Técnicas de programación segura para mitigar vulnerabilidades en aplicaciones web

Joffre Stalin Monar Monar; Danilo Mauricio Pastor Ramirez; Gloria de Lourdes Arcos Medina; Mayra Alejandra Oñate Andino

doi:10.24133/cctespe.v13i1.753

Vol. 13 Núm. 1 (2018), CIENCIAS DE LA COMPUTACIÓN

Vol. 13 Núm. 1 (2018)

Técnicas de programación segura para mitigar vulnerabilidades en aplicaciones web

CIENCIAS DE LA COMPUTACIÓN

Publicado 2018-06-23

Joffre Stalin Monar Monar⁺⁻
Danilo Mauricio Pastor Ramirez⁺⁻
Gloria de Lourdes Arcos Medina⁺⁻
Mayra Alejandra Oñate Andino⁺⁻

Joffre Stalin Monar Monar

Escuela Superior Politécnica de Chimborazo Extensión Morona Santiago

Danilo Mauricio Pastor Ramirez

Escuela Superior Politécnica de Chimborazo

Gloria de Lourdes Arcos Medina

Escuela Superior Politécnica de Chimborazo

Mayra Alejandra Oñate Andino

Escuela Superior Politécnica de Chimborazo

PDF

Palabras clave

Contabilidad
Inventarios
Stock
Mercaderías
Kárdex

Resumen

Actualmente, la gran mayoría de aplicaciones web contienen vulnerabilidades de seguridad. Probablemente, se deba a falta de cultura de los desarrolladores o a la ausencia de técnicas de codificación específicas. Se analizaron ciertos trabajos relacionados al tema, pero consideramos que no definen técnicas de programación precisos, ni se enfocan a un lenguaje de programación específico. El presente trabajo propone un conjunto de técnicas de programación segura para reducir las vulnerabilidades en las aplicaciones web utilizando el entorno de desarrollo PHP. Para esto se determinaron diez vulnerabilidades usando las recomendaciones OWASP TOP-10. Luego, se plantean las siete técnicas y su respectiva forma de implementarlas. Se valida las técnicas y se mide las vulnerabilidades de una aplicación web en dos escenarios; con y sin la implementación de las técnicas propuestas. Los resultados muestran que el uso de las técnicas propuestas se relaciona significativamente con la cantidad de vulnerabilidades encontradas y por lo tanto mejora el nivel de seguridad de las aplicaciones web.

PDF

Referencias

[1] Y.-W. Huang, F. Yu, C. Hang, C.-H. Tsai, D.-T. Lee, y S.-Y. Kuo, “Securing Web Application Code by Static Analysis and Runtime Protection,” in Proc. of the 13th International Conference on World Wide Web, New York, NY, USA, 2004, pp. 40–52.

[2] K. Chandrasekar et al., “Internet Security Threat Report,” Symantec, Reporte, abr. 2017.

[3] A. Mier y Terán y M. V. Martínez, “Aspectos Básicos de la Seguridad en Aplicaciones Web | Documentos - CSI -,” 25-may-2016. [En línea]. Disponible en: https://www.seguridad.unam.mx/historico/documento/index.html-id=17. [Accedido: 13-abr-2018].

[4] A. Nguyen-Tuong, S. Guarnieri, D. Greene, J. Shirley, y D. Evans, “Automatically Hardening Web Applications Using Precise Tainting,” in Security and Privacy in the Age of Ubiquitous Computing, 2005, pp. 295-307.

[5] J. Xie, B. Chu, H. R. Lipford, y J. T. Melton, “ASIDE: IDE Support for Web Application Security,” in Proc. of the 27th Annual Computer Security Applications Conference, New York, NY, USA, 2011, pp. 267–276.

[6] M. A. Mendoza, M. Patiño, y P. Julián, “Desarrollo de una propuesta metodológica para determinar la seguridad en una aplicación web,” 2011.

[7] Y. Romero y E. Nataly, “Guía de buenas prácticas de desarrollo de aplicaciones web seguras aplicado al sistema control de nuevos aspirantes Empresa Grupo LAAR,” Dic. 2014.

[8] F. López Provencio, “Desarrollo dirigido por la seguridad,” 2015.

[9] G. Deepa y P. S. Thilagam, “Securing web applications from injection and logic vulnerabilities: Approaches and challenges,” Inf. Softw. Technol., vol. 74, pp. 160-180, jun. 2016.

[10] C. Huang, J. Liu, Y. Fang, y Z. Zuo, “A study on Web security incidents in China by analyzing vulnerability disclosure platforms,” Comput. Secur., vol. 58, pp. 47-62, may 2016.

[11] K. Singh, P. Singh, y K. Kumar, “Application layer HTTP-GET flood DDoS attacks: Research landscape and challenges,” Comput. Secur., vol. 65, pp. 344-372, mar. 2017.

[12] I. Hydara, A. B. M. Sultan, H. Zulzalil, y N. Admodisastro, “Current state of research on cross-site scripting (XSS) – A systematic literature review,” Inf. Softw. Technol., vol. 58, pp. 170-186, feb. 2015.

[13] OWASP Foundation, “OWASP Top 10 Proactive Controls 2016,” 2016.

Los autores que publican en el Congreso de Ciencia y Tecnología están de acuerdo con los siguientes términos: Los autores conservan los derechos de autor y garantizan al congreso el derecho de ser la primera publicación del trabajo al igual que licenciado bajo una Creative Commons Attribution License que permite a otros compartir el trabajo con un reconocimiento de la autoría del trabajo y la publicación inicial en el congreso. Los autores pueden establecer por separado acuerdos adicionales para la distribución no exclusiva de la versión de la obra publicada en el congreso (por ejemplo, situarlo en un repositorio institucional o publicarlo en un libro), con un reconocimiento de su publicación inicial en este congreso. Se permite y se anima a los autores a difundir sus trabajos electrónicamente (por ejemplo, en repositorios institucionales o en su propio sitio web) antes y durante el proceso de envío, ya que puede dar lugar a intercambios productivos, así como a una citación más temprana y mayor de los trabajos publicados.