Desarrollo e implementación de un modelo de pruebas de seguridad de software sobre aplicaciones web

Abstract

El proyecto pretende tener como resultado un modelo para la realización de pruebas de seguridad a aplicaciones web y posterior certificación de la seguridad y de los parámetros que fueron utilizados para llegar a la conclusión. El modelo de pruebas se fundamenta en la metodología Open Source Security Testing Methodology Manual (OSSTMM) v3 y el estándar Common Vulnerability Scoring System (CVSS), para valoración de las vulnerabilidades encontradas. Por medio de este proyecto se crearon listas de chequeo, encuestas, una metodología de pruebas y procedimientos estándares de operaciones, siguiendo estándares internacionales por medio de los cuales la empresa contará con un modelo de pruebas, que le permitirá certificar y evaluar las aplicaciones de terceros en ámbitos de seguridad. El nivel de seguridad de las aplicaciones, se obtendrá por medio de indicadores que se evaluarán y calificarán y de esta forma se identificarán las áreas de mejora. Con los resultados de esta evaluación se pretende ofrecer los servicios de Avantica para reparar, mejorar o replantear el sitio auditado. Se creó, el sistema Performance Test Runner (Petru), el cual integra la herramienta de pruebas sintéticas Grinder, con la herramienta de monitoreo Dynatrace y utiliza el lenguaje Jython para la creación de las pruebas. El sistema cuenta con 3 módulos, el de selección y ejecución de pruebas, el de creación y modificación de pruebas y el módulo de monitoreo de pruebas. Se utilizaron 2 aplicaciones para la implementación del modelo, un sistema interno de capacitación que fue descartado por pobre esquema de diseño y un sistema de manejo edición de ítems que fue el elegido.

The project aims to result in a model for carrying out security tests on web applications and subsequent certification of security and the parameters that were used to reach the conclusion. The testing model is based on the Open Source Security Testing Methodology Manual (OSSTMM) v3 and the Common Vulnerability Scoring System (CVSS) standard, to assess the vulnerabilities found. Through this project, checklists, surveys, a testing methodology and standard operating procedures were created, following international standards through which the company will have a testing model that will allow it to certify and evaluate third-party applications. in security areas. The security level of the applications will be obtained by means of indicators that will be evaluated and qualified and in this way the areas for improvement will be identified. With the results of this evaluation, it is intended to offer Avantica's services to repair, improve or reconsider the audited site. The Performance Test Runner (Petru) system was created, which integrates the Grinder synthetic test tool with the Dynatrace monitoring tool and uses the Jython language to create the tests. The system has 3 modules, the test selection and execution module, the test creation and modification module, and the test monitoring module. Two applications were used for the implementation of the model, an internal training system that was discarded due to a poor design scheme and an item editing management system that was chosen.