Seguridad de JAX-RS frente a ataques por inyección de código

Trabajo de InvestigaciónSe implementan tres algoritmos de ataques de inyección de código. Teniendo en cuenta estos algoritmos se definen los requerimientos para diseñar y desarrollar el prototipo, se describe la arquitectura de la aplicación, además del escenario de pruebas donde se encuentran los servicios Web a ser atacados. Por último se indican los niveles de vulnerabilidad encontrados en cada una de las implementaciones seleccionadas y se finaliza con un análisis de los resultados y algunas conclusiones de la investigación.Trabajo de investigaciónINTRODUCCIÓN 1. GENERALIDADES 2. SELECCIÓN DE ALGORITMOS 3. DEFINICIÓN DE REQUISITOS 4. DISEÑO DEL SISTEMA 5. ARQUITECTURA DEL SISTEMA 6. DESARROLLO DEL SISTEMA 7. ESCENARIO DE PRUEBAS 8. EVALUACIÓN DE VULNERABILIDADES 9. CONCLUSIONES REFERENCIASPregradoIngeniero de Sistema

Patrones de seguridad software en el contexto de la Arquitectura multicapa para la plataforma J2EE

Durante las últimas décadas la dependencia de los sistemas informáticos en todos los ámbitos de la sociedad ha crecido de forma exponencial. Hoy en día cualquier empresa depende de un sistema informático para almacenar información, gestionar su actividad comercial o tomar decisiones de negocio. Además, cualquier persona en su vida diaria realiza gestiones mediante sistemas informáticos, como la gestión de sus cuentas bancarias, el pago de los impuestos, compras en internet, etc. Debido a la rápida adopción de tecnologías en red han aparecido nuevas amenazas tales como interrupciones de servicio, accesos no autorizados, suplantación o robo de identidad, robo de datos confidenciales y muchos más riesgos de seguridad. Estas amenazas exponen la importancia de la seguridad e imponen a las empresas una responsabilidad legal y ética de almacenar de forma segura la información. Forzar los mecanismos de seguridad a todos los niveles asegura que la información es procesada, almacenada o transmitida de forma segura. En este proyecto hemos dotado de seguridad a todos los niveles a una aplicación en el contexto de la arquitectura multicapa para la plataforma J2EE. Mediante este proyecto no sólo hemos protegido a la aplicación de ataques como inyección SQL o acceso no autorizado, sino que también se han registrado todas las operaciones realizadas de forma segura, con el propósito de conocer al autor, la fecha y la operación realizada. Los mecanismos de seguridad implementados también incluyen, entre otros, la transmisión de datos de forma segura a través de la red mediante WS-Security y HTTPS, la monitorización de los servicios web y la intercepción de los mensajes enviados a través de la red para su autorización en función de distintos parámetros como la IP

Laboratorio de análisis de malwares para fines educativos

El laboratorio de análisis de malware fue creado como herramienta de soporte del proyecto de investigación “Sistema de Detección de Código malicioso – ransomware” (PID 4991). Dicho proyecto tiene como objetivo proveer un ambiente seguro para el análisis de software potencialmente dañino. Este laboratorio permite realizar tareas de investigación así como también tareas de capacitación a docentes con el propósito de crear contenido para cátedras de seguridad informática o materias relacionadas tales como Sistemas Operativos o Redes de Información.Red de Universidades con Carreras en Informátic

Sistema de monitorización continua de descargas parciales para trasformadores de alta potencia

