Modelo de evaluación de seguridad para aplicaciones web basado en owasp

Abstract

La presente tesis de maestría propone un modelo de evaluación de seguridad para aplicaciones web basado en OWASP, con el objetivo de abordar de manera sistemática y efectiva los desafíos de seguridad en el desarrollo y despliegue de aplicaciones web. La investigación se fundamenta en los principios y directrices establecidos por OWASP, en instituciones desconcentradas por el MEFP por su enfoque en la seguridad de software, en particular, aplicaciones web. El modelo desarrollado sigue un enfoque paso a paso que comienza con la identificación del alcance de la evaluación, asegurando que todas las áreas críticas de la aplicación sean analizadas minuciosamente. A continuación, se realiza una exhaustiva recopilación de información sobre las aplicaciones web de estudio, incluyendo su arquitectura, tecnologías actuales utilizadas y funcionalidades. La identificación de vulnerabilidades es otro aspecto central del modelo, y se lleva a cabo una revisión completa del código fuente y pruebas de seguridad para detectar y categorizar vulnerabilidades comunes, como inyecciones SQL, cross-site scripting (XSS) y otros riesgos conocidos, tomando como referencia la lista de los 10 principales riesgos de seguridad de OWASP, todo en base a la taxonomía de vulnerabilidades. Para evaluar la resistencia de la aplicación ante posibles ataques, se realizan pruebas de caja negra y caja blanca que simulan escenarios de ataque reales, con el fin de medir la efectividad de las medidas de seguridad implementadas. Estas evaluaciones son utilizadas en distintos escenarios como son de revisión regular y preventivo. Finalmente, los resultados obtenidos durante el proceso de evaluación se presentan en un informe exhaustivo, destacando las vulnerabilidades identificadas, su nivel de riesgo CVSS y recomendaciones específicas para corregirlas para ser solucionadas por la taxonomía propuesta de vulnerabilidades. Se espera que este modelo de evaluación de seguridad para aplicaciones web basado en OWASP contribuya significativamente al fortalecimiento de la seguridad en las aplicaciones web, proporcionando a los desarrolladores y profesionales de seguridad una herramienta eficaz para proteger los activos digitales y salvaguardar la confianza de los usuarios en un entorno cada vez más complejo y propenso a ciberataques.