Seguridad de JAX-RS frente a ataques por inyección de código

Trabajo de Investigación

Autores:: Fuyo-González, Juan Carlos
Rivera-Oviedo, Jael Alexander

Tipo de recurso:: Trabajo de grado de pregrado

Fecha de publicación:: 2016

Institución:: Universidad Católica de Colombia

Repositorio:: RIUCaC - Repositorio U. Católica

Idioma:: spa

id	UCATOLICA2_23bfc203a00c858bff983a118ed2c19c
oai_identifier_str	oai:repository.ucatolica.edu.co:10983/14720
network_acronym_str	UCATOLICA2
network_name_str	RIUCaC - Repositorio U. Católica
repository_id_str
dc.title.spa.fl_str_mv	Seguridad de JAX-RS frente a ataques por inyección de código
title	Seguridad de JAX-RS frente a ataques por inyección de código
spellingShingle	Seguridad de JAX-RS frente a ataques por inyección de código API REST CODE-INJECTION JAX-RS SEGURIDAD HTTP SEGURIDAD
title_short	Seguridad de JAX-RS frente a ataques por inyección de código
title_full	Seguridad de JAX-RS frente a ataques por inyección de código
title_fullStr	Seguridad de JAX-RS frente a ataques por inyección de código
title_full_unstemmed	Seguridad de JAX-RS frente a ataques por inyección de código
title_sort	Seguridad de JAX-RS frente a ataques por inyección de código
dc.creator.fl_str_mv	Fuyo-González, Juan Carlos Rivera-Oviedo, Jael Alexander
dc.contributor.advisor.spa.fl_str_mv	Velandia-Vega, John Alexánder
dc.contributor.author.spa.fl_str_mv	Fuyo-González, Juan Carlos Rivera-Oviedo, Jael Alexander
dc.subject.spa.fl_str_mv	API REST CODE-INJECTION JAX-RS SEGURIDAD HTTP
topic	API REST CODE-INJECTION JAX-RS SEGURIDAD HTTP SEGURIDAD
dc.subject.lemb.spa.fl_str_mv	SEGURIDAD
description	Trabajo de Investigación
publishDate	2016
dc.date.issued.spa.fl_str_mv	2016
dc.date.accessioned.spa.fl_str_mv	2017-07-10T20:06:48Z
dc.date.available.spa.fl_str_mv	2017-07-10T20:06:48Z
dc.type.spa.fl_str_mv	Trabajo de grado - Pregrado
dc.type.coarversion.fl_str_mv	http://purl.org/coar/version/c_71e4c1898caa6e32
dc.type.coar.spa.fl_str_mv	http://purl.org/coar/resource_type/c_7a1f
dc.type.content.spa.fl_str_mv	Text
dc.type.driver.spa.fl_str_mv	info:eu-repo/semantics/bachelorThesis
dc.type.redcol.spa.fl_str_mv	https://purl.org/redcol/resource_type/TP
dc.type.version.spa.fl_str_mv	info:eu-repo/semantics/submittedVersion
format	http://purl.org/coar/resource_type/c_7a1f
status_str	submittedVersion
dc.identifier.citation.spa.fl_str_mv	Fuyo-González, J. C. & Rivera-Oviedo, J. A. (2017). Seguridad de JAX-RS frente a ataques por inyección de código. Trabajo de Grado. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Bogotá, Colombia
dc.identifier.uri.spa.fl_str_mv	http://hdl.handle.net/10983/14720
identifier_str_mv	Fuyo-González, J. C. & Rivera-Oviedo, J. A. (2017). Seguridad de JAX-RS frente a ataques por inyección de código. Trabajo de Grado. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Bogotá, Colombia
url	http://hdl.handle.net/10983/14720
dc.language.iso.spa.fl_str_mv	spa
language	spa
dc.relation.references.none.fl_str_mv	OWASP, “OWASP,” OWASP.ORG, 2015. . E. J and C. Linksource, “SOA, Web Services, And RESTful Systems.,” World, 2007. E. J. Bruno, “SOA, Web Services, and RESTful Systems,” Dr. Dobb’s J. - ProQuest Sci. Journals, vol. 1, p. 5, 2007. C. Davis, “What if the Web Were not RESTful?,” EMC Corp., vol. 1, p. 8, 2011. R. T. Fielding, “Architectural Styles and the Design of Network-based Software Architectures,” Building, vol. 54, p. 162, 2000. M. Little, “A Comparison of JAX-RS Implementations,” infoq/news, 