PDF de programación - Propuesta de técnicas de aseguramiento de aplicaciones web desarrolladas en Java

ESCUELA SUPERIOR POLITÉCNICA DE

CHIMBORAZO



“PROPUESTA DE TÉCNICAS DE ASEGURAMIENTO DE

APLICACIONES WEB DESARROLLADAS EN JAVA”



PAÚL XAVIER PAGUAY SOXO



Tesis presentada ante la Escuela de Postgrado y Educación Continua de

la ESPOCH, como requisito parcial para la obtención del grado de

Magister en Interconectividad de Redes.



RIOBAMBA – ECUADOR



2013





- II -



CERTIFICACIÓN



El Tribunal de Tesis certifica que:

El trabajo de investigación titulado: “PROPUESTA DE TÉCNICAS DE
ASEGURAMIENTO DE APLICACIONES WEB DESARROLLADAS EN
JAVA”, de responsabilidad del Ingeniero Paúl Xavier Paguay Soxo ha sido
prolijamente revisado y se autoriza su presentación.



Tribual de Tesis:

Dr. Ms.C. Juan Vargas
PRESIDENTE

Ing. Ms.C. Danilo Pastor
Ramírez
DIRECTOR

Ing. Ms.C. Gloria Arcos
Medina
MIEMBRO

Ing. Ms.C. Daniel Haro
Mendoza
MIEMBRO



_________________________


_________________________


_________________________


_________________________

Escuela Superior Politécnica de Chimborazo

Riobamba, Marzo del 2013







- III -



DERECHOS INTELECTUALES



Yo, Paúl Xavier Paguay Soxo, soy responsable de las ideas, doctrinas y

resultados expuestos en esta Tesis y que el patrimonio intelectual generado por

la misma pertenece exclusivamente a la Escuela Superior Politécnica de

Chimborazo.



FIRMA

CÉDULA: 060272477-5







- IV -



AGRADECIMIENTO

A través de la presente quiero expresar mi

sincero agradecimiento a

todas aquellas

personas que han

colaborado en

la

consecución de esta meta.

En primer lugar a mis padres, hermanas,

familiares, amigos

incondicionales y a

los

profesores del programa que comparten sus

conocimientos y experiencias en especial a los

Másters Danilo Pástor, Gloria Arcos, Daniel

Haro y Gonzalo Allauca por sus acertados

comentarios y sugerencias.







- V -



DEDICATORIA



Este trabajo de postgrado lo dedico a todos mis

seres queridos en especial a Dorian, Carlos,

Blanca, Jimena, Karla, que son mi soporte para

continuar día a día.







- VI -

INDICE DE ABREVIATURAS



A

ACL Access Control List (Lista de control de accesos)


B

BD Base de Datos


C

CID Confidencialidad, Integridad, Disponibilidad


D

DOS Denief of Service (Deniego de Servicio)
DBMS Sistema de Gestión de Base de Datos
DER Diagrama Entidad Relación


E

EPEC Escuela de Postgrado y Educación Continua
ESAPI Enterprise Security API
ESPOCH Escuela Superior Politécnica de Chimborazo


I

IP Internet Protocol


H
HTML HyperText Markup Language («lenguaje de marcado de hipertexto»)



J

JSP Java Server Page (Servidor de Páginas JAVA)







- VII -



M

MAC Medium Acces Control (Controlador de Acceso al Medio)


O

OSI Open SystemInterconection (Interconexión de Sistema Abierto)
OWASP: Open Web Application Security Project

S

SISEPEC Sistema de la EPEC
SQL StructuredQueryLanguage (Lenguaje estructurado de Consultas)
SI Sistema de Información



T
TIC Tecnologías de la información y Comunicación



U

UML Unified Modeling Language



V

Variable Es una característica que al ser medida es susceptible de adoptar

diferentes valores en el transcurso del tiempo.



