Integración de plugin a un navegador Web para análisis de vulnerabilidades en JavaScript

Trabajo de InvestigaciónEn este trabajo de grado se realizó la integración de un plugin a un navegador web para análisis de vulnerabilidades en JavaScript, para realizar la investigación fue necesario efectuar un análisis de los principales BadSmell, del lenguaje interpretado JavaScript, navegadores web y como desarrollar plugins, entre otros; para así, lograr obtener la mejor información de cómo sería la integración del plugin al navegador web más idóneo.PregradoIngeniero de Sistema

Desarrollo del producto para test de penetración enfocado en el fuzzing de aplicaciones

Vivimos en plena era tecnológica, donde cada vez más información y datos de carácter personal son informatizados. La seguridad de los sistemas toma mayor importancia, sobre todo ahora que hay más amenazas y vulnerabilidades es necesario proteger uno de los activos más importantes de la organización, la información, garantizando siempre la disponibilidad, la confidencialidad e integridad de la misma. Nuestro fin es dar a conocer que mediante la implementación y mejora de herramientas que sean capaces de categorizar la veracidad de las alertas y descartar los fallos de las aplicaciones, se podrá garantizar a la organización a que adopte las buenas prácticas sugeridas por la ISO27001:2005 para un correcto tratamiento del riesgo. El proyecto consiste en la oferta, al mercado nacional, de un servicio de análisis de seguridades de red y aplicaciones basado en técnicas de fuzzing las mismas que consisten no sólo identificar huecos de seguridad a nivel de aplicación sino también identificar la tolerancia a fallas, capacidad de procesamiento, corrupción de memoria y errores en general. El desarrollo de este proyecto se enfocará en 3 puntos. El primero es desarrollar y ejecutar la estrategia de ventas, publicidad y marketing del Servicio (Brochure, Sitios Web, descripción técnica). El segundo punto consiste en empaquetar y customizar el Kit de herramientas que se usarán para lo cual se hará un estudio del arte de los recursos existentes, para plantear y validar mejoras, crear una base de datos con los parámetros necesarios para la respectiva documentación y reporte. Y por ultimo desarrollar la metodología que categorice la veracidad de las alertas para así descartar falsos positivos de todos los reportes que arrojen las herramientas acorde a los datos guardados en la base de datos

Análisis de sistemas WAF

La finalidad del presente trabajo está enfocado al uso de soluciones WAF (Web Application Firewall) con herramientas Open Source, se van a describir las principales vulnerabilidades que poseen las aplicaciones Web, los antecedentes, funcionamiento y la importancia que estas soluciones WAF desempeñan como segmento de seguridad sobre los aplicativos web de las empresas para garantizar la confidencialidad, la integridad y disponibilidad de la información. Se implementó un laboratorio para mitigar algunos ataques comunes sobre el aplicativo web vulnerable denominado DVWA de la herramienta Web Security Dojo, con el uso de soluciones WAF con herramientas Open Source. Vectores de ataques como por ejemplo: XSS, Inyección SQL, fuerza bruta, File inclusión, etc; que se encuentran establecidas en el top 10 de las amenazas lanzadas por el Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP). Se integró al laboratorio de pruebas, la herramienta ELK stack, para la gestión de logs de los WAFs. Con la finalidad de poder tener una herramienta Open Source, para la administración de registros, permitiendo la monitorización, consolidación y análisis de logs generados en múltiples servidores, con el objetivo de poder tomar decisiones que nos ayuden a mejorar la seguridad de nuestros sistemas.The purpose of this job is focused on the use of WAF (Web Application Firewall) with tools Open Source, the main vulnerabilities that Web applications have are described,the background, operation and importance that these WAF solutions act as a security segment on the web applications of companies to guarantee the confidentiality, integrity and availability of information. A laboratory was implemented to mitigate some common attacks on the vulnerable web application called DVWA of the Web Security Dojo tool, with the use of WAF solutions with Open Source tools. Attack vectors such as: XSS, SQL injection, brute force, File inclusion, etc; which are established in the top 10 of the threats launched by the Open Web Application Security Project (OWASP). The ELK stack tool was integrated into the test laboratory for the management of WAF logs. In order to have an Open Source tool, for records management, allowing monitoring, consolidation and analysis of logs generated on multiple servers, with the objective to take decisions that help us improve the security of our systems.La finalitat d'aquest treball està enfocat a l'ús de solucions WAF (Web Application Firewall) amb eines Open Source. Es descriuen les principals vulnerabilitats que posseeixen les aplicacions web, els antecedents, funcionament i la importància que aquestes solucions WAF exerceixen com a segment de seguretat sobre els aplicatius web de les empreses per garantir la confidencialitat, la integritat i disponibilitat de la informació. S'implementa un laboratori per mitigar alguns atacs comuns sobre l'aplicatiu web vulnerable denominat DVWA de l'eina web Security Dojo, amb l'ús de solucions WAF amb eines Open Source. Vectors d'atacs com ara: XSS, Injecció SQL, força bruta, File inclusió, etc.; que es troben establerts en el top 10 d'amenaces llançades pel Projecte Obert de Seguretat en Aplicacions Web (OWASP). S'integra al laboratori de proves, l'eina ELK stack, per a la gestió de logs dels WAFS. Amb la finalitat de poder tenir una eina Open Source, per a l'administració de registres, permetent el monitoratge, consolidació i anàlisi de logs generats en múltiples servidors, amb l'objectiu de poder prendre decisions que ajudin a millorar la seguretat dels sistemes

