Análisis de vulnerabilidades en aplicaciones web basado en flujo de información

Abstract

El presente trabajo de grado se desarrolló en el marco del proyecto Plataforma híbrida de seguridad para protección de aplicaciones web con código NA 080/04 para la Agencia Nacional de Promoción Científica y Tecnológica, entre la empresa Core SA y el laboratorio de investigacion LIFIA. Core SA es una empresa especializada en desarrollos y consultor a en tecnologías de seguridad informática. Cuenta con un historial de éxitos en el desarrollo de productos especializados patentados internacionalmente, con un amplio mercado en el exterior, así como una amplia experiencia en consultoría de seguridad y auditoría de código fuente. El resultado de este trabajo es la aplicación de una técnica de análisis estático de flujo de información a Java con la finalidad de detectar vulnerabilidades en aplicaciones web. Se buscó un enfoque práctico para analizar código legacy Java sin la necesidad de anotaciones por parte de los usuarios (a diferencia de otros análisis). La técnica de análisis de flujo de información implica realizar un análisis de un programa con el objetivo de probar que no hay filtración de información sensible. En la actualidad existen numerosos estudios teóricos pero poco uso práctico sobre flujo de información. Estos estudios, en general, han sido realizados sobre lenguajes reducidos. El objetivo del presente trabajo es analizar programas escritos en el lenguaje Java, que es uno de los lenguajes más usados para el desarrollo de aplicaciones web. Se obtuvo además un prototipo que implementa el análisis. La interacción con el grupo encargado de la implementación del prototipo permitió mejorar el análisis y eliminar posibles errores.