Resumen
Actualmente, la gran mayoría de aplicaciones web contienen vulnerabilidades de seguridad. Probablemente, se deba a falta de cultura de los desarrolladores o a la ausencia de técnicas de codificación específicas. Se analizaron ciertos trabajos relacionados al tema, pero consideramos que no definen técnicas de programación precisos, ni se enfocan a un lenguaje de programación específico. El presente trabajo propone un conjunto de técnicas de programación segura para reducir las vulnerabilidades en las aplicaciones web utilizando el entorno de desarrollo PHP. Para esto se determinaron diez vulnerabilidades usando las recomendaciones OWASP TOP-10. Luego, se plantean las siete técnicas y su respectiva forma de implementarlas. Se valida las técnicas y se mide las vulnerabilidades de una aplicación web en dos escenarios; con y sin la implementación de las técnicas propuestas. Los resultados muestran que el uso de las técnicas propuestas se relaciona significativamente con la cantidad de vulnerabilidades encontradas y por lo tanto mejora el nivel de seguridad de las aplicaciones web.
Referencias
[2] K. Chandrasekar et al., “Internet Security Threat Report,” Symantec, Reporte, abr. 2017.
[3] A. Mier y Terán y M. V. Martínez, “Aspectos Básicos de la Seguridad en Aplicaciones Web | Documentos - CSI -,” 25-may-2016. [En línea]. Disponible en: https://www.seguridad.unam.mx/historico/documento/index.html-id=17. [Accedido: 13-abr-2018].
[4] A. Nguyen-Tuong, S. Guarnieri, D. Greene, J. Shirley, y D. Evans, “Automatically Hardening Web Applications Using Precise Tainting,” in Security and Privacy in the Age of Ubiquitous Computing, 2005, pp. 295-307.
[5] J. Xie, B. Chu, H. R. Lipford, y J. T. Melton, “ASIDE: IDE Support for Web Application Security,” in Proc. of the 27th Annual Computer Security Applications Conference, New York, NY, USA, 2011, pp. 267–276.
[6] M. A. Mendoza, M. Patiño, y P. Julián, “Desarrollo de una propuesta metodológica para determinar la seguridad en una aplicación web,” 2011.
[7] Y. Romero y E. Nataly, “Guía de buenas prácticas de desarrollo de aplicaciones web seguras aplicado al sistema control de nuevos aspirantes Empresa Grupo LAAR,” Dic. 2014.
[8] F. López Provencio, “Desarrollo dirigido por la seguridad,” 2015.
[9] G. Deepa y P. S. Thilagam, “Securing web applications from injection and logic vulnerabilities: Approaches and challenges,” Inf. Softw. Technol., vol. 74, pp. 160-180, jun. 2016.
[10] C. Huang, J. Liu, Y. Fang, y Z. Zuo, “A study on Web security incidents in China by analyzing vulnerability disclosure platforms,” Comput. Secur., vol. 58, pp. 47-62, may 2016.
[11] K. Singh, P. Singh, y K. Kumar, “Application layer HTTP-GET flood DDoS attacks: Research landscape and challenges,” Comput. Secur., vol. 65, pp. 344-372, mar. 2017.
[12] I. Hydara, A. B. M. Sultan, H. Zulzalil, y N. Admodisastro, “Current state of research on cross-site scripting (XSS) – A systematic literature review,” Inf. Softw. Technol., vol. 58, pp. 170-186, feb. 2015.
[13] OWASP Foundation, “OWASP Top 10 Proactive Controls 2016,” 2016.
Los autores que publican en el Congreso de Ciencia y Tecnología están de acuerdo con los siguientes términos: Los autores conservan los derechos de autor y garantizan al congreso el derecho de ser la primera publicación del trabajo al igual que licenciado bajo una Creative Commons Attribution License que permite a otros compartir el trabajo con un reconocimiento de la autoría del trabajo y la publicación inicial en el congreso. Los autores pueden establecer por separado acuerdos adicionales para la distribución no exclusiva de la versión de la obra publicada en el congreso (por ejemplo, situarlo en un repositorio institucional o publicarlo en un libro), con un reconocimiento de su publicación inicial en este congreso. Se permite y se anima a los autores a difundir sus trabajos electrónicamente (por ejemplo, en repositorios institucionales o en su propio sitio web) antes y durante el proceso de envío, ya que puede dar lugar a intercambios productivos, así como a una citación más temprana y mayor de los trabajos publicados.