Automatización de pruebas de seguridad a servidores web

Abstract

Los servidores web constituyen una parte fundamental para el funcionamiento de las aplicaciones web y por estos fluye toda la información de las entidades y personas. Estos son constantemente amenazados por ataques informáticos, los cuales aprovechan vulnerabilidades o problemas de seguridad para lograr sus objetivos. Los administradores web y especialistas de seguridad informática, por medio de controles de seguridad tienen que garantizar la preservación de la confidencialidad, integridad y disponibilidad de la información. Por este motivo son sometidos a pruebas de seguridad con el fin de detectar y mitigar posibles vulnerabilidades de software. Estas pruebas utilizan muchas herramientas para lograr un resultado completo y libre de falsos positivos, se debe repetir, además, en cada servidor web que presente la entidad. Esto trae como consecuencia que sea un proceso lento y complicado de gestionar sin importar la etapa del ciclo de desarrollo de software en la que se aplique. Para solucionar esta situación se propone una esta aplicación que permitirá automatizar las pruebas de seguridad a los servidores web teniendo como objetivos tres elementos, seguridad en los archivos de configuración, en la encriptación TLS/SSL y las pruebas del lado del cliente.

Web server are a fundamental part for the operation of web applications and all the information of entities and people flows through them. These are constantly threatened by computer attacks, which take advantage of vulnerabilities or security problems to achieve their objectives. The web administrators and computer security specialists, through security controls, have to guarantee the preservation of the confidentiality, integrity and availability of the information. For this reason, they are subjected to security tests in order to detect and mitigate possible software vulnerabilities. These tests use many tools to achieve a complete result free of false positives, it must also be repeated on each web server that the entity presents. This results in a slow and complicated process to manage regardless of the stage of the software development cycle in which it is applied. To solve this situation, an application is proposed that will automate the security tests of the web servers, having as objectives three elements, security in the configuration files, in the TLS / SSL encryption and the tests on the client side.