Análisis de seguridad de XSS, SQL Injection y CSRF en Laravel, Django, Express y Spring

Archivos

carta_aprobacion_trabajo_grado_eafit_final (1).pdf (268.94 KB)
formulario_autorizacion_publicacion_obras.pdf (407.25 KB)
Trabajo de grado.pdf (1.65 MB)

Fecha

2022

Autores

Ramos Mena, Ángel Eduardo

Título de la revista

ISSN de la revista

Título del volumen

Editor

Universidad EAFIT

Resumen

The development of technological applications has constantly been evolving to provide a better experience for users, as it can ensure their security to avoid specific threats that could interfere with their actual operation. Despite the efforts, internal and external security threats are present, which is why it is necessary to take all possible precautions to respond to them. Currently, web application frameworks (Web Application Frameworks - WAF) facilitate development and enhance security in web applications. In this work, we focus on how the WAFs Laravel, Express, Spring, and Django, provide mechanisms to implement security in web applications. An application was developed with the MVC (Model - View - Controller) architecture pattern in each of the selected WAFs. Cross-Site Scripting, SQL Injection, and Cross-Site Request Forgery hacking techniques were chosen to alter the applications in an unauthorized manner. These techniques were used to observe how applications can be breached. We also analyzed how prepared WAFs are to deal with these techniques, what rules they incorporate to ensure adequate protection, and how risk can be minimized to make development in a specific WAF more secure.

Descripción

El desarrollo de aplicaciones tecnológicas ha estado en constante evolución para proveer una mejor experiencia para los usuarios, de igual manera lo ha hecho la capacidad de garantizar la seguridad en ellas, para evitar ciertas amenazas que podrían interferir con su funcionamiento original. A pesar de los esfuerzos, las amenazas a la seguridad, tanto internas como externas, están presentes, razón por la cual es necesario tomar todas las precauciones posibles para responder a ellas. Actualmente, los frameworks de aplicación web (Web Application Frameworks - WAF) facilitan el desarrollo y potencian la seguridad de las aplicaciones web. En este trabajo nos enfocamos en conocer cómo los WAFs Laravel, Express, Spring y Django, proporcionan mecanismos para implementar la seguridad en las aplicaciones web. En cada uno de los WAFs seleccionados, se desarrolló una aplicación con el patrón de arquitectura MVC (Modelo - Vista - Controlador). Se seleccionaron las técnicas de hacking XSS, SQL Injection y CSRF, para alterar las aplicaciones de manera no autorizada. Estas técnicas se usaron para observar cómo se pueden vulnerar las aplicaciones. También se analizó qué tan preparados están los WAFs para hacer frente a dichas técnicas, qué reglas incorporan para garantizar una protección adecuada y cómo se puede minimizar el riesgo para que el desarrollo en un WAF específico sea más seguro

Palabras clave

XSS , SQL Injection , CSRF , Seguridad , Técnica de hacking , Modelo-Vista-Controlador (MVC) , Framework de aplicación web (WAF) , Spring , Laravel , Django , Express

Citación

URI

http://hdl.handle.net/10784/32437

Colecciones

Maestría en Ingeniería (tesis)