La monitorización de transformadores de alta potencia se presenta como una tarea crucial dentro del mantenimiento de las subestaciones eléctricas. Además de pérdidas de suministro, los fallos en los transformadores de alta potencia llevan asociados una serie de costes que en ocasiones pueden llegar a dispararse. Mientras se encuentra en servicio, un transformador de alta potencia proporciona gran variedad de información entre la que podemos destacar la facilitada por las descargas parciales producidas en el propio aislante del transformador. Estas se traducen en emisiones acústicas que con el sistema de adquisición adecuado se pueden capturar para posteriores análisis. Uno de esos sistemas de adquisición es la Tarjeta de Adquisición PDA14 de Signatec. Esta tarea de monitorización se convierte en monitorización continua ofreciendo la posibilidad de interactuar de forma remota con el sistema de monitorización. La interacción remota, ya sea en entornos experimentales o en la monitorización continua de transformadores de potencia es posible gracias a avances tecnológicos como Java y en particular Java Enterprise Edition, que además proporciona los mecanismos necesarios para solucionar algunos de los inconvenientes derivados de los sistemas distribuidos, como por ejemplo, la seguridad. De esta forma, se ha desarrollado un Sistema de Monitorización Continua de Descargas Parciales para Transformadores de Alta Potencia que, gracias a sus funcionalidades, permite avanzar en la prevención y detección de fallos. Entre estas funcionalidades conviene destacar la capacidad de configurar la tarjeta de adquisición PDA14 de Signatec para almacenar, visualizar y descargar las emisiones acústicas generadas por las descargas parciales producidas en el aislamiento de un transformador en funcionamiento. _______________________________________________________________________________________________________________________The monitoring of high power transformers is presented as a crucial task in the maintenance of electric substations. In addition to loss of supply, failures of high power transformers are associated with a series of costs that can sometimes skyrocket. While it is in service, a high power transformer provides a variety of information from which we can highlight the information provided by partial discharges produced in the transformer s insulation itself. These are translated into acoustic emissions that with the appropriate procurement system can be captured for later analysis. One of these acquisition systems is Signatec PDA14. This monitoring task turns into continuous monitoring offering the possibility to interact remotely with the monitoring system. Web based remote control, either in experimental environments or in the continuous monitoring of power transformers is made possible by technological advances among which we find the Java technology and above the Java Platform Enterprise Edition, which also provides the mechanisms needed to provide the security of distributed systems. In this way, a system has been developed for continuous monitoring of partial discharges for High Power Transformers that, thanks to its functionality, allows us to make progress in the prevention and detection of failures. Among these features it is important to emphasize the ability to configure Signatec PDA14 to store, view and download the acoustic emissions generated by partial discharges produced in the insulation of a transformer in operation.Ingeniería de Telecomunicació

Gobierno de APIs REST basado en SLAs

CONTEXTO La evolución de la industria hacia un modelo de software como servicio ha favorecido la aparición de un mercado de APIs en continuo crecimiento. En este contexto es necesario para los desarrolladores de APIs dar soporte a planes de precio y gestión de niveles de servicio. Para desacoplar la lógica de la API de estas tareas se han creado plataformas de gestión denominadas API Gateways. Sin embargo, estas plataformas presentan bastantes limitaciones debido a que no establecen un modelo de SLA explícito. OBJETIVOS En este trabajo se pretende realizar un estudio del estado del arte de las APIs y SaaS existentes en el mercado para comprobar las necesidades en cuanto a planes de precio y gestión de peticiones, además de estudiar los API Gateways para analizar sus funcionalidades y así construir una herramienta que proporcione soporte a las APIs para cubrir tales necesidades. RESULTADOS La investigación realizada durante este trabajo ha dado como resultado una framework que cualquier API puede incorporar, personalizable con plantillas de SLA, que dota a la API de forma automática de un sistema de gestión de autorización de peticiones basadas en cuotas establecidas en los acuerdos. Además se ha realizado un estudio de las necesidades de las APIs y características de algunos API Gateways. CONCLUSIONES En un contexto donde existe un mercado abierto y en crecimiento de APIs con modelos de precio muy variados, el framework desarrollado establece los fundamentos de un gobierno automatizado de las APIs, simplificando y abriendo la puerta a otros que tengan en cuenta elementos como los costes de infraestructura y modelos avanzados de penalizaciones. Las contribuciones de este trabajo han permitido la elaboración de un artículo para un congreso nacional y han servido de base para complementar material de algunas prácticas docentes en asignaturas de la Escuela.Universidad de Sevilla. Grado en Ingeniería Informática - Tecnologías Informática

CLUBMAT 1.1 Extensión de una aplicación web destinada al for-talecimiento de clubes escolares matemáticos integrando JavaFX2 y JavaEE6 con servicios web basados en REST

En el desarrollo de aplicaciones web empresariales existe gran variedad de tecnologías para su realización. Una tecnología importante es JavaEE6 [2]. En la arquitectura JavaEE6 se trabaja como estándar el framework JSF(Java Server Faces) para la realización de interfaces de usuario. Este framework presenta una serie de problemáticas en cuestiones de seguridad, interactividad, tiempo de desarrollo, entre otras.In the development of enterprise web applications there are a variety of technologies for its implementation. An important technology is JavaEE6 [2]. JavaEE6 architecture utilizes JSF (Java Server Faces) as standard framework for conducting user interfaces. This framework presents a several number of problems in security, interactivity, development time among others.Ingeniero (a) de SistemasPregrad