Seguridad de aplicaciones web basadas en las tecnologías Node.js y MongoDB: Estudio y caso de uso

En los últimos años ha tenido lugar un incremento muy significativo del uso de las Tecnologías de la Información y de las Comunicaciones (TICs). Esto ha provocado un gran incremento en el interés de las empresas por estar online y prestar sus servicios a través de plataformas digitales, actualizando sus herramientas de trabajo y digitalizando al máximo sus medios de producción. Este proceso de digitalización se ha visto potenciado por la irrupción de los servicios de almacenamiento y gestión en la nube, así como por la proliferación de dispositivos móviles inteligentes de bajo coste. Ahora bien, esta mejora en el acceso y manejo de nuestros datos no está exenta de riesgos ya que evitar los ciberataques supone a día de hoy un gran reto para cualquier proyecto. Los ataques digitales tienen cierta ventaja gracias al alcance y anonimato del atacante. Con el uso de los servicios en la nube el desarrollo de aplicaciones web ha experimentado una evolución desde arquitecturas centradas en el servidor hacia soluciones centradas en el usuario. El objetivo de este trabajo es estudiar las principales amenazas que se pueden encontrar en aplicaciones web desarrolladas mediante enfoques centrados en el lado del cliente (client-side web development), lo que incorpora nuevos vectores de amenazas distintos a los sistemas convencionales (backend y frontend). Asimismo, el presente proyecto da cuenta de la otra gran tendencia existente en el ecosistema TIC: la ubicuidad de los usuarios finales y el acceso a los recursos mediante dispositivos móviles inteligentes. De modo correspondiente, el trabajo incorporará la funcionalidad necesaria para que los usuarios puedan utilizar la aplicación web desde sus dispositivos de modo seguro y favoreciendo una buena experiencia de navegación. El presente proyecto estudia las vulnerabilidades de aplicaciones cloud móviles. Ahora bien, tal estudio se efectúa como parte en el diseño e implementación de una aplicación web con la que controlar una empresa de mercancías y su logística. Dicha aplicación ha sido solicitada por un cliente que necesita conocer la logística de las mercancías que compra a diario para diferentes tiendas con el fin de favorecer su adaptabilidad y el uso en diferentes sistemas. Se ha optado por el desarrollo de una aplicación híbrida, desarrollada utilizando tecnologías web que pueden ser ejecutadas en cualquier entorno móvil sin importar su sistema operativo. Toda la solución software ha sido diseñada considerando las vulnerabilidades estudiadas a lo largo del trabajo, de forma que en la implementación se han tenido en cuenta las principales amenazas a la seguridad de aplicaciones web desarrolladas en el lado del cliente, implementándose en cada caso las contramedidas necesarias.Over the last years, the use of Information and Communication Technologies (ICT) has grown significantly. As a consequence, many companies have decided to adapt their business according to the possibilities and needs of the digital world. This transition has been fueled by the irruption of cloud-based storage and computing means, along with the popularization of low cost smartphones. Nonetheless, this ecosystem conveys not only positive outcomes, but it also encloses some risks for the security of information systems. In fact, during the last years the number of attacks against web systems and applications has increased a lot. These attacks are anonymous and sometimes very difficult to be detected. Therefore, the hardening of these applications is a great challenge. Web application development has evolved radically from server-based architectures to user-centered solutions. The objective of this project is to analyze the most critical security risks in the client-side development, what incorporates new types of attacks that did not exist in conventional systems built upon clear distinction between backend and frontend sub-systems. In addition, this project is aligned with the current trend in ICT: end users ubiquity and information access through smartphones. This work incorporates the necessary functionality to foster a secure and easy-to-use browsing experience. This project studies mobile cloud applications vulnerabilities. Such a study is an important part of the design and development of a web application intended to manage the stock and the logistics of a company. This application considers a client that needs to manage different shops and warehouses. The project uses hybrid technologies based on a web environment that can be run in any device with any operating system. This software solution has been designed considering all the vulnerabilities studied here and adopting the adequate means to impede the corresponding security threats

Análisis de la seguridad del sitio web del Ministerio del Trabajo aplicando pruebas de Pentesting en la sede principal de la ciudad de Bogotá.

