Estado del Arte
Estado del Arte
Fichas RAE
|
Numero de RAE
|
001
|
|
|
Tema
|
Funcionamiento y características de los WAF
|
|
|
Título del articulo
|
Web Application Firewall – WAF
|
|
|
Autor
|
Juan Evangelista Estupiñan Ojeda
|
|
|
Fuente bibliográfica
|
Estupiñan, Juan.
(2013). Web Application Firewall - WAF. Universidad Piloto de Colombia.
Bogotá, Colombia. Recuperado de: http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2917/00001884.pdf?sequence=1
|
|
|
Año
|
2013
|
|
|
Resumen: El artículo
describe el uso y funcionamiento de la herramienta WAF; además, resalta la
importancia que ésta posee como segmento de seguridad en el desarrollo e
implementación de las aplicaciones web, y en los sistemas de protección que
deben tener las entidades para mantener la confidencialidad, integridad y
disponibilidad de la información.
|
||
|
Palabras
claves: CSRF, Firewall, IPS, SQL
Injection, WAF, XSS.
|
||
|
Contenidos:
Antecedentes del WAF, Funcionamiento, Tipos de Implementación, Top 10 de
OWASP año 2013.
|
||
|
Objetivo: Sensibilizar
al lector acerca de la seguridad en la nube, describir las características de
los sistemas WAF, y evidenciar posibles fallas de seguridad que pueden ser
evitadas a través del uso de WAF.
|
||
|
Problema: Con el
creciente uso de la tecnología a través de la Internet, podemos estar al día
y mantenernos conectados con, prácticamente, cualquier cosa; no obstante,
estamos vulnerables a posibles fraudes. Una muy buena posibilidad para evitar
esta constante exposición reside en el uso de los WAF.
|
||
|
Principales
referentes teóricos y conceptuales:
1.
Rapid7.com. (1996, Marzo
19). PHF CGI Remote Command Execution.
Recuperado
de: https://www.rapid7.com/db/vulnerabilities/http-cgi-phf-command-execution
2.
Wikipedia.org. (2014, Agosto 11). Application firewall. Recuperado de: https://en.wikipedia.org/wiki/Application_firewall
3.
Revista
Seguridad Universidad Autónoma de México. (2013, Mayo 2). Firewall de Aplicación WEB – Parte II.
Recuperado de: https://revista.seguridad.unam.mx/numero-17/firewall-de-aplicaci%c3%b3n-web-parte-ii
4.
Elhacker.net. (S. F). Introducción a los Web Applications Firewall (WAF). Recuperado de: http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf
|
||
|
Metodología: El
documento no denota ninguna metodología específica.
|
||
|
Resultados: El artículo
aclara las brechas de seguridad presentes en los sistemas informáticos de la
nube, concientiza al lector sobre este asunto, y describe el alivio que
ofrecen las soluciones basadas en WAF.
|
||
|
Conclusiones:
Actualmente, los WAF son dispositivos imprescindibles para brindar seguridad
a los servidores web, sirviendo como intermediario y actuando como filtro
entre los usuarios y las aplicaciones web. Los WAF son sistemas que se
implementan por hardware y/o software, y se utilizan para analizar y
monitorear el tráfico de datos. La OWASP es un proyecto dedicado a determinar
las causas que hacen que un software sea inseguro, y es un sólido referente
para desarrollar soluciones de seguridad como los WAF.
|
||
|
Comentarios: El autor
utiliza un lenguaje comprensible y datos concretos sobre el tema. Es bueno
también que se resalte la referencia a OWASP. El artículo brinda información
precisa, y puede ser considerado como fuente de información; no obstante,
deberá complementarse con otras fuentes.