2008. . Q. U. É. Son, L. A. S. Vulnerabilidades, and D. E. L. Software, “¿Qué son las vulnerabilidades del software?,” pp. 1–11, 2014. Edward Hunt, “US Government Computer Penetration Programs and the gImplications for Cyberwar,” IEEE Ann. Hist. Comput., vol. 34, no. undefined, pp. 4– 21, 2012. OWASP, “OWASP Zed Attack Proxy Project,” OWASP Zed Attack Proxy Proj., 2016. A. B. L. y Andrea Alarc�n Aldana y Mauro Callejas Cuervo, “Vulnerabilidad de Ambientes Virtuales de Aprendizaje utilizando SQLMap, RIPS, W3AF y Nessus [Vulnerability in Virtual Learning Environments using SQLMap, RIPS, W3AF and Nessus],” Vent. Inform�tica, vol. 0, no. 30, 2014. W. G. J. Halfond and A. Orso, “AMNESIA: Analysis and Monitoring for NEutralizing SQL-injection Attacks,” in Proceedings of the 20th IEEE/ACM International Conference on Automated Software Engineering, 2005, pp. 174–183. S. W. Boyd and A. D. Keromytis, “SQLrand: Preventing SQL Injection Attacks,” in Applied Cryptography and Network Security: Second International Conference, ACNS 2004, Yellow Mountain, China, June 8-11, 2004. Proceedings, M. Jakobsson, M. Yung, and J. Zhou, Eds. Berlin, Heidelberg: Springer Berlin Heidelberg, 2004, pp. 292–302. M. SQL, “SQL Injection,” 2011. O. and/or its Affiliates, “Building RESTful Web Services with JAX-RS,” Oracle and/or its affiliates, 2013. . J. Evdemon, “understanding services,” in SOA in the real World, 1st ed., 2011, p. 195. H. Li, “RESTful Web Service Frameworks in Java,” Informatiz. Off. Shanghai Lixin Univ. Commer. Shanghai, 201620, China, vol. 1, p. 4, 2016. N. Balani and R. Hathi, Apache CXF Web Service Development. 2009 R. W. Services, “RESTEasy JAX-RS.” I. Rest, “7 implementaciones,” pp. 130–137. A. Wink, “Apache Wink 1.1,” pp. 3–121, 2010. M. Alfonso, Cifrado de las comunicaciones digitales, de la cifra clasica al algoritmo RSA. 2006. I. K. Center, “Protección de recursos JAX-RS,” IBM Documentation, 2015. C. Pautasso and E. Wilde, “RESTful Web Services: Principles, Patterns, Emerging Technologies,” Raleigh • NC • USA, vol. 1, p. 2, 2010. U. Yael, “Entorno para Experimentación de Vulnerabilidades en la Ensenanza de Buenas Practicas de Programación.” M. Fuksa and M. Gajdo, “Securing JAX-RS RESTful services.” Cwe, “CWE - 2011 cwe/sans top 25 most dangerous software errors,” SANS Inst., p. 41, 2011. A. Klein, “Blind XPath Injection,” pp. 1–10, 2004 “Live Experiments depicting SQL Injection Attacks,” pp. 91–93 J. M. Alonso, R. Bordon, M. Beltran, and A. Guzman, “LDAP injection techniques,” in Communication Systems, 2008. ICCS 2008. 11th IEEE Singapore International Conference on, 2008, pp. 980–986. Z. Su and G. Wassermann, “The Essence of Command Injection Attacks in Web Applications,” in Conference Record of the 33rd ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, 2006, pp. 372–382. B. Sullivan, “Server-side JavaScript injection,” Black Hat USA, 2011. K.-J. Lin, “SMTP-1: The First Functionalized Metalloporphyrin Molecular Sieves with Large Channels,” Angew. Chemie Int. Ed., vol. 38, no. 18, pp. 2730–2732, 1999. B. M. Bowen, V. P. Kemerlis, P. Prabhu, A. D. Keromytis, and S. J. Stolfo, “Automating the injection of believable decoys to detect snooping,” in Proceedings of the third ACM conference on Wireless network security, 2010, pp. 81–86. D. Html and C. S. S. Javascript, “Índice.” E. Janot and P. Zavarsky, “Preventing SQL Injections in Online Applications : Study , Recommendations and Java Solution Prototype Based on the SQL DOM,” 