Ir al contenido

Documat


Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo: = Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle

  • Autores: Juan Ramon Bermejo Higuera Árbol académico
  • Directores de la Tesis: Gabriel Díaz Orueta (dir. tes.) Árbol académico
  • Lectura: En la UNED. Universidad Nacional de Educación a Distancia ( España ) en 2014
  • Idioma: español
  • Tribunal Calificador de la Tesis: Manuel Alonso Castro Gil (presid.) Árbol académico, Rafael Pastor Vargas (secret.) Árbol académico, José Ramón Soler Fuensanta (voc.) Árbol académico, Manuel Caeiro Rodríguez (voc.) Árbol académico, Xicu Xabiel García Pañeda (voc.) Árbol académico
  • Enlaces
  • Resumen
    • Las técnicas de análisis de seguridad de una aplicación, de caja blanca y de caja negra, realizadas manualmente (revisión de código, test de penetración), sufren de falta de cobertura de la superficie de ataque que tienen las aplicaciones y lo más probable es que con estas pruebas de penetración manuales se tenga una gran pérdida de detección de vulnerabilidades de seguridad. La dificultad de realizar estos test manualmente conduce al desarrollo de técnicas automáticas de análisis de la seguridad. Este trabajo de tesis trata de fijar el ¿estado del arte¿ en cuanto a las últimas tendencias de herramientas de análisis automáticas: análisis estático de caja blanca (SAST), dinámico de caja negra (DAST) y análisis dinámico de caja blanca (RAST / IAST) en tiempo real e híbridas combinando varias de los tipos anteriores. Todas estos tipos de herramientas son evaluadas de acuerdo a una metodología desde una perspectiva global para establecer el grado de eficacia de las herramientas en cuanto detecciones correctas (verdaderos positivos), falsas alarmas (falsos positivos), grado de cobertura de vulnerabilidades, etc. La metodología de evaluación de las herramientas consiste en ejecutar cada herramienta contra aplicaciones benchmark que contienen vulnerabilidades de seguridad conocidas. Al resultado de las ejecuciones, se les aplican posteriormente métricas seleccionadas y ampliamente aceptadas para establecer un ranking en cuanto a la efectividad de análisis de seguridad de cada herramienta. El objetivo final del resultado de la evaluación de los diferentes tipos de herramientas mencionados, es la derivación de un modelo de ciclo de vida de desarrollo seguro de software (SSDLC), aplicando en cada fase los tipos de herramientas más adecuados para conseguir un resultado de conjunto lo más optimizado posible. La diferente naturaleza de cada tipo de herramienta, e incluso entre distintas herramientas del mismo tipo, hace necesario estudiar la sinergia existente entre ellas cuando se combinan para reducir el porcentaje de falsos positivos y aumentar el porcentaje de verdaderos positivos.


Fundación Dialnet

Mi Documat

Opciones de tesis

Opciones de compartir

Opciones de entorno