Tecnologías Específicas

Ingeniería de Computadores

Descripcion y Objetivos

Una auditoría de una aplicación web es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las web, páginas y servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

OWASP (Open Web Application Security Project) [1][2] es una metodología de seguridad de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad. En Tarlogic nos apoyamos en la metodología de auditoría OWASP en todos nuestros trabajos de auditoría de seguridad web para analizar y evaluar los riesgos.

El objetivo de este TFG es el de comprender los fundamentos y principios de la metodología OWASP cuando se aplica al contexto de una auditoria de aplicaciones web; aprender los fallos o debilidades más comúnes y, a partir del conocimiento adquirido, ser capaz de realizar varias auditorias web a aplicaciones de terceros dentro de un contexto de hacking ético. 

 

Metodología y Competencias

Este TFG seguirá esta metodología:

- Estudio y aprendizaje de las metodología que usaremos en el TFG; .

- Lectura y aprendizaje sobre diferentes herramientas [3] ya existentes para realizar una auditoria web

- Primeros pasos hacia el desarrollo de una auditoria web "académica" frente a aplicaciones web de prueba

- Realización de varias auditorias a páginas web de terceros

- Escritura de la Memoria

Competencias:

[IC1] Capacidad de diseñar y construir sistemas digitales, incluyendo computadores, sistemas basados en microprocesador y sistemas de comunicaciones.

[IC6] Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.

 

Medios a utilizar

Los medios software a utilizar así como el material de lectura y aprendizaje está disponible por el profesor. Las herramientas a usar, son muchas de licencia GPL y para las de pago se dispone de licencias académicas. En cuanto al equipamiento hardware no se necesita ninguna máquina en concreto pero se dispone de infraestructura y equipamiento en el i3a, si fuera necesario.

 

Bibliografía

[1] OWAS: https://www.owasp.org/index.php/Main_Page

[2] OWASP: https://www.owasp.org/index.php/Sobre_OWASP

[3] Burp Suite: https://portswigger.net/burp