2008. C. Commons, “OWASP Top 10 2013 Los Diez Riesgos Más Críticos en Aplicaciones Web,” p. 22, 2013. M. Montenegro, “Interfaces gráficas con Swing Introducción,” vol. 467. E. Moreno, “Web Page Development Web Page.” “Getting Started with AWS.” J. Yances and S. Murillo, “Software Requirements Specification,” pp. 1–31, 2008. F. De Ciencias and D. Administración, “Universidad del Azuay,” no. Vdi, 2015 F. Barnsteiner and M. Theis, “2011 [ RESTful Webservices mit,” 2011. C. Servlets, “Controlling g Web Application Behavior,” 2009. “Generic Webshop System with JPA.”
dc.rights.spa.fl_str_mv	Derechos Reservados - Universidad Católica de Colombia, 2016
dc.rights.coar.fl_str_mv	http://purl.org/coar/access_right/c_abf2
dc.rights.accessrights.spa.fl_str_mv	info:eu-repo/semantics/openAccess
dc.rights.creativecommons.spa.fl_str_mv	Atribución-NoComercial 4.0 Internacional (CC BY-NC 4.0)
dc.rights.uri.spa.fl_str_mv	https://creativecommons.org/licenses/by-nc/4.0/
rights_invalid_str_mv	Derechos Reservados - Universidad Católica de Colombia, 2016 Atribución-NoComercial 4.0 Internacional (CC BY-NC 4.0) https://creativecommons.org/licenses/by-nc/4.0/ http://purl.org/coar/access_right/c_abf2
eu_rights_str_mv	openAccess
dc.format.mimetype.spa.fl_str_mv	application/pdf
dc.publisher.faculty.spa.fl_str_mv	Facultad de Ingeniería
dc.publisher.program.spa.fl_str_mv	Ingeniería de Sistemas y Computación
institution	Universidad Católica de Colombia
bitstream.url.fl_str_mv	https://repository.ucatolica.edu.co/bitstreams/4481c4b4-8905-4406-a72a-f9aa5eb0b428/download https://repository.ucatolica.edu.co/bitstreams/5e7e4a8f-9eaf-4f17-a5e3-220b8113e319/download https://repository.ucatolica.edu.co/bitstreams/481c677a-cc68-4b5c-8ae1-92dc02555733/download https://repository.ucatolica.edu.co/bitstreams/c6bb9997-77db-44fe-a1cf-5651c9c418e7/download https://repository.ucatolica.edu.co/bitstreams/789e9082-fa96-47e0-a49d-549bac2e451a/download https://repository.ucatolica.edu.co/bitstreams/da0ce292-af64-4798-a904-a8069d3c0c23/download
bitstream.checksum.fl_str_mv	02d1b024d0bde50a302492841a2a3329 1c96f72b978e6f74fd8e5010b0d70635 4a378307c26f9a66980f2d646fdd90dc f11fef67ca28dd027fae191b7915f87a 8ba008df499357b2e19fefff82139585 23a6887af557663277423e554e6ab78f
bitstream.checksumAlgorithm.fl_str_mv	MD5 MD5 MD5 MD5 MD5 MD5
repository.name.fl_str_mv	Repositorio Institucional Universidad Católica de Colombia - RIUCaC
repository.mail.fl_str_mv	bdigital@metabiblioteca.com
_version_	1808402599794180096
spelling	Velandia-Vega, John Alexánder 026768b1-18a3-4ffa-ab01-797fba1e4b87Fuyo-González, Juan Carlosdf2d25cf-131f-4922-871d-8535d9eb9709-1Rivera-Oviedo, Jael Alexander91c1f731-13b8-440a-869b-4b623e23c63b-12017-07-10T20:06:48Z2017-07-10T20:06:48Z2016Trabajo de InvestigaciónSe implementan tres algoritmos de ataques de inyección de código. Teniendo en cuenta estos algoritmos se definen los requerimientos para diseñar y desarrollar el prototipo, se describe la arquitectura de la aplicación, además del escenario de pruebas donde se encuentran los servicios Web a ser atacados. Por último se indican los niveles de vulnerabilidad encontrados en cada una de las implementaciones seleccionadas y se finaliza con un análisis de los resultados y algunas conclusiones de la investigación.PregradoIngeniero de SistemasTrabajo de investigaciónINTRODUCCIÓN 1. GENERALIDADES 2. SELECCIÓN DE ALGORITMOS 3. DEFINICIÓN DE REQUISITOS 4. DISEÑO DEL SISTEMA 5. ARQUITECTURA DEL SISTEMA 6. DESARROLLO DEL SISTEMA 7. ESCENARIO DE PRUEBAS 8. EVALUACIÓN DE VULNERABILIDADES 9. CONCLUSIONES REFERENCIASapplication/pdfFuyo-González, J. C. & Rivera-Oviedo, J. A. (2017). Seguridad de JAX-RS frente a ataques por inyección de código. Trabajo de Grado. