Modelo para la detección de vulnerabilidades explotables a ciegas mediante ataques de inyección de código en entornos cliente/servidor
- ALONSO CEBRIÁN, JOSÉ MARÍA
- Antonio Guzmán Sacristán Director
- Gonzalo Álvarez Marañón Co-director
Defence university: Universidad Rey Juan Carlos
Fecha de defensa: 21 May 2013
- Luis Joyanes Aguilar Chair
- Marta Beltrán Pardo Secretary
- Enrique Cabello Pardos Committee member
- Pablo García Bringas Committee member
- Francisco José García Peñalvo Committee member
Type: Thesis
Abstract
En este trabajo doctoral se han analizado en profundida las técnicas aplicadas en la realización de auditorías de seguridad de los sistemas de la información. De este estudio se ha concluido que existe una importante carencia de una metodología de análisis de vulnerabilidades frente a los denominados ataques de inyección de código. En los últimos años, estas vulnerabilidades han sido clasificadas como las de myaor criticidad en cuestión de presencia en al mayoría de los incidentes de seguridad documentados. Es por ello que ha sido el objetivo de esta tesis la propuesta de una metodología de detección de vulnerabilidades que fuese fácilmente integrable en los actuales procesos de auditoría. Estos procesos se dividen en dos tipos: procesos de auditoría de caja negra y de caja blanca. Derán los procesos del primer tipo los que se verán beneficiados pro los resultados de este tesis. Esto es debido a que para la realización de estos procesos no se necesita un conocimiento preciso de cómo están estructurados los sistemas a evaluar. Esto coincide a la perfección con una forma de explotación de las vulnerabilidades de inyección de código que se denomina inyección ciega de código. Esta forma de explotación no se basa en una recuperación inmediata de los contenidos secretos de una organización sino que se basa en el análisis del comportamiento del sistema ante determinadas entradas. La ventaja de esta forma de explotación es que es fácilmente automatizable con lo que es posible su instrumentación software y por tanto su integración con las actuales herramientas de auditoría de caja negra. En esta tesis se han evaluado las tres tecnologías de mayor presencia en Internet: Bases de Datos SQL, árboles LDAP y bases de datos XML. Para cada una de ellas se ha realizado un estudio en profundidad de las vulnerabilidades de código asociadas a las mismas y se ha propuesto una técnica de detección de las mismas que englobará todas las conclusiones del estudio.