TRABAJOS FIN DE GRADO curso: 2020-21
Auditorías de Aplicaciones Web |
Tecnologías Específicas
Ingeniería de Computadores
Descripcion y Objetivos
Una auditoría de una aplicación web es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las web, páginas y servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
OWASP (Open Web Application Security Project) [1][2] es una metodología de seguridad de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad. En Tarlogic nos apoyamos en la metodología de auditoría OWASP en todos nuestros trabajos de auditoría de seguridad web para analizar y evaluar los riesgos.
El objetivo de este TFG es el de comprender los fundamentos y principios de la metodología OWASP cuando se aplica al contexto de una auditoria de aplicaciones web; aprender los fallos o debilidades más comúnes y, a partir del conocimiento adquirido, ser capaz de realizar varias auditorias web a aplicaciones de terceros dentro de un contexto de hacking ético.
Metodología y Competencias
Este TFG seguirá esta metodología:
- Estudio y aprendizaje de las metodología que usaremos en el TFG; .
- Lectura y aprendizaje sobre diferentes herramientas [3] ya existentes para realizar una auditoria web
- Primeros pasos hacia el desarrollo de una auditoria web "académica" frente a aplicaciones web de prueba
- Realización de varias auditorias a páginas web de terceros
- Escritura de la Memoria
Competencias:
[IC1] Capacidad de diseñar y construir sistemas digitales, incluyendo computadores, sistemas basados en microprocesador y sistemas de comunicaciones.
[IC6] Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.
Medios a utilizar
Los medios software a utilizar así como el material de lectura y aprendizaje está disponible por el profesor. Las herramientas a usar, son muchas de licencia GPL y para las de pago se dispone de licencias académicas. En cuanto al equipamiento hardware no se necesita ninguna máquina en concreto pero se dispone de infraestructura y equipamiento en el i3a, si fuera necesario.
Bibliografía
[1] OWAS: https://www.owasp.org/index.php/Main_Page
[2] OWASP: https://www.owasp.org/index.php/Sobre_OWASP
[3] Burp Suite: https://portswigger.net/burp
Tutores MARTINEZ MARTINEZ, JOSE LUIS RÓLDAN GÓMEZ, JOSÉ | Alumno ZÚÑIGA MARTÍNEZ, JOSÉ TOMÁS
|
|