|
||
|
|
||
|
Elaborado por:
Jefferson Aragón
|
Revisado por:
|
|
|
Numero de RAE
|
002
|
|
|
Tema
|
Características, similitudes, diferencias,
ventajas y desventajas de diversos WAF
|
|
|
Título del articulo
|
Análisis comparativo de soluciones WAF Open Source
|
|
|
Autor
|
Néstor Traña Obando
|
|
|
Fuente bibliográfica
|
Traña,
Nestor. (2018, Noviembre). Análisis
Comparativo de Soluciones WAF Open Source. Universidad Nacional de
Ingeniería. Managua, Nicaragua. Recuperado de: http://ribuni.uni.edu.ni/2707/1/92609.pdf
|
|
|
Año
|
2018
|
|
|
Resumen: La tesis
realiza un análisis comparativo de tres herramientas WAF Open Source (Endian,
Shadow Daemon y Sophos UTM), mostrando un panorama claro y preciso de cuál es
la herramienta que mejor puede adaptarse a cada necesidad particular de
protección de los sitios web.
|
||
|
Palabras
claves: Seguridad, Vulnerabilidad, Test de Penetración, WAF.
|
||
|
Contenidos: ¿Qué es un
WAF?, Razones para usar WAF, Riesgos al usar WAF, Comparación soluciones WAF
Open Source, Análisis de vulnerabilidades, Herramienta de ataque OWASP ZAP.
|
||
|
Objetivo: Determinar
la efectividad de los WAF Open Source, facilitando a las organizaciones el
tomar decisiones sobre su implementación para proteger sus sistemas web.
|
||
|
Problema: Los
sistemas o aplicaciones web están expuestas a un sin número de amenazas
debido al exponencial incremento de los datos que circulan en la red y la
creciente sofisticación de las herramientas de ataque; por tanto, se hace
necesario que las empresas cuenten con un mecanismo de protección que sea
eficiente y eficaz.
|
||
|
Principales
referentes teóricos y conceptuales:
1.
Arévalo,
J. (2011, Septiembre 15). Hacker bloquean varias páginas de Internet del
gobierno de Nicaragua, La Jornada. 5 de mayo 2015. Recuperado de: http://www.lajornadanet.com/diario/archivo/2011/septiembre/15/1.php
2.
[Nuxbone].
(2015, Mayo 5). Que es test de
penetración. Recuperado de: http://www.nyxbone.com/pentest.html
3.
Pérez,
T. (2017, Febrero). WAF, un enfoque
práctico para la seguridad de sitios web. Recuperado de: https://blog.sucuri.net/espanol/2017/02/website-applicationfirewalls-waf-un-enfoque-practico-para-la-seguridad-de-sitios-web.html
4.
[Symantec].
(2017, Agosto). Políticas WAF para
proteger servidores contra ataques. Recuperado de: https://originsymwisedownload.symantec.com/resources/webguides/managementcenter/1.9.1.1/Content/ConfigurationManagementGuide/6_Policy/WAF/WAF_
solution.htm
|
||
|
Metodología: Se
utilizaron máquinas físicas y virtuales para recrear un entorno de red en que
fuera posible realizar pruebas de manera controlada. Además, se hizo uso de
herramientas OWASP Benchmark.
|
||
|
Resultados: Las tres
soluciones WAF analizadas son muy similares en muchos de los aspectos
evaluados, no obstante, se observó que Endian tiene un mayor índice de
precisión reconociendo los falsos positivos más eficientemente.
|
||
|
Conclusiones: Se indagó
sobre distintos mecanismos de ataque, los cuales fueron de mucha utilidad
para poner a prueba las soluciones evaluadas. Los resultados obtenidos a
partir de las soluciones WAF mejoran si se realiza la modificación de sus
reglas estándar, y se incluyen reglas específicas en función del entorno de
trabajo.
|
||
|
Comentarios: El autor
incluye figuras representando simulaciones con entornos de potenciales
sistemas web, y tablas con los resultados de las pruebas realizadas con cada
una de las soluciones planteadas, aclarando sobremanera el análisis
comparativo.
