Publicado el 12 de Septiembre del 2018
630 visualizaciones desde el 12 de Septiembre del 2018
3,0 MB
153 paginas
Creado hace 10a (24/07/2013)
ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO
FACULTAD DE INFORMATICA Y ELECTRONICA
ESCUELA DE INGENIERIA EN SISTEMAS
“ANÁLISIS DE COMPONENTES DE SEGURIDAD A NIVEL DE INTERFAZ DE
USUARIO EN JSF PRIMEMOBILE PARA DESARROLLO DE APLICACIONES
MÓVILES, CASO PRÁCTICO DEPARTAMENTO FINANCIERO-ESPOCH.”
TESIS DE GRADO
Previa a la obtención del título de:
INGENIERIA EN SISTEMAS INFORMATICOS
Presentado por:
JENNY ALICIA PEREZ ZAVALA
GUSTAVO EFRAIN PARCO SANCHEZ
RIOBAMBA- ECUADOR
2013
AGRADECIMIENTO
Agradezco a mi Jesús Amado ya que sin él nada de este
proceso importante de mi vida podría haberse realizado,
a mis padres por su trabajo y su sacrificio diario para que
pueda estudiar, a mi hermano por apoyarme y
motivarme, a mi gran amiga y a Efraín por compartir
bellos momentos que se graban en el corazón.
Jenny Perez Zavala
Agradezco a Dios por concederme la vida, a mis padres
por su amor, apoyo incondicional y sus consejos para
que sea una persona de bien, a mis hermanos por
motivarme a crecer personal e intelectualmente, y toda
mi familia por ser ayuda idónea en mi vida, y a Jenny por
brindarme su apoyo sin condiciones.
Gustavo Parco Sanchez
DEDICATORIA
A Dios por guiar mi vida en todo momento, a mis padres
porque sus consejos han sido vitales en mi diario vivir, a
mi hermano por su amor y compañía diario, a Elisa por
ser una mujer valiente y enseñarme a vivir, a Lulú por su
amistad y complicidades compartidas.
Jenny Perez Zavala
A Dios por ayudarme siempre, a mis padres por sus
valores y enseñanzas, a mis hermanos por ser base
fundamental en mi vida, a mis profesores por ser una guía
durante toda la etapa de formación universitaria.
Gustavo Parco Sanchez
NOMBRE
FIRMAS
FECHA
ING. IVÁN MENES CAMEJO
DECANO DE LA FACULTAD DE
INFORMÁTICA Y ELECTRÓNICA ……………………… ………………………
ING. RAÚL ROSERO
DIRECTOR DE LA ESCUELA DE
INGENIERÍA EN SISTEMAS
……………………… ………………………
ING. GLORIA ARCOS MEDINA
DIRECTORA DE TESIS
……………………… ………………………
ING. IVONNE RODRIGUEZ FLORES
MIEMBRO DE TESIS
……………………… ………………………
TLGO. CARLOS RODRÍGUEZ
DIRECTOR DEL CENTRO DE
……………………… ………………………
DOCUMENTACIÓN
NOTA DE LA TESIS
………………………
RESPONSABILIDAD DEL AUTOR
“Nosotros, Jenny Perez Zavala y Gustavo Parco Sanchez, somos los responsables de las
ideas, doctrinas y resultados expuestos en esta Tesis de Grado, y el patrimonio intelectual de
la misma pertenece a la Escuela Superior Politécnica de Chimborazo.”
_____________________________
________________________________
Jenny Perez Zavala
Gustavo Parco Sanchez
ÍNDICE DE ABREVIATURAS
A
API: Application Programming Interface
C
CSRF: Cross-Site Request Forgery
D
DOM: Document Object Model
E
ESAPI: Enterprise Security API
J
JCA:
Java Cryptography Architecture
JPA: Java Persistence API
JSF: Java Server Faces
JSP: Java server Pages
M
MD: Message-Digest Algorithm
O
ORM: Object Relational Mapping
OWASP: Open Web Application Security Project
R
RAD: Rapid Application Development
S
SCMTPM: Sistema de Consultas y Monitoreo de Trámites de Pago Móvil
SHA: Secure Hash Algorithm
SOAP: Simple Object Access Protocol
W
WML: Wireless Markup Language
WSDL: Web Service Description Language
X
XHTML: Extensible HiperText Markup Language
XML: Extensible Markup Language
XP: Xtreme Programming
XSS: Cross-site Scripting
INDICE GENERAL
CAPITULO I...................................................................................................................22
MARCO REFERENCIAL .......................................................................................................... 22
1.1
Antecedentes ............................................................................................................ 22
1.2.