X

XSS Cross Site Scripting







- VIII -

INDICE GENERAL



CERTIFICACIÓN ................................................................................................II

DERECHOS INTELECTUALES ......................................................................... III

AGRADECIMIENTO ......................................................................................... IV

DEDICATORIA................................................................................................... V

INDICE DE ABREVIATURAS ........................................................................... VI

INDICE GENERAL .......................................................................................... VIII

ÍNDICE DE FIGURAS ........................................................................................ X

ÍNDICE DE TABLAS ........................................................................................ XII

CAPÍTULO 1 .......................................................................................................1

INTRODUCCIÓN ................................................................................................1

1.1 Justificación .............................................................................................. 6

1.2 Objetivos ................................................................................................... 8

1.2.1 Objetivo General ................................................................................ 8

1.2.2 Objetivos Específicos ......................................................................... 8

REVISIÓN DE LITERATURA ..............................................................................9

2.1 Seguridad Informática............................................................................... 9

2.2 Ataque Informático ................................................................................. 10

2.3 Vulnerabilidad de un Sistema Informático .............................................. 11

2.3.1 Ataques más comunes ..................................................................... 12

2.3.2 Técnicas de Aseguramiento de Código fuente ............................. 16

2.3.2.1 Técnica contra el Ataque SQL Injection .................................... 17

2.3.2.2 Técnica contra el Ataque Cross-Site-Scripting (XSS) ............... 24

2.3.2.3 Técnica contra el Ataque Buffer Overflow (DOS) ...................... 27

2.3.2.4 Técnica contra el Ataque Directorio Transversal ....................... 30

2.3.2.5 Técnica contra el Ataque de Intercepción Criptográfica ............ 32

2.3.2.6 Técnica contra el Ataque del Día 0 ........................................... 35

2.4 Los Hackers ........................................................................................ 35

2.4.1 ¿Quiénes son? ................................................................................. 35

2.4.2 ¿Quiénes no lo son? ....................................................................... 36

CAPÍTULO 3 ..................................................................................................... 37

MATERIALES Y MÉTODOS ............................................................................. 37







- IX -

3.1 Diseño de la investigación ...................................................................... 37

3.2 Tipo de estudio ....................................................................................... 37

3.3 Métodos .................................................................................................. 38

3.4 Técnicas ................................................................................................. 38

3.5 Planteamiento de la Hipótesis ................................................................ 39

3.6 Variables ................................................................................................. 39

3.7 Operacionalización de las Variables ....................................................... 39

3.7.1 Operacionalización Conceptual ....................................................... 39

3.7.2 Operacionalización Metodológica .................................................... 40

3.8 Población y Muestra ............................................................................... 41

3.9 Instrumentos de Recolección de Datos .................................................. 42

3.10 Validación de Instrumentos .................................................................. 49

3.11 Ambientes de Prueba ........................................................................... 49

CAPÍTULO 4 ..................................................................................................... 53

RESULTADOS Y DISCUSIÓN ......................................................................... 53

4.1 Procesamiento de la Información ........................................................... 53

4.2 Resumen de los experimentos de la variable independiente.................. 59

4.3 Resumen de los experimentos de la variable dependiente .................... 60

4.4 Resumen de Equivalencias ................................................................. 65

4.5 Prueba de Hipótesis ............................................................................... 66

4.6 Propuesta de Guía ................................................................................. 67

I. Paso 1: Establecer un módulo de Auditoría de accesos ..................... 68

II.

Paso 2: Análisis de vulnerabilidades de Código Fuente .................. 70

III. Paso 3: Políticas de acceso al sistema operativo del servidor ......... 73

IV. Paso 4: Políticas de claves de “todos” los servicios ........................ 74

CONCLUSIONES ............................................................................................. 75

RECOMENDACIONES ..................................................................................... 77

RESUMEN ........................................................................................................ 78

SUMMARY ........................................................................................................ 79

GLOSARIO DE TÉRMINO