Integración de nuevas herramientas de pruebas de seguridad en la Plataforma de Seguridad en las Tecnologías de la Información (PlatSI)

Abstract

Con el auge de Internet, las aplicaciones, datos e información tienen un grado de exposición cada vez mayor, por lo que es de vital importancia para las instituciones proteger y controlar el uso de la misma. El presente trabajo realiza un estudio sobre las herramientas de pruebas de seguridad a aplicaciones web existentes en la actualidad, con la finalidad de seleccionar las posibles a integrar a PlatSI. La Plataforma para la realización de auditorías tiene integradas cinco herramientas de pruebas de seguridad, ellas son: “Acunetix”, “Nikto”, “Arachni”, “ZAP” y “W3af”’. De estas herramientas no se cuenta con las versiones actualizadas, limitando así la posibilidad de detectar nuevos tipos de vulnerabilidades, y al no contar con varios tipos de herramientas limita el proceso de correlación, lo que aumenta la probabilidad de ocurrencia de falsos positivos. Además la Plataforma no posee herramientas especialidades en la detección de vulnerabilidades a aplicaciones web desarrolladas en CMS. Con el objetivo de apoyar la detección de nuevas vulnerabilidades de PlatSI, se seleccionaron las herramientas Wapiti y Joomscan para formar parte de la propuesta de solución. En la integración de estas herramientas fue necesario la implementación de un mecanismo de plugins para acoplar y no afectar el funcionamiento de los demás procesos que realiza la Plataforma. Como resultado del presente trabajo se integraron dos herramientas de pruebas de seguridad a aplicaciones web a la Plataforma, que apoyan la detección de nuevas vulnerabilidades, y por consiguiente el proceso de auditorías.