Evaluación y divulgación de herramientas de análisis automático de seguridad web
La mayoría de las herramientas de análisis automático de seguridad disponibles actualmente no contemplan análisis de seguridad específicos para APIs REST, acrónimos para ‘Application Programming Interface’ (Interfaz de Programación de Aplicaciones) y ‘REpresentational State Transfer ‘(Transferencia...
- Autores:
-
Valderrama Herrera, David Santiago
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2025
- Institución:
- Universidad de los Andes
- Repositorio:
- Séneca: repositorio Uniandes
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.uniandes.edu.co:1992/76374
- Acceso en línea:
- https://hdl.handle.net/1992/76374
- Palabra clave:
- Herramientas de análisis automático de seguridad
Ciberseguridad
Vulnerabilidad
OWASP ZAP
Educación
Ingeniería
- Rights
- openAccess
- License
- Attribution 4.0 International
| id |
UNIANDES2_b6eb27a204ab545cb1a18878fb4121ed |
|---|---|
| oai_identifier_str |
oai:repositorio.uniandes.edu.co:1992/76374 |
| network_acronym_str |
UNIANDES2 |
| network_name_str |
Séneca: repositorio Uniandes |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| title |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| spellingShingle |
Evaluación y divulgación de herramientas de análisis automático de seguridad web Herramientas de análisis automático de seguridad Ciberseguridad Vulnerabilidad OWASP ZAP Educación Ingeniería |
| title_short |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| title_full |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| title_fullStr |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| title_full_unstemmed |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| title_sort |
Evaluación y divulgación de herramientas de análisis automático de seguridad web |
| dc.creator.fl_str_mv |
Valderrama Herrera, David Santiago |
| dc.contributor.advisor.none.fl_str_mv |
Rueda Rodríguez, Sandra Julieta |
| dc.contributor.author.none.fl_str_mv |
Valderrama Herrera, David Santiago |
| dc.subject.keyword.spa.fl_str_mv |
Herramientas de análisis automático de seguridad Ciberseguridad Vulnerabilidad OWASP ZAP Educación |
| topic |
Herramientas de análisis automático de seguridad Ciberseguridad Vulnerabilidad OWASP ZAP Educación Ingeniería |
| dc.subject.themes.spa.fl_str_mv |
Ingeniería |
| description |
La mayoría de las herramientas de análisis automático de seguridad disponibles actualmente no contemplan análisis de seguridad específicos para APIs REST, acrónimos para ‘Application Programming Interface’ (Interfaz de Programación de Aplicaciones) y ‘REpresentational State Transfer ‘(Transferencia de Estado Representacional) respectivamente. Esto es crítico en tanto estas interfaces son vulnerables a ataques y explotación, pues son un objetivo atractivo para los atacantes debido a que suelen manejar datos sensibles, controlar funcionalidades críticas y conectar aplicaciones, lo que permite que un ataque exitoso resulte en robo de información, interrupción de servicios, o escalación de privilegios. Las herramientas de análisis automático de seguridad contribuyen a mitigar estos riesgos al detectar vulnerabilidades, validar entradas, asegurar la autenticación y autorización, y monitorear la API en tiempo real, fortaleciendo así la protección contra posibles explotaciones. En el contexto de la educación en seguridad de la información es importante que los estudiantes tengan contacto con estas herramientas: tanto aquellas que están especializadas en REST como aquellas con orientación a todo lo que quepa dentro del término sombrilla “web”. Este contacto es esencial para que los estudiantes desarrollen competencias prácticas que les permitan identificar y corregir vulnerabilidades. Aprender a usar estas herramientas, ampliamente utilizadas en la industria, prepara a los estudiantes para enfrentar retos reales de manera eficiente, mejorando su comprensión de conceptos