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Bogotá, Colombiahttp://hdl.handle.net/10983/14720spaFacultad de IngenieríaIngeniería de Sistemas y ComputaciónOWASP, “OWASP,” OWASP.ORG, 2015. .E. J and C. Linksource, “SOA, Web Services, And RESTful Systems.,” World, 2007.E. J. Bruno, “SOA, Web Services, and RESTful Systems,” Dr. Dobb’s J. - ProQuest Sci. Journals, vol. 1, p. 5, 2007.C. Davis, “What if the Web Were not RESTful?,” EMC Corp., vol. 1, p. 8, 2011.R. T. Fielding, “Architectural Styles and the Design of Network-based Software Architectures,” Building, vol. 54, p. 162, 2000.M. Little, “A Comparison of JAX-RS Implementations,” infoq/news, 2008. .Q. U. É. Son, L. A. S. Vulnerabilidades, and D. E. L. Software, “¿Qué son las vulnerabilidades del software?,” pp. 1–11, 2014.Edward Hunt, “US Government Computer Penetration Programs and the gImplications for Cyberwar,” IEEE Ann. Hist. Comput., vol. 34, no. undefined, pp. 4– 21, 2012.OWASP, “OWASP Zed Attack Proxy Project,” OWASP Zed Attack Proxy Proj., 2016.A. B. L. y Andrea Alarc�n Aldana y Mauro Callejas Cuervo, “Vulnerabilidad de Ambientes Virtuales de Aprendizaje utilizando SQLMap, RIPS, W3AF y Nessus [Vulnerability in Virtual Learning Environments using SQLMap, RIPS, W3AF and Nessus],” Vent. Inform�tica, vol. 0, no. 30, 2014.W. G. J. Halfond and A. Orso, “AMNESIA: Analysis and Monitoring for NEutralizing SQL-injection Attacks,” in Proceedings of the 20th IEEE/ACM International Conference on Automated Software Engineering, 2005, pp. 174–183.S. W. Boyd and A. D. Keromytis, “SQLrand: Preventing SQL Injection Attacks,” in Applied Cryptography and Network Security: Second International Conference, ACNS 2004, Yellow Mountain, China, June 8-11, 2004. Proceedings, M. Jakobsson, M. Yung, and J. Zhou, Eds. Berlin, Heidelberg: Springer Berlin Heidelberg, 2004, pp. 292–302.M. SQL, “SQL Injection,” 2011.O. and/or its Affiliates, “Building RESTful Web Services with JAX-RS,” Oracle and/or its affiliates, 2013. .J. Evdemon, “understanding services,” in SOA in the real World, 1st ed., 2011, p. 195.H. Li, “RESTful Web Service Frameworks in Java,” Informatiz. Off. Shanghai Lixin Univ. Commer. Shanghai, 201620, China, vol. 1, p. 4, 2016.N. Balani and R. Hathi, Apache CXF Web Service Development. 2009R. W. Services, “RESTEasy JAX-RS.”I. Rest, “7 implementaciones,” pp. 130–137.A. Wink, “Apache Wink 1.1,” pp. 3–121, 2010.M. Alfonso, Cifrado de las comunicaciones digitales, de la cifra clasica al algoritmo RSA. 2006.I. K. Center, “Protección de recursos JAX-RS,” IBM Documentation, 2015.C. Pautasso and E. Wilde, “RESTful Web Services: Principles, Patterns, Emerging Technologies,” Raleigh • NC • USA, vol. 1, p. 2, 2010.U. Yael, “Entorno para Experimentación de Vulnerabilidades en la Ensenanza de Buenas Practicas de Programación.”M. Fuksa and M. Gajdo, “Securing JAX-RS RESTful services.”Cwe, “CWE - 2011 cwe/sans top 25 most dangerous software errors,” SANS Inst., p. 41, 2011.A. Klein, “Blind XPath Injection,” pp. 1–10, 2004“Live Experiments depicting SQL Injection Attacks,” pp. 91–93J. M. Alonso, R. Bordon, M. Beltran, and A. Guzman, “LDAP injection techniques,” in Communication Systems, 2008. ICCS 2008. 