PDF de programación - Análisis de componentes de seguridad a nivel de interfaz de usuario en JSF primemobile para desarrollo de aplicaciones móviles, caso práctico departamento financiero-Espoch

ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO

FACULTAD DE INFORMATICA Y ELECTRONICA

ESCUELA DE INGENIERIA EN SISTEMAS

“ANÁLISIS DE COMPONENTES DE SEGURIDAD A NIVEL DE INTERFAZ DE
USUARIO EN JSF PRIMEMOBILE PARA DESARROLLO DE APLICACIONES

MÓVILES, CASO PRÁCTICO DEPARTAMENTO FINANCIERO-ESPOCH.”

TESIS DE GRADO

Previa a la obtención del título de:

INGENIERIA EN SISTEMAS INFORMATICOS

Presentado por:

JENNY ALICIA PEREZ ZAVALA

GUSTAVO EFRAIN PARCO SANCHEZ

RIOBAMBA- ECUADOR

2013

AGRADECIMIENTO

Agradezco a mi Jesús Amado ya que sin él nada de este

proceso importante de mi vida podría haberse realizado,

a mis padres por su trabajo y su sacrificio diario para que

pueda estudiar, a mi hermano por apoyarme y

motivarme, a mi gran amiga y a Efraín por compartir

bellos momentos que se graban en el corazón.

Jenny Perez Zavala

Agradezco a Dios por concederme la vida, a mis padres

por su amor, apoyo incondicional y sus consejos para

que sea una persona de bien, a mis hermanos por

motivarme a crecer personal e intelectualmente, y toda

mi familia por ser ayuda idónea en mi vida, y a Jenny por

brindarme su apoyo sin condiciones.

Gustavo Parco Sanchez

DEDICATORIA

A Dios por guiar mi vida en todo momento, a mis padres

porque sus consejos han sido vitales en mi diario vivir, a

mi hermano por su amor y compañía diario, a Elisa por

ser una mujer valiente y enseñarme a vivir, a Lulú por su

amistad y complicidades compartidas.

Jenny Perez Zavala

A Dios por ayudarme siempre, a mis padres por sus

valores y enseñanzas, a mis hermanos por ser base

fundamental en mi vida, a mis profesores por ser una guía

durante toda la etapa de formación universitaria.

Gustavo Parco Sanchez

NOMBRE

FIRMAS

FECHA

ING. IVÁN MENES CAMEJO

DECANO DE LA FACULTAD DE

INFORMÁTICA Y ELECTRÓNICA ……………………… ………………………

ING. RAÚL ROSERO

DIRECTOR DE LA ESCUELA DE

INGENIERÍA EN SISTEMAS

……………………… ………………………

ING. GLORIA ARCOS MEDINA

DIRECTORA DE TESIS

……………………… ………………………

ING. IVONNE RODRIGUEZ FLORES

MIEMBRO DE TESIS

……………………… ………………………

TLGO. CARLOS RODRÍGUEZ

DIRECTOR DEL CENTRO DE

……………………… ………………………

DOCUMENTACIÓN

NOTA DE LA TESIS

………………………

RESPONSABILIDAD DEL AUTOR

“Nosotros, Jenny Perez Zavala y Gustavo Parco Sanchez, somos los responsables de las

ideas, doctrinas y resultados expuestos en esta Tesis de Grado, y el patrimonio intelectual de

la misma pertenece a la Escuela Superior Politécnica de Chimborazo.”

_____________________________

________________________________

Jenny Perez Zavala

Gustavo Parco Sanchez

ÍNDICE DE ABREVIATURAS

A

API: Application Programming Interface

C

CSRF: Cross-Site Request Forgery

D

DOM: Document Object Model

E

ESAPI: Enterprise Security API

J

JCA:

Java Cryptography Architecture

JPA: Java Persistence API

JSF: Java Server Faces

JSP: Java server Pages

M

MD: Message-Digest Algorithm

O

ORM: Object Relational Mapping

OWASP: Open Web Application Security Project

R

RAD: Rapid Application Development

S

SCMTPM: Sistema de Consultas y Monitoreo de Trámites de Pago Móvil

SHA: Secure Hash Algorithm

SOAP: Simple Object Access Protocol

W

WML: Wireless Markup Language

WSDL: Web Service Description Language

X

XHTML: Extensible HiperText Markup Language

XML: Extensible Markup Language

XP: Xtreme Programming

XSS: Cross-site Scripting

INDICE GENERAL

CAPITULO I...................................................................................................................22
MARCO REFERENCIAL .......................................................................................................... 22

1.1

Antecedentes ............................................................................................................ 22

1.2.