clave y fortaleciendo su perfil profesional. La solución propuesta para hacer frente a este problema consta de dos fases. En la primera fase exploratoria se navega y se interactúa con las herramientas de análisis automático a fin de entender los beneficios y desventajas de cada una. En la segunda fase de divulgación se construye un artefacto educativo que permita dar a conocer los resultados de la primera fase a los estudiantes del curso de Seguridad en el Host. El resultado de la fase de divulgación es un tutorial de uso de la herramienta OWASP ZAP sobre una aplicación web con vulnerabilidades ya conocidas. Este tutorial consta de diversas actividades que permiten explorar las funcionalidades de análisis manual y automático que ofrece la herramienta en cuestión, así como explotar y corregir vulnerabilidades de una aplicación con fallas de seguridad ya conocidas. |
| publishDate |
2025 |
| dc.date.accessioned.none.fl_str_mv |
2025-06-24T16:52:19Z |
| dc.date.available.none.fl_str_mv |
2025-06-24T16:52:19Z |
| dc.date.issued.none.fl_str_mv |
2025-01-28 |
| dc.type.none.fl_str_mv |
Trabajo de grado - Pregrado |
| dc.type.driver.none.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.version.none.fl_str_mv |
info:eu-repo/semantics/acceptedVersion |
| dc.type.coar.none.fl_str_mv |
http://purl.org/coar/resource_type/c_7a1f |
| dc.type.content.none.fl_str_mv |
Text |
| dc.type.redcol.none.fl_str_mv |
http://purl.org/redcol/resource_type/TP |
| format |
http://purl.org/coar/resource_type/c_7a1f |
| status_str |
acceptedVersion |
| dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/1992/76374 |
| dc.identifier.instname.none.fl_str_mv |
instname:Universidad de los Andes |
| dc.identifier.reponame.none.fl_str_mv |
reponame:Repositorio Institucional Séneca |
| dc.identifier.repourl.none.fl_str_mv |
repourl:https://repositorio.uniandes.edu.co/ |
| url |
https://hdl.handle.net/1992/76374 |
| identifier_str_mv |
instname:Universidad de los Andes reponame:Repositorio Institucional Séneca repourl:https://repositorio.uniandes.edu.co/ |
| dc.language.iso.none.fl_str_mv |
spa |
| language |
spa |
| dc.relation.references.none.fl_str_mv |
imperva, «The State of API Security in 2024,» 2024. The Hacker News, «APIs Drive the Majority of Internet Traffic and Cybercriminals are Taking Advantage,» 19 Marzo 2024. [En línea]. Available: https://thehackernews.com/2024/03/apisdrive-majority-of-internet-traffic.html. [Último acceso: 7 Diciembre 2024]. IBM Corporation, «Cost of a Data Breach Report 2024,» Armonk, 2024. Allianz Commercial, «Cyber security trends 2023,» Munich, 2023. N. Kostic, «Automated Security Testing: Best Practices and Best Tools,» phoenixNAP, 26 Abril 2024. [En línea]. Available: https://phoenixnap.com/blog/automated-security-testing-bestpractices. [Último acceso: 7 Diciembre 2024]. D. M. Rafi, K. R. K. Moses, K. Petersen y M. Mantyla, «Benefits and Limitations of Automated Software Testing: Systematic Literature,» de 2012 7th International Workshop on Automation of Software Test, AST 2012, 2012. A. Golmohammadi, M. Zhang y A. Arcuri, «Testing RESTful APIs: A Survey,» ACM Transactions on Software Engineering and Methodology , pp. 1-41, 2022. OWASP, «Vulnerabilities,» [En línea]. Available: https://owasp.org/wwwcommunity/vulnerabilities/. [Último acceso: 8 Diciembre 2024]. OWASP, «OWASP Top 10:2021,» [En línea]. Available: https://owasp.org/Top10/es/. [Último acceso: 8 Diciembre 2024]. J. Williams, «OWASP Risk Rating Methodology,» OWASP, [En línea]. Available: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology. [Último acceso: 10 Diciembre 2024]. A. Martin-Lopez, A. Arcuri, S. Segura y A. Ruiz-Cortés, «Black-Box and White-Box Test Case Generation for RESTful APIs: Enemies or Allies,» de 2021 IEEE 32nd International Symposium on Software Reliability Engineering (ISSRE), Wuhan, 2021. J. Schmitt, «SAST vs DAST: What they are and when to use them,» CircleCI Blog, 30 Mayo 2024. [En