Herramientas de análisis dinámico de vulnerabilidades en aplicaciones web
| dc.contributor.advisor | García Villalba, Luis Javier | |
| dc.contributor.advisor | Sandoval Orozco, Ana Lucila | |
| dc.contributor.author | Armas Vega, Esteban Alejandro | |
| dc.date.accessioned | 2023-06-18T07:24:12Z | |
| dc.date.available | 2023-06-18T07:24:12Z | |
| dc.date.issued | 2016 | |
| dc.description | Máster en Ingeniería Informática, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, curso 2015-2016 | |
| dc.description.abstract | Es habitual el uso de escáneres de vulnerabilidades para examinar la seguridad de aplicaciones web y en la literatura existen muchos trabajos que comparan las capacidades de detección de estas herramientas. Estos trabajos analizan aplicaciones web vulnerables con herramientas de análisis dinámico y luego comparan los informes resultantes. De esta comparación y posterior análisis, clasifican las herramientas de acuerdo al número de vulnerabilidades que detectan. En este trabajo, a diferencia de otras investigaciones, se pretende ir más allá y con el uso de un modelo de pruebas distinto al usado tradicionalmente, verificar las vulnerabilidades que detectan las herramientas, las pruebas que ejecutan y las vulnerabilidades que busca, de aquellas que realmente están presentes en la aplicación web analizada. A través de esto, se puede saber si las pruebas realizadas son eficientes y conocer dos aspectos relevantes sobre las herramientas de análisis dinámico de vulnerabilidades en aplicaciones Web: Qué pruebas no realizan las herramientas aunque están capacitadas para ello y qué pruebas realizan pero no reportan vulnerabilidades que realmente tienen las aplicaciones. Se modificó el modelo de pruebas utilizado en muchos trabajos anteriores colocando un IDS en medio de las herramientas de detección y las aplicaciones web vulnerables. De toda esta información recogida se comprobó que algunas de las herramientas no buscan vulnerabilidades conocidas y documentadas que se encuentran en las aplicaciones web analizadas, a pesar de que la herramienta tiene la capacidad de detección, y en otros casos, se realizan pruebas para detectar vulnerabilidades que realmente existen en las aplicaciones web analizadas pero que finalmente no se informa de su existencia. | |
| dc.description.abstract | It is common to use automatic detection tools to review the security vulnerabilities of web applications and in the literature there are many studies that compare the detection capabilities of these tools. These studies analyze vulnerable web applications with dynamic analysis tools and then comparing the resulting reports. From the comparative and analysis, scanners are classified according to the number of vulnerabilities found correctly. In this study, unlike other studies, wants to go much further and using a different test model than the typically used in previews works, verify vulnerabilities that the scanners can detect, the tests that they perform and the vulnerabilities that try to detect from those who really are present into the analyzed web application. Through this, it can tell if the performed tests are efficient and know two relevant aspects about these scanners: What tests are not made by the tool even if the scanner are capable to do it and what tests to find vulnerabilities are made but do not report any vulnerability of those that really has the web application. The usual test model has been modified adding an IDS between the detection tools and the vulnerable web applications. From all collected information, was proofed it, in some cases automated tools are not looking for vulnerabilities existing in web applications despite they have the ability to detect it, and in other cases, conduct tests to detect vulnerabilities that actually exist in the web applications analyzed but ultimately do not report their existence. | |
| dc.description.department | Depto. de Ingeniería de Software e Inteligencia Artificial (ISIA) | |
| dc.description.faculty | Fac. de Informática | |
| dc.description.refereed | TRUE | |
| dc.description.status | unpub | |
| dc.eprint.id | https://eprints.ucm.es/id/eprint/45279 | |
| dc.identifier.uri | https://hdl.handle.net/20.500.14352/25206 | |
| dc.language.iso | spa | |
| dc.master.title | Máster en Ingeniería Informática | |
| dc.page.total | 90 | |
| dc.rights | Atribución-NoComercial 3.0 España | |
| dc.rights.accessRights | open access | |
| dc.rights.uri | https://creativecommons.org/licenses/by-nc/3.0/es/ | |
| dc.subject.cdu | 004.056(043.3) | |
| dc.subject.cdu | 004.42:004.382.73(043.3) | |
| dc.subject.cdu | 004.738.52:338.46(043.3) | |
| dc.subject.keyword | Análisis dinámico | |
| dc.subject.keyword | Aplicaciones Web | |
| dc.subject.keyword | IDS | |
| dc.subject.keyword | Seguridad informática | |
| dc.subject.keyword | Vulnerabilidades | |
| dc.subject.keyword | Dynamic analysis | |
| dc.subject.keyword | Security | |
| dc.subject.keyword | Vulnerabilities | |
| dc.subject.keyword | Web application | |
| dc.subject.ucm | Internet (Informática) | |
| dc.subject.ucm | Software | |
| dc.subject.ucm | Seguridad informática | |
| dc.subject.unesco | 3325 Tecnología de las Telecomunicaciones | |
| dc.subject.unesco | 3304.16 Diseño Lógico | |
| dc.title | Herramientas de análisis dinámico de vulnerabilidades en aplicaciones web | |
| dc.type | master thesis | |
| dspace.entity.type | Publication | |
| relation.isAdvisorOfPublication | 0f67f6b3-4d2f-4545-90e1-95b8d9f3e1f0 | |
| relation.isAdvisorOfPublication | dea44425-99a5-4fef-b005-52d0713d0e0d | |
| relation.isAdvisorOfPublication.latestForDiscovery | 0f67f6b3-4d2f-4545-90e1-95b8d9f3e1f0 | |
| relation.isAuthorOfPublication | 30761240-335e-4c8f-842f-6674fe2f8a06 | |
| relation.isAuthorOfPublication.latestForDiscovery | 30761240-335e-4c8f-842f-6674fe2f8a06 |
Download
Original bundle
1 - 1 of 1