Justificación Teórica................................................................................................... 24

1.3.

Justificación Práctica.................................................................................................. 25

1.4. Ámbito de la Solución................................................................................................ 27

1.5. Objetivos................................................................................................................... 28

1.5.1. Objetivo General.................................................................................................... 28

1.5.2. Objetivos Específicos.............................................................................................. 28

1.6. Marco hipotético....................................................................................................... 28

1.6.1.

Hipótesis................................................................................................................ 28

CAPITULO II..................................................................................................................30
CONCEPTOS GENERALES ...................................................................................................... 30

1.1.

Introducción.............................................................................................................. 30

2.2.

Servicios Web Java .................................................................................................... 31

2.3. Dispositivos Móviles.................................................................................................. 31

2.4.

Sistemas Operativos para Móviles ............................................................................. 32

2.5.

Principios generales sobre seguridad.......................................................................... 32

2.6.

Criptografía ............................................................................................................... 33

2.6.1.

Criptografía Java .................................................................................................... 33

2.6.1.1.

Java Cryptography Architecture (JCA) .................................................................. 34

2.7.

Seguridad en las aplicaciones móviles ........................................................................ 35

2.8.

Seguridad en aplicaciones web Java ........................................................................... 36

2.9.

Fundamentos de Java Server Faces ............................................................................ 37

2.9.1.

Ventajas de Java Server Faces................................................................................. 37

2.10.

Prime Faces............................................................................................................ 39

2.10.1.

Propiedades ....................................................................................................... 39

2.10.2.

Pros y contras ..................................................................................................... 40

2.11.

Prime Faces Mobile................................................................................................ 40

2.12.

OWASP – Open Web Application Security Project ................................................... 40

2.12.1.

Las vulnerabilidades más comunes de OWASP..................................................... 41

2.12.2.

Descripción de las Vulnerabilidades..................................................................... 41

2.12.2.1.

Fallas de Inyección........................................................................................... 41

2.12.2.1.1.

Protección y tratamiento para Fallas de Inyección ............................................ 43

2.12.2.2.

Cross- Site scripting (XSS)................................................................................. 44

2.12.2.2.1.

Protección y tratamiento contra Cross Site Scripting (XSS) ................................ 46

2.12.2.3.

Falsificación de Peticiones en Sitios Cruzados ................................................... 47

2.12.2.3.1.

Protección contra Falsificación de Peticiones en Sitios Cruzados ....................... 48

2.12.2.4.

Exposición de Datos Sensibles.......................................................................... 49

2.12.2.4.1.

Protección para Exposición de Datos Sensibles................................................. 51

2.12.3.

OWASP ESAPI (Enterprise Security API) ............................................................... 51

2.12.4.

OWASP y Java Server Faces ................................................................................. 52

2.13.

Descripción de Componentes de Seguridad de JSF................................................... 54

2.13.1.

Sistema de Conversión de JSF.............................................................................. 54

2.13.2.

Sistema de Validación de JSF ............................................................................... 58

2.13.3.

Filtrado de salida con componentes JSF ............................................................... 59

2.14.

Prueba para filtrar la salida y escape de caracteres peligrosos con componentes JSF 60

2.15.

Seguridad de JSF para CSRF .................................................................................... 63

2.16.

Exposición de Vulnerabilidades en JSF + PrimeFaces Mobile.................................... 63

2.16.1.

Exposición de vulnerabilidad en JSF + PrimeFaces Mobile ante XSS ..................... 63

2.16.2.

Exposición de vulnerabilidad en JSF + PrimeFaces Mobile ante Sql Inyection ....... 65

2.16.3.

Exposición de Datos de Datos Sensibles............................................................... 66

2.17.

Creación de componentes de entrada personalizados con seguridad para evitar Sql

Injection, XSS ...................................................................................................................... 67

2.17.1.

El Componente Personalizado .........