Este trabajo tiene como objeto identificar las vulnerabilidades del sitio Web del Ministerio del Trabajo, usando como referencia la lista de vulnerabilidades del Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) entregar las recomendaciones o controles que deben aplicarse para la corrección o mitigación, se indican algunas herramientas usadas en el proceso del cual se realiza la documentación de las pruebas del análisis de seguridad realizado, la información recolectada o resultado, igualmente resalta la importancia que tienen las auditorias periódicas de los sistemas, todo esto profundizando en los aspectos que se consideran importantes para mantener la seguridad de una plataforma web, como conclusión del proyecto se encuentra una serie de vulnerabilidades identificadas, controles recomendados y las conclusiones del proyecto.The purpose of this work is to identify the vulnerabilities of the Ministry of Labors website, using as a reference the list of vulnerabilities of the Open Web Applications Security Project (OWASP) to provide the recommendations or controls that should be applied for the correction or mitigation, some tools used in the process of which the documentation of the safety analysis tests carried out, the information collected or the result are indicated, also highlights the importance of the periodic audits of the systems, all this in depth in the aspects that are considered important to maintain the security of a web platform, as a conclusion of the project is a series of identified vulnerabilities, recommended controls and the conclusions of the project

FoCoS: Una herramienta para concientización sobre seguridad en Internet

El presente trabajo detalla toda la labor de análisis e investigación realizada para alcanzar la implementación de una herramienta de concientización en seguridad y privacidad sobre Internet. Para lograr dicha herramienta fue necesario realizar diversas tareas: análisis de distintos sitios web que brindan información sobre la Seguridad en Internet, análisis de Redes Sociales Open Source disponibles en la Web, investigación de alternativas para detectar la tecnología desde donde accede el usuario a un sitio web, entre otras. Adicionalmente, esta herramienta producto de todo el trabajo realizado, se integró a un proyecto iniciado por la Facultad de Informática, “Caperucita fue víctima de la Ingeniería Social: Concientización en seguridad informática para todos”, para permitir reunir/formar una comunidad que comparta experiencias, inquietudes, conocimientos, opiniones, etc.Facultad de Informátic

FoCoS: Una herramienta para concientización sobre seguridad en Internet

El presente trabajo detalla toda la labor de análisis e investigación realizada para alcanzar la implementación de una herramienta de concientización en seguridad y privacidad sobre Internet. Para lograr dicha herramienta fue necesario realizar diversas tareas: análisis de distintos sitios web que brindan información sobre la Seguridad en Internet, análisis de Redes Sociales Open Source disponibles en la Web, investigación de alternativas para detectar la tecnología desde donde accede el usuario a un sitio web, entre otras. Adicionalmente, esta herramienta producto de todo el trabajo realizado, se integró a un proyecto iniciado por la Facultad de Informática, “Caperucita fue víctima de la Ingeniería Social: Concientización en seguridad informática para todos”, para permitir reunir/formar una comunidad que comparta experiencias, inquietudes, conocimientos, opiniones, etc.Facultad de Informátic

Analíticas de seguridad de código fuente

Grado en Informátic

Metodología para mejorar la calidad de la entrega continua de proyectos software desplegados sobre plataformas de gestión de contenidos

El proceso de desarrollo de software se encuentra en constante evolución. Por ello, muchas empresas apuestan por la implementación de metodologías de integración y entrega continua en sus proyectos. Esta decisión agiliza los trabajos de detección y depuración de errores, así como asegura unos mínimos de calidad en el producto mediante pruebas en todas las etapas del desarrollo. Hoy en día la gran mayoría de equipos trabajan utilizando un sistema de control de versiones que a su vez se desea que sirva como plataforma para desplegar ese producto. Se hace interesante la idea de poder aunar todo el proceso de desarrollo, revisión y entrega en una misma plataforma, permitiendo un acceso fácil a todas las partes implicadas.Este Trabajo de Fin de Grado estudia el estado actual de la integración y entrega continua en proyectos sobre plataformas de gestión de contenido (CMS) como Drupal en un entorno de trabajo real, y propone la mejora e implantación de una metodología de entrega continua utilizando control de versiones y tecnologías de virtualización. La metodología de entrega continua se implementa mediante el uso de ‘tuberías’ homogéneas sobre el sistema de integración continua de GitLab CI. Este procedimiento incluye la automatización de la ejecución de pruebas de análisis estático, pruebas unitarias, funcionales, seguridad y rendimiento utilizando diferentes frameworks.Este trabajo se ha desarrollado en el ámbito de la empresa Hiberus Digital Business, S.L. Esto ha permitido validar la metodología propuesta sobre un caso real.<br /