línea]. Available: https://circleci.com/blog/sast-vs-dast-when-to-use-them/. [Último acceso: 10 Diciembre 2024]. C. McNab, Network Security Assessment, Sebastopol: O’Reilly Media, Inc., 2017. W. Du, J. Li, Y. Wang, L. Chen, R. Zhao, J. Zhu, Z. Han, Y. Wang y Z. Xue, «Vulnerability-oriented Testing for RESTful APIs,» de 33rd USENIX Security Symposium (USENIX Security 24, Philadelphia, 2024. V. Atlidakis, P. Godefroid y M. Polishchuk, «Checking Security Properties of Cloud Service REST APIs,» de 2020 IEEE 13th International Conference on Software Testing, Validation and Verification (ICST), 2020. D. Corradine, M. Pasqua y M. Ceccato, «Automated Black-box Testing of Mass Assignment Vulnerabilities in RESTful APIs,» de ICSE '23: Proceedings of the 45th International Conference on Software Engineering, Melbourne, 2023 C. Cheh y B. Chen, «Analyzing OpenAPI Specifications for Security Design Issues,» de 2021 IEEE Secure Development Conference (SecDev), Los Alamitos, 2021. |
| dc.rights.en.fl_str_mv |
Attribution 4.0 International |
| dc.rights.uri.none.fl_str_mv |
http://creativecommons.org/licenses/by/4.0/ |
| dc.rights.accessrights.none.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.coar.none.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
| rights_invalid_str_mv |
Attribution 4.0 International http://creativecommons.org/licenses/by/4.0/ http://purl.org/coar/access_right/c_abf2 |
| eu_rights_str_mv |
openAccess |
| dc.format.extent.none.fl_str_mv |
71 páginas |
| dc.format.mimetype.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidad de los Andes |
| dc.publisher.program.none.fl_str_mv |
Ingeniería de Sistemas y Computación |
| dc.publisher.faculty.none.fl_str_mv |
Facultad de Ingeniería |
| dc.publisher.department.none.fl_str_mv |
Departamento de Ingeniería de Sistemas y Computación |
| publisher.none.fl_str_mv |
Universidad de los Andes |
| institution |
Universidad de los Andes |
| bitstream.url.fl_str_mv |
https://repositorio.uniandes.edu.co/bitstreams/c40184fd-7dc0-4995-a5de-fb30e7b424bb/download https://repositorio.uniandes.edu.co/bitstreams/c60a399b-1655-494d-b083-232f13ac84f0/download https://repositorio.uniandes.edu.co/bitstreams/801370c1-4909-4984-91fb-6d8532d83f7f/download https://repositorio.uniandes.edu.co/bitstreams/b88b42af-5842-40de-9aa4-514504afbca4/download https://repositorio.uniandes.edu.co/bitstreams/4a627a23-cace-48c6-a776-c2ce8b92fb39/download https://repositorio.uniandes.edu.co/bitstreams/0af1c786-112e-4c70-9358-c10cd77f0ec9/download https://repositorio.uniandes.edu.co/bitstreams/5144e7e7-a252-4951-8aa6-40e0b991cc69/download https://repositorio.uniandes.edu.co/bitstreams/02bb19d0-d3a8-4fe5-aa3e-849103547cee/download |
| bitstream.checksum.fl_str_mv |
032d5f8e10649fd8514266ebb5312f41 91f86505099447ff2876bae827687cdb ae9e573a68e7f92501b6913cc846c39f 0175ea4a2d4caec4bbcc37e300941108 fb32c73c08ab64dfd424f432d9173609 e4fc33a3333e6856eacaa65b224f2219 286d09c5f850247a4c77fb2f1caab3af b960c03b2d8e89822285ff7fe1675950 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio institucional Séneca |
| repository.mail.fl_str_mv |
adminrepositorio@uniandes.edu.co |
| _version_ |
1837005459640287232 |
| spelling |
Rueda Rodríguez, Sandra Julietavirtual::24334-1Valderrama Herrera, David Santiago2025-06-24T16:52:19Z2025-06-24T16:52:19Z2025-01-28https://hdl.handle.net/1992/76374instname:Universidad de los Andesreponame:Repositorio Institucional Sénecarepourl:https://repositorio.uniandes.edu.co/La mayoría de las herramientas de análisis automático de seguridad disponibles actualmente no contemplan análisis de seguridad específicos para APIs REST, acrónimos para ‘Application Programming Interface’ (Interfaz de Programación de Aplicaciones) y ‘REpresentational State Transfer ‘(Transferencia de Estado Representacional) respectivamente. Esto es crítico en tanto estas interfaces son vulnerables a ataques y explotación, pues son un objetivo atractivo para los atacantes debido a que