Evaluación y divulgación de herramientas de análisis automático de seguridad web

La mayoría de las herramientas de análisis automático de seguridad disponibles actualmente no contemplan análisis de seguridad específicos para APIs REST, acrónimos para ‘Application Programming Interface’ (Interfaz de Programación de Aplicaciones) y ‘REpresentational State Transfer ‘(Transferencia...

Full description

Autores:
Valderrama Herrera, David Santiago
Tipo de recurso:
Trabajo de grado de pregrado
Fecha de publicación:
2025
Institución:
Universidad de los Andes
Repositorio:
Séneca: repositorio Uniandes
Idioma:
spa
OAI Identifier:
oai:repositorio.uniandes.edu.co:1992/76374
Acceso en línea:
https://hdl.handle.net/1992/76374
Palabra clave:
Herramientas de análisis automático de seguridad
Ciberseguridad
Vulnerabilidad
OWASP ZAP
Educación
Ingeniería
Rights
openAccess
License
Attribution 4.0 International
Description
Summary:La mayoría de las herramientas de análisis automático de seguridad disponibles actualmente no contemplan análisis de seguridad específicos para APIs REST, acrónimos para ‘Application Programming Interface’ (Interfaz de Programación de Aplicaciones) y ‘REpresentational State Transfer ‘(Transferencia de Estado Representacional) respectivamente. Esto es crítico en tanto estas interfaces son vulnerables a ataques y explotación, pues son un objetivo atractivo para los atacantes debido a que suelen manejar datos sensibles, controlar funcionalidades críticas y conectar aplicaciones, lo que permite que un ataque exitoso resulte en robo de información, interrupción de servicios, o escalación de privilegios. Las herramientas de análisis automático de seguridad contribuyen a mitigar estos riesgos al detectar vulnerabilidades, validar entradas, asegurar la autenticación y autorización, y monitorear la API en tiempo real, fortaleciendo así la protección contra posibles explotaciones. En el contexto de la educación en seguridad de la información es importante que los estudiantes tengan contacto con estas herramientas: tanto aquellas que están especializadas en REST como aquellas con orientación a todo lo que quepa dentro del término sombrilla “web”. Este contacto es esencial para que los estudiantes desarrollen competencias prácticas que les permitan identificar y corregir vulnerabilidades. Aprender a usar estas herramientas, ampliamente utilizadas en la industria, prepara a los estudiantes para enfrentar retos reales de manera eficiente, mejorando su comprensión de conceptos clave y fortaleciendo su perfil profesional. La solución propuesta para hacer frente a este problema consta de dos fases. En la primera fase exploratoria se navega y se interactúa con las herramientas de análisis automático a fin de entender los beneficios y desventajas de cada una. En la segunda fase de divulgación se construye un artefacto educativo que permita dar a conocer los resultados de la primera fase a los estudiantes del curso de Seguridad en el Host. El resultado de la fase de divulgación es un tutorial de uso de la herramienta OWASP ZAP sobre una aplicación web con vulnerabilidades ya conocidas. Este tutorial consta de diversas actividades que permiten explorar las funcionalidades de análisis manual y automático que ofrece la herramienta en cuestión, así como explotar y corregir vulnerabilidades de una aplicación con fallas de seguridad ya conocidas.