SEMSE search : sistema de recuperación conceptual de esquemas de metadatos

La Web actual ofrece una gran cantidad de información pero que es poco o nada procesable de forma automática, esto es, entendible y capaz de ser tratada por un ordenador, más allá de las búsquedas sintácticas que son capaces de realizar los buscadores actuales. Esta carencia, limita en gran medida las posibilidades que podría ofrecer una Web preparada para el procesamiento automático de la información. Una Web en la que los buscadores supieran exactamente qué quiere buscar el usuario y con qué significado, poder mostrar la información sin obligar al usuario a visitar página por página o incluso mostrar la información mediante resúmenes o análisis automáticos. Como solución se propone la Web Semántica, una Web en la que cada recurso publicado en la Web contenga una capa semántica desarrollada mediante esquemas de metadatos, capaces de ser leídos y procesados de forma automática por un ordenador. Sin embargo, esto implica que los desarrolladores utilicen unos esquemas de metadatos apropiados que les permita especificar qué tipo de información es la que se muestra en cada recurso. En muchos casos, esto suele provocar que cada desarrollador cree su propio esquema adaptado a sus necesidades, pasando por alto el hecho de que puedan existir ya esquemas que le puedan resultar de utilidad. En este punto es en el que entra este proyecto, de forma que propone solucionar este problema mediante la creación de un buscador específico, que permita al desarrollador buscar un concepto y que, mediante una base semántica propia, se ofrezca al usuario un listado de todos los esquemas de metadatos que contengan dicho concepto o alguno semánticamente equivalente. De esta forma se facilita la reutilización de esquemas y se allana el camino hacia la Web Semántica.Ingeniería Técnica en Informática de Gestió

Tecnología y Accesibilidad Volumen 2

Prologar el texto de las actas del VII Congreso Internacional sobre Aplicación de Tecnologías de la Información y Comunicaciones Avanzadas (ATICA2016) y de la IV Conferencia Internacional sobre Aplicación de Tecnologías de la Información y Comunicaciones para mejorar la Accesibilidad (ATICAcces 2016), no solo es una tarea privilegiada sino también una responsabilidad, en especial con la sociedad que solicita tecnologías inclusivas y comunicaciones efectivas en pro de la equidad. Es interesante señalar que el anhelo por consolidar categorías que favorezcan la participación social ha sido el sueño y trabajo de muchos, por ejemplo vale recordar que en este año del Congreso se cumplen 500 desde que Tomás Moro ofreciera al mundo su voz en “UTOPIA”, donde en la idealización de su isla estampó una cultura de trabajo, cooperación y democracia, sin descuidar que proclamó a Amauroto, la capital de su República, como una de total accesibilidad para que todo ciudadano pueda llegar y gozar de ella, con suficiente agua para todos; su localidad estaba constituida por casas que eran custodiadas por cerraduras tan simples que cualquiera podía ingresar o salir de ellas ya que el verdadero tesoro de toda persona era su propio ser. Este breve evocar, da la pauta para promover Utopías necesarias en cuanto a las TIC, que aunque sabemos que es quimérico hablar de ellas como totalmente abiertas y al alcance de todos, debería ser éste el ideal de los hombres cuya ciencia, hoy en día, permite integrarnos a esta nuestra aldea global, es por ello que ATICA 2016 busca romper aquellos muros virtuales y tecnológicos que impiden una comunicación efectiva en nuestros tiempos. El trabajo del Congreso también semeja a la norma de discusión del Senado de Utopía, donde sus expositores socializan sus lógicas mejores, no hay intervención que no sea fruto de la madurez de un proceso investigativo científico que procure el bien público. Parece igualmente exacto ver como entre los participantes existe una suerte de familia, que aunque adoptiva, por configurarse alrededor de un objetivo común como ATICA 2016, a todos ellos, su dedicación a la ciencia y la tecnología al servicio de los más necesitados, los ha unido. En esta ocasión los autores representan a 11 países: Argentina, Brasil, Colombia, Cuba, Ecuador, España, Francia, Guatemala, México, Panamá y Perú; es notable ver como los frutos académicos expuestos en los 80 artículos científicos aceptados de un total de 115 enviados, 36 abordan la línea de “Aplicación de Tecnologías de la Información y Comunicaciones para mejorar la Accesibilidad” y los restantes 44 son sobre “Aplicación de Tecnologías de la Información y Comunicaciones Avanzadas”, todos ellos superan en mucho las horas normales de trabajo, en resumen es evidente el esfuerzo académico y la convicción por un mundo más accesible desde las TIC .En el relato de Moro, la verdadera felicidad, es la libertad y el desarrollo de valores espirituales, pero también existe posibilidad para la guerra y la esclavitud, asimismo como la ciencia y tecnología pueden ser consideradas herramientas de doble arista; por ello el Congreso enfocó muy bien su debate y su comité científico, formado por académicos internacionales, aseguró que ATICA 2016 esté en torno a la inclusión y a la equidad. Igual satisfacción que dejó en su tiempo Utopía a aquellos a los cuáles le fue develada, encontrarán las gentes de hoy en ATICA 2016. Las memorias del evento ponen de manifiesto nuevas lógicas comunicativas y tecnológicas, pero sobre todo nos dicen que, conforme hace 500 años, es posible soñar en un futuro mejor si la ciencia y tecnología están al servicio del ser humano