suelen manejar datos sensibles, controlar funcionalidades críticas y conectar aplicaciones, lo que permite que un ataque exitoso resulte en robo de información, interrupción de servicios, o escalación de privilegios. Las herramientas de análisis automático de seguridad contribuyen a mitigar estos riesgos al detectar vulnerabilidades, validar entradas, asegurar la autenticación y autorización, y monitorear la API en tiempo real, fortaleciendo así la protección contra posibles explotaciones. En el contexto de la educación en seguridad de la información es importante que los estudiantes tengan contacto con estas herramientas: tanto aquellas que están especializadas en REST como aquellas con orientación a todo lo que quepa dentro del término sombrilla “web”. Este contacto es esencial para que los estudiantes desarrollen competencias prácticas que les permitan identificar y corregir vulnerabilidades. Aprender a usar estas herramientas, ampliamente utilizadas en la industria, prepara a los estudiantes para enfrentar retos reales de manera eficiente, mejorando su comprensión de conceptos clave y fortaleciendo su perfil profesional. La solución propuesta para hacer frente a este problema consta de dos fases. En la primera fase exploratoria se navega y se interactúa con las herramientas de análisis automático a fin de entender los beneficios y desventajas de cada una. En la segunda fase de divulgación se construye un artefacto educativo que permita dar a conocer los resultados de la primera fase a los estudiantes del curso de Seguridad en el Host. El resultado de la fase de divulgación es un tutorial de uso de la herramienta OWASP ZAP sobre una aplicación web con vulnerabilidades ya conocidas. Este tutorial consta de diversas actividades que permiten explorar las funcionalidades de análisis manual y automático que ofrece la herramienta en cuestión, así como explotar y corregir vulnerabilidades de una aplicación con fallas de seguridad ya conocidas.Pregrado71 páginasapplication/pdfspaUniversidad de los AndesIngeniería de Sistemas y ComputaciónFacultad de IngenieríaDepartamento de Ingeniería de Sistemas y ComputaciónAttribution 4.0 Internationalhttp://creativecommons.org/licenses/by/4.0/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Evaluación y divulgación de herramientas de análisis automático de seguridad webTrabajo de grado - Pregradoinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/acceptedVersionhttp://purl.org/coar/resource_type/c_7a1fTexthttp://purl.org/redcol/resource_type/TPHerramientas de análisis automático de seguridadCiberseguridadVulnerabilidadOWASP ZAPEducaciónIngenieríaimperva, «The State of API Security in 2024,» 2024.The Hacker News, «APIs Drive the Majority of Internet Traffic and Cybercriminals are Taking Advantage,» 19 Marzo 2024. [En línea]. Available: https://thehackernews.com/2024/03/apisdrive-majority-of-internet-traffic.html. [Último acceso: 7 Diciembre 2024].IBM Corporation, «Cost of a Data Breach Report 2024,» Armonk, 2024.Allianz Commercial, «Cyber security trends 2023,» Munich, 2023.N. Kostic, «Automated Security Testing: Best Practices and Best Tools,» phoenixNAP, 26 Abril 2024. [En línea]. Available: https://phoenixnap.com/blog/automated-security-testing-bestpractices. [Último acceso: 7 Diciembre 2024].D. M. Rafi, K. R. K. Moses, K. Petersen y M. Mantyla, «Benefits and Limitations of Automated Software Testing: Systematic Literature,» de 2012 7th International Workshop on Automation of Software Test, AST 2012, 2012.A. Golmohammadi, M. Zhang y A. Arcuri, «Testing RESTful APIs: A Survey,» ACM Transactions on Software Engineering and Methodology , pp. 1-41, 2022.OWASP, «Vulnerabilities,» [En línea]. Available: https://owasp.org/wwwcommunity/vulnerabilities/. [Último acceso: 8 Diciembre 2024].OWASP, «OWASP Top 10:2021,» [En línea]. Available: https://owasp.org/Top10/es/. [Último acceso: 8 Diciembre 2024].J. Williams, «OWASP Risk Rating Methodology,» OWASP, [En