|
||
|
|
||
|
Elaborado por:
Jefferson Aragón
|
Revisado por:
|
|
|
Numero de RAE
|
003
|
|
|
Tema
|
Definiciones relación, y diferencias entre
vulnerabilidad, amenaza, riesgo, impacto y ataque. Influencia de OWASP en la
seguridad de los sistemas informáticos.
|
|
|
Título del articulo
|
Metodología para la prevención de incidentes de
seguridad críticos en aplicaciones web mediante la adopción de escenarios
seguros
|
|
|
Autor
|
Pablo César Velasco Somera
|
|
|
Fuente bibliográfica
|
Velasco,
Pablo. (2011). Metodología para la prevención
de incidentes de seguridad críticos en aplicaciones Web mediante la adopción
de escenarios seguros. Universidad Autónoma de Occidente. Cali, Colombia.
Recuperado de: http://red.uao.edu.co/bitstream/10614/1429/1/TIS00560.pdf
|
|
|
Año
|
2011
|
|
|
Resumen: La tesis
genera una alternativa para la prevención de incidentes de seguridad, que se
adapta al arquitecto de software; ésta se enfoca, principalmente, en prevenir
los incidentes, más que en corregirlos.
|
||
|
Palabras
claves: Vulnerabilidad, Amenaza, Riesgo, Impacto, Seguridad.
|
||
|
Contenidos: Vulnerabilidad,
Amenaza, Riesgo, Impacto, Ataque, Test de Penetración, OWASP, Simulación de
Escenarios.
|
||
|
Objetivo: Desarrollar
una metodología para la prevención de incidentes de seguridad en las
aplicaciones web mediante la adopción de escenarios seguros.
|
||
|
Problema: Las
aplicaciones web están expuestas a numerosas vulnerabilidades de seguridad;
por tanto, se requiere generar una serie de medidas metodológicas para la
prevención de incidentes críticos de seguridad que éstas puedan sufrir.
|
||
|
Principales
referentes teóricos y conceptuales:
1.
[IEEE]. (S. F). 1471-2000 - IEEE Recommended
Practice for Architectural Description for Software-Intensive Systems. [Archivo web]. IEEE Computer Society,
2004. Recuperado de: http://standards.ieee.org/findstds/standard/1471-2000.html
2.
[OWASP Foundation]. (S.
F). Configuration, [Archivo web]. Recuperado
de: http://www.owasp.org/index.php/Configuration
3.
[CSRF]. (S. F). Cross-Site Request Forgery. [Archivo web]. CWE, 2010. Recuperado
de: http://cwe.mitre.org/data/definitions/352.html
4.
ESCAMILLA.,
& MURUKAN. (S. F). Anandha. Architecture and Design Review
for Security: Cryptography. [Archivo
web]. Microsoft, 2006. Recuperado de: http://msdn.microsoft.com/enus/library/ff648650.aspx#c05618429_012
|
||
|
Metodología: Se
investigó sobre las vulnerabilidades más críticas en las aplicaciones web, y
sobre las mejores prácticas para la prevención de vulnerabilidades; además,
se desarrollaron laboratorios basados en estos conceptos, utilizando Webgoat,
y apoyados sobre las publicaciones de OWASP.
|
||
|
Resultados: Luego de
realizar diversas pruebas de penetración con validación de datos de entrada,
autenticación, autorización, manejo de sesiones, manejo de la configuración y
criptografía, se evidencia la necesidad de adopción de escenarios seguros.
|
||
|
Conclusiones: Mediante la
investigación de vulnerabilidades consideradas como críticas, se pudo
determinar la importancia y el riesgo que representan para la información que
manejan las aplicaciones web. El uso y adopción de la metodología podría
minimizar los costos de las soluciones correctivas de seguridad en las
aplicaciones web.
|
||
|
Comentarios: El autor
incluye la descripción de conceptos básicos para la apropiación del tema; no
obstante, no se encuentran disponibles todas las mediciones obtenidas como
resultado de las pruebas realizadas.
|
||
|
|
||
|
Elaborado por:
Jefferson Aragón
|
Revisado por:
|
|
Comentarios
Publicar un comentario