienta, siendo por tanto un proceso fácil y que pueden realizar los propios desarrolladores · Investigar nuevas y más recientes vulnerabilidades de las aplicaciones Web 2.0: Se investigará sobre las vulnerabilidades más recientes en las aplicaciones Web, sobre todo en el nuevo tipo de aplicaciones Web 2.0. Se incluirá la detección de estas vulnerabilidades en la herramienta LAPSE+, según el procedimiento de la inclusión anteriormente definida. Los objetivos enumerados arriba, son los objetivos generales del proyecto. De cada objetivo general se derivan unas fases de proyecto que a su vez implican unos objetivos más específicos. En la siguiente sección se describen las fases del proyecto y sus objetivos.