Justificación Teórica................................................................................................... 24
1.3.
Justificación Práctica.................................................................................................. 25
1.4. Ámbito de la Solución................................................................................................ 27
1.5. Objetivos................................................................................................................... 28
1.5.1. Objetivo General.................................................................................................... 28
1.5.2. Objetivos Específicos.............................................................................................. 28
1.6. Marco hipotético....................................................................................................... 28
1.6.1.
Hipótesis................................................................................................................ 28
CAPITULO II..................................................................................................................30
CONCEPTOS GENERALES ...................................................................................................... 30
1.1.
Introducción.............................................................................................................. 30
2.2.
Servicios Web Java .................................................................................................... 31
2.3. Dispositivos Móviles.................................................................................................. 31
2.4.
Sistemas Operativos para Móviles ............................................................................. 32
2.5.
Principios generales sobre seguridad.......................................................................... 32
2.6.
Criptografía ............................................................................................................... 33
2.6.1.
Criptografía Java .................................................................................................... 33
2.6.1.1.
Java Cryptography Architecture (JCA) .................................................................. 34
2.7.
Seguridad en las aplicaciones móviles ........................................................................ 35
2.8.
Seguridad en aplicaciones web Java ........................................................................... 36
2.9.
Fundamentos de Java Server Faces ............................................................................ 37
2.9.1.
Ventajas de Java Server Faces................................................................................. 37
2.10.
Prime Faces............................................................................................................ 39
2.10.1.
Propiedades ....................................................................................................... 39
2.10.2.
Pros y contras ..................................................................................................... 40
2.11.
Prime Faces Mobile................................................................................................ 40
2.12.
OWASP – Open Web Application Security Project ................................................... 40
2.12.1.
Las vulnerabilidades más comunes de OWASP..................................................... 41
2.12.2.
Descripción de las Vulnerabilidades..................................................................... 41
2.12.2.1.
Fallas de Inyección........................................................................................... 41
2.12.2.1.1.
Protección y tratamiento para Fallas de Inyección ............................................ 43
2.12.2.2.
Cross- Site scripting (XSS)................................................................................. 44
2.12.2.2.1.
Protección y tratamiento contra Cross Site Scripting (XSS) ................................ 46
2.12.2.3.
Falsificación de Peticiones en Sitios Cruzados ................................................... 47
2.12.2.3.1.
Protección contra Falsificación de Peticiones en Sitios Cruzados ....................... 48
2.12.2.4.
Exposición de Datos Sensibles.......................................................................... 49
2.12.2.4.1.
Protección para Exposición de Datos Sensibles................................................. 51
2.12.3.
OWASP ESAPI (Enterprise Security API) ............................................................... 51
2.12.4.
OWASP y Java Server Faces ................................................................................. 52
2.13.
Descripción de Componentes de Seguridad de JSF................................................... 54
2.13.1.
Sistema de Conversión de JSF.............................................................................. 54
2.13.2.
Sistema de Validación de JSF ............................................................................... 58
2.13.3.
Filtrado de salida con componentes JSF ............................................................... 59
2.14.
Prueba para filtrar la salida y escape de caracteres peligrosos con componentes JSF 60
2.15.
Seguridad de JSF para CSRF .................................................................................... 63
2.16.
Exposición de Vulnerabilidades en JSF + PrimeFaces Mobile.................................... 63
2.16.1.
Exposición de vulnerabilidad en JSF + PrimeFaces Mobile ante XSS ..................... 63
2.16.2.
Exposición de vulnerabilidad en JSF + PrimeFaces Mobile ante Sql Inyection ....... 65
2.16.3.
Exposición de Datos de Datos Sensibles............................................................... 66
2.17.
Creación de componentes de entrada personalizados con seguridad para evitar Sql
Injection, XSS ...................................................................................................................... 67
2.17.1.
El Componente Personalizado .........
Comentarios de: Análisis de componentes de seguridad a nivel de interfaz de usuario en JSF primemobile para desarrollo de aplicaciones móviles, caso práctico departamento financiero-Espoch (0)
No hay comentarios