Gengular : hacia la automatización de aplicaciones empresariales bajo el paradigma de arquitectura SPA y el enfoque MDE

Las empresas que desarrollan proyectos de software requieren automatizar la construcción de aplicaciones con el fin de reducir los costos y tiempos de implementación; sin embargo, el proceso para reutilizar e integrar sus activos tecnológicos empresariales a nuevos proyectos es complejo y además enfrentan la problemática de preservar en el tiempo sus sistemas de información frente a la constante evolución de plataformas y tecnologías. En el presente trabajo de grado, se propone una alternativa de solución a estas dos problemáticas aplicando el enfoque de la ingeniería dirigida por modelos (MDE), a partir de modelos en el lenguaje ISML que son independientes de cualquier tecnología y que permiten generar aplicaciones web modernas que siguen el paradigma de arquitectura SPA, mediante un transformador de código denominado Gengular. Adicionalmente en este trabajo se modelaron componentes empresariales que se preservan en el tiempo por ser independientes de cualquier tecnología, y que al mismo tiempo son fáciles de acoplar a aplicaciones SPA mediante las herramientas construidas en el proyecto.Magíster en Ingeniería de Sistemas y ComputaciónMaestrí

Análisis Hibernate como Tecnología de Persistencia de Objetos sobre Base de Datos Realcionales en Aplicaciones Empresariales: Caso Práctico: Control de Bienes del Gobierno Municipal de Carlos Julio Arosemena Tola

Se analizó la tecnología Hibernate como Framework de persistencia en el desarrollo de aplicaciones web. Caso Práctico: Control y gestión de bienes del Gobierno Autónomo Descentralizo Municipal del cantón Arosemena Tola, Provincia Napo. Para el desarrollo de esta investigación se utilizó el método de investigación Científico con el fin de levantar, recopilar información, analizar e interpretar los resultados que permitieron la comprobación de la hipótesis para ello se utilizaron recursos hardware, software para la implementación del sistema y ofimático como son las encuestas para su posterior tabulación y aplicación del método estadístico T-Student; además se hizo uso del método descriptivo para describir las características más sobresalientes de la tecnología Hibernate. Como resultados del análisis y comparación de las tecnologías de Mapeo Objeto Relacional (ORM) Hibernate y EclipseLink, se mostro que Hibernate alcanzo el 98% de eficiencia frente a 78,43% alcanzado por EclipseLink. Como se demostró en el estudio que la tecnología Hibernate es de gran ayuda para los desarrolladores de aplicaciones basados en la tecnología J2EE. Se concluye que reduce significativamente el tiempo de desarrollo de la aplicación, consume menos recursos, permite adaptar código de acuerdo a la necesidad del usuario, puede integrarse con una gran variedad de Frameworks, posee una excelente documentación y se acopla muy bien a la arquitectura Modelo Vista Controlador. Se recomienda el uso de este Framework para el desarrollo de aplicaciones web empresariales puesto que ofrece grandes ventajas al reducir tiempo de desarrollo, eliminando muchos problemas con el manejo de base de datos relacionales