«Análisis automático de la seguridad de aplicaciones web»
Juan Ramón BermejoUNIR
Resumen de la ponencia
Llevar a cabo una auditoría de seguridad de una aplicación web, realizando test de penetración o análisis de código fuente de forma manual, es una tarea que puede resultar ardua, tediosa que difícilmente será eficaz por la dificultad de probar toda la superficie de ataque de la aplicación. Probar todos los campos de entrada, con todos los roles de usuario, etc. es complicado y seguramente se dejarán no pocas vulnerabilidades en el código.
El objetivo de obtener aplicaciones web con un alto grado de seguridad, pasa por incluir en el ciclo de vida de desarrollo de aplicaciones web, prácticas de análisis de la seguridad en las distintas fases del SDLC (Ciclo de vida de desarrollo seguro), utilizando e integrando herramientas automáticas de distinta índole que existen en el mercado y de open source para obtener un mejor resultado de conjunto que deriva en una metodología específica para integración de las herramientas seleccionadas. En esta ponencia se tratará de mostrar las tendencias en los posibles tipos de herramientas a emplear en cada fase del SDLC y algunos ejemplos concretos.
Biografía
Ingeniero superior en informática por la Universidad Nacional de Educación a Distancia, actualmente es estudiante del doctorado en Investigación en Ingeniería Eléctrica, Electrónica y Control en la misma Universidad. En 2011, completó los estudios de Máster Universitario en Ingeniería informática sobre Redes, Comunicación y gestión de Contenidos impartido por la UNED. Ha desarrollado su carrera profesional durante los últimos 15 años en el ámbito del Ministerio de Defensa relacionado con sistemas Mainframe de IBM y más recientemente con el sistema de Mando y Control del Ejército del Aire, donde colabora actualmente en distintos proyectos de migración de varios de los subsistemas de que se compone.