línea]. Available: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology. [Último acceso: 10 Diciembre 2024].A. Martin-Lopez, A. Arcuri, S. Segura y A. Ruiz-Cortés, «Black-Box and White-Box Test Case Generation for RESTful APIs: Enemies or Allies,» de 2021 IEEE 32nd International Symposium on Software Reliability Engineering (ISSRE), Wuhan, 2021.J. Schmitt, «SAST vs DAST: What they are and when to use them,» CircleCI Blog, 30 Mayo 2024. [En línea]. Available: https://circleci.com/blog/sast-vs-dast-when-to-use-them/. [Último acceso: 10 Diciembre 2024].C. McNab, Network Security Assessment, Sebastopol: O’Reilly Media, Inc., 2017.W. Du, J. Li, Y. Wang, L. Chen, R. Zhao, J. Zhu, Z. Han, Y. Wang y Z. Xue, «Vulnerability-oriented Testing for RESTful APIs,» de 33rd USENIX Security Symposium (USENIX Security 24, Philadelphia, 2024.V. Atlidakis, P. Godefroid y M. Polishchuk, «Checking Security Properties of Cloud Service REST APIs,» de 2020 IEEE 13th International Conference on Software Testing, Validation and Verification (ICST), 2020.D. Corradine, M. Pasqua y M. Ceccato, «Automated Black-box Testing of Mass Assignment Vulnerabilities in RESTful APIs,» de ICSE '23: Proceedings of the 45th International Conference on Software Engineering, Melbourne, 2023C. Cheh y B. Chen, «Analyzing OpenAPI Specifications for Security Design Issues,» de 2021 IEEE Secure Development Conference (SecDev), Los Alamitos, 2021.201910987Publicationhttps://scholar.google.es/citations?user=picn4ngAAAAJvirtual::24334-10000-0002-2111-9348virtual::24334-1https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000143111virtual::24334-1e336d2eb-f251-470f-b975-2d5e63ce65c9virtual::24334-1e336d2eb-f251-470f-b975-2d5e63ce65c9virtual::24334-1ORIGINALEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdfEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdfapplication/pdf2884015https://repositorio.uniandes.edu.co/bitstreams/c40184fd-7dc0-4995-a5de-fb30e7b424bb/download032d5f8e10649fd8514266ebb5312f41MD52Formato Entrega Tesis Firmado.pdfFormato Entrega Tesis Firmado.pdfHIDEapplication/pdf318210https://repositorio.uniandes.edu.co/bitstreams/c60a399b-1655-494d-b083-232f13ac84f0/download91f86505099447ff2876bae827687cdbMD53LICENSElicense.txtlicense.txttext/plain; charset=utf-82535https://repositorio.uniandes.edu.co/bitstreams/801370c1-4909-4984-91fb-6d8532d83f7f/downloadae9e573a68e7f92501b6913cc846c39fMD54CC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8908https://repositorio.uniandes.edu.co/bitstreams/b88b42af-5842-40de-9aa4-514504afbca4/download0175ea4a2d4caec4bbcc37e300941108MD55TEXTEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdf.txtEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdf.txtExtracted texttext/plain101908https://repositorio.uniandes.edu.co/bitstreams/4a627a23-cace-48c6-a776-c2ce8b92fb39/downloadfb32c73c08ab64dfd424f432d9173609MD56Formato Entrega Tesis Firmado.pdf.txtFormato Entrega Tesis Firmado.pdf.txtExtracted texttext/plain2004https://repositorio.uniandes.edu.co/bitstreams/0af1c786-112e-4c70-9358-c10cd77f0ec9/downloade4fc33a3333e6856eacaa65b224f2219MD58THUMBNAILEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdf.jpgEvaluación y divulgación de herramientas de análisis automático de seguridad web.pdf.jpgIM Thumbnailimage/jpeg7786https://repositorio.uniandes.edu.co/bitstreams/5144e7e7-a252-4951-8aa6-40e0b991cc69/download286d09c5f850247a4c77fb2f1caab3afMD57Formato Entrega Tesis Firmado.pdf.jpgFormato Entrega Tesis Firmado.pdf.jpgIM Thumbnailimage/jpeg16558https://repositorio.uniandes.edu.co/bitstreams/02bb19d0-d3a8-4fe5-aa3e-849103547cee/downloadb960c03b2d8e89822285ff7fe1675950MD591992/76374oai:repositorio.uniandes.edu.co:1992/763742025-06-25 04:11:49.666http://creativecommons.org/licenses/by/4.0/Attribution 4.0 Internationalopen.accesshttps://repositorio.uniandes.edu.coRepositorio institucional Sénecaadminrepositorio@uniandes.edu.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 |