Automatización de pruebas de seguridad en aplicaciones web basadas en CMS

Abstract

Las tecnologías web han evolucionado hasta permitir que los desarrolladores puedan crear nuevas experiencias web. Los sistemas de gestión de contenidos facilitan la creación de contenido web por lo que, en la mayoría de los casos, los usuarios carecen de un conocimiento experto de la tecnología en sí, y mucho menos de los problemas de seguridad en ella. Para complicar el asunto, las vulnerabilidades de CMS son objetivos atractivos para posibles atacantes. Un análisis de seguridad de CMS populares de código abierto reveló importantes agujeros de seguridad. Estas vulnerabilidades dejan las aplicaciones y sus usuarios no expertos abiertos a la explotación. La mayoría de estas vulnerabilidades pueden ser corregidas durante las fases iniciales del desarrollo de software, sin embargo, son detectadas más adelante en su ciclo de vida por lo que retrasa la publicación de parches y produciendo un aumento de los costes de desarrollo. Por ello el objetivo de esta investigación fue formalizar un paquete de pruebas de seguridad mediante Gherkin a partir de las pruebas automatizables en los Sistemas de Gestión de Contenidos utilizando la metodología de Behavior Driven Development. Dicha metodología permite una mejor comunicación entre el equipo de desarrollo de software debido a que las pruebas de seguridad son redactadas utilizando los requisitos específicos de software y en lenguaje natural, por lo que ambas partes pueden entender y mantener las pruebas sin poseer altos conocimientos de programación.

Web technologies have evolved to allow developers to create new web experiences. Content management systems facilitate the creation of web content so, in most cases, users lack an expert knowledge of the technology itself, much less of the security problems in it. To complicate matters, CMS vulnerabilities are attractive targets for would-be attackers. A security scan of popular open source CMS revealed significant security holes. These vulnerabilities leave applications and their non-expert users open to exploitation. Most of these vulnerabilities can be corrected during the initial phases of software development, however, they are detected later in its life cycle, thus delaying the publication of patches and producing an increase in development costs. Therefore, the objective of this research was to formalize a security testing package using Gherkin from automatable tests in Content Management Systems using the Behavior Driven Development methodology. This methodology allows better communication between the software development team because the security tests are written using the specific software requirements and in natural language, so that both parties can understand and maintain the tests without having high programming knowledge.