Comparación de técnicas de detección de vulnerabilidades de ataques de Cross Site Scripting en aplicaciones web de microempresas

Abstract

En los últimos años las aplicaciones Web se convirtieron en el medio más común en Internet y son fácilmente accesibles usando software de navegación. Debido a la popularidad y facilidad de uso, ganó el interés de los atacantes. El problema viene desde el desarrollador de aplicaciones web, porque no todos aplican reglas de prevención de vulnerabilidades, y toman como requisito prioritario el funcionamiento de procesos generales de la aplicación web. Las aplicaciones web son propensos a todo tipo de ataques entre ellos los códigos maliciosos, inyecciones SQL, incorporación de ficheros maliciosos, entre otros. Cross Site Scripting está dentro de las cinco principales vulnerabilidades en aplicaciones web, haciendo que ocurran con frecuencia ataques. Cross Site Scripting permite al atacante ejecutar código malicioso en el navegador de otro usuario, una vez que el atacante gana el control él será capaz de realizar acciones como el secuestro de cookie, el malware-difusión y la redirección maliciosa mediante la incorporación de Cross Site Scripting que se ejecutan cada vez que se carga la página. La presente investigación se comparó dos técnicas de detección de vulnerabilidades, estudiando los procesos que emiten para detectar este tipo de vulnerabilidad, aclarando que detecta por el método de envió POST y se basa en el lenguaje HTML y PHP, entendiendo que se necesitó una herramienta por técnica para escanear el caso de estudio, utilizando python para escribir el código. Una vez concluidas las herramientas se realizaron pruebas en el caso de estudio vulnerable, ejecutando las herramientas en Kali Linux. Mostrando eficiencia de las herramientas para detectar vulnerabilidades de Cross Site Scripting y el poco tiempo en escanear al caso de estudio. Por lo que se recomienda utilizar dichas herramientas para rescribir el código de aplicaciones web y así prevenir ataques de Cross Site Scripting. Finalmente, la presente investigación se basa principalmente en comprar las dos técnicas de detección de vulnerabilidades de ataques de Cross Site Scripting en las aplicaciones web, tomando como resultado final que la técnica Detección Dinámica de Vulnerabilidades (DDV) es mejor que la técnica Sumidero Detección de Vulnerabilidades (SDV).