11th IEEE Singapore International Conference on, 2008, pp. 980–986.Z. Su and G. Wassermann, “The Essence of Command Injection Attacks in Web Applications,” in Conference Record of the 33rd ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, 2006, pp. 372–382.B. Sullivan, “Server-side JavaScript injection,” Black Hat USA, 2011.K.-J. Lin, “SMTP-1: The First Functionalized Metalloporphyrin Molecular Sieves with Large Channels,” Angew. Chemie Int. Ed., vol. 38, no. 18, pp. 2730–2732, 1999.B. M. Bowen, V. P. Kemerlis, P. Prabhu, A. D. Keromytis, and S. J. Stolfo, “Automating the injection of believable decoys to detect snooping,” in Proceedings of the third ACM conference on Wireless network security, 2010, pp. 81–86.D. Html and C. S. S. Javascript, “Índice.”E. Janot and P. Zavarsky, “Preventing SQL Injections in Online Applications : Study , Recommendations and Java Solution Prototype Based on the SQL DOM,” 2008.C. Commons, “OWASP Top 10 2013 Los Diez Riesgos Más Críticos en Aplicaciones Web,” p. 22, 2013.M. Montenegro, “Interfaces gráficas con Swing Introducción,” vol. 467.E. Moreno, “Web Page Development Web Page.”“Getting Started with AWS.”J. Yances and S. Murillo, “Software Requirements Specification,” pp. 1–31, 2008.F. De Ciencias and D. Administración, “Universidad del Azuay,” no. Vdi, 2015F. Barnsteiner and M. Theis, “2011 [ RESTful Webservices mit,” 2011.C. Servlets, “Controlling g Web Application Behavior,” 2009.“Generic Webshop System with JPA.”Derechos Reservados - Universidad Católica de Colombia, 2016info:eu-repo/semantics/openAccessAtribución-NoComercial 4.0 Internacional (CC BY-NC 4.0)https://creativecommons.org/licenses/by-nc/4.0/http://purl.org/coar/access_right/c_abf2APIRESTCODE-INJECTIONJAX-RSSEGURIDADHTTPSEGURIDADSeguridad de JAX-RS frente a ataques por inyección de códigoTrabajo de grado - Pregradohttp://purl.org/coar/resource_type/c_7a1fTextinfo:eu-repo/semantics/bachelorThesishttps://purl.org/redcol/resource_type/TPinfo:eu-repo/semantics/submittedVersionhttp://purl.org/coar/version/c_71e4c1898caa6e32PublicationORIGINALDocumento.pdfDocumento.pdfapplication/pdf2464052https://repository.ucatolica.edu.co/bitstreams/4481c4b4-8905-4406-a72a-f9aa5eb0b428/download02d1b024d0bde50a302492841a2a3329MD51RAE.pdfRAE.pdfapplication/pdf196955https://repository.ucatolica.edu.co/bitstreams/5e7e4a8f-9eaf-4f17-a5e3-220b8113e319/download1c96f72b978e6f74fd8e5010b0d70635MD52TEXTDocumento.pdf.txtDocumento.pdf.txtExtracted texttext/plain144181https://repository.ucatolica.edu.co/bitstreams/481c677a-cc68-4b5c-8ae1-92dc02555733/download4a378307c26f9a66980f2d646fdd90dcMD53RAE.pdf.txtRAE.pdf.txtExtracted texttext/plain10039https://repository.ucatolica.edu.co/bitstreams/c6bb9997-77db-44fe-a1cf-5651c9c418e7/downloadf11fef67ca28dd027fae191b7915f87aMD55THUMBNAILDocumento.pdf.jpgDocumento.pdf.jpgRIUCACimage/jpeg3759https://repository.ucatolica.edu.co/bitstreams/789e9082-fa96-47e0-a49d-549bac2e451a/download8ba008df499357b2e19fefff82139585MD54RAE.pdf.jpgRAE.pdf.jpgRIUCACimage/jpeg4203https://repository.ucatolica.edu.co/bitstreams/da0ce292-af64-4798-a904-a8069d3c0c23/download23a6887af557663277423e554e6ab78fMD5610983/14720oai:repository.ucatolica.edu.co:10983/147202023-11-02 12:12:14.555https://creativecommons.org/licenses/by-nc/4.0/Derechos Reservados - Universidad Católica de Colombia, 2016https://repository.ucatolica.edu.coRepositorio Institucional Universidad Católica de Colombia - RIUCaCbdigital@metabiblioteca.com

Seguridad de JAX-RS frente a ataques por inyección de código

Publicaciones similares