Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle

Bermejo Higuera, Juan Ramón. Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle . 2014. Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingenieros Industriales. Departamento de Ingeniería Eléctrica, Electrónica y Control

Ficheros (Some files may be inaccessible until you login with your e-spacio credentials)
Nombre Descripción Tipo MIME Size
BERMEJO_HIGUERA_Juan_Ramon_Tesis.pdf Full text (open access) application/pdf 4.95MB

Título Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle
Autor(es) Bermejo Higuera, Juan Ramón
Resumen Como técnicas de análisis de seguridad de una aplicación, las pruebas de caja blanca y de caja negra realizadas manualmente (revisión de código, test de penetración), sufren de falta de cobertura de la superficie de ataque que tienen las aplicaciones y lo más probable es que con estas pruebas de penetración manuales se tenga una gran pérdida de detección de vulnerabilidades de seguridad. La dificultad de realizar estos test manualmente conduce al desarrollo de técnicas automáticas de análisis de la seguridad. Este trabajo de tesis trata de fijar el “estado del arte” en cuanto a las últimas tendencias de herramientas de análisis automáticas: análisis estático de caja blanca (SAST), dinámico de caja negra (DAST) y análisis dinámico de caja blanca (RAST / IAST) en tiempo real. También hay disponibles desarrollos de herramientas híbridas combinando varias de los tipos anteriores, con el objetivo de reducir los falsos positivos y negativos que tienen las herramientas de análisis estático y dinámico. Todas estos tipos de herramientas son evaluadas de acuerdo a una metodología desde una perspectiva global para establecer el grado de eficacia de las herramientas en cuanto detecciones correctas (verdaderos positivos), falsas alarmas (falsos positivos), grado de cobertura de vulnerabilidades, etc. La metodología de evaluación de las herramientas consiste en ejecutar cada herramienta contra aplicaciones benchmark que contienen vulnerabilidades de seguridad conocidas. Las aplicaciones benchmark utilizadas han de tener la capacidad de comprobar falsos positivos, es decir, porciones de código seguras controladas donde las herramientas no deberían informar de la existencia de una vulnerabilidad concreta. Al resultado de las ejecuciones se les aplican posteriormente métricas seleccionadas y ampliamente aceptadas para establecer un ranking en cuanto a la efectividad de análisis de seguridad de cada herramienta. El objetivo final del resultado de la evaluación de los diferentes tipos de herramientas mencionados, es la derivación de un modelo de ciclo de vida de desarrollo seguro de 8 software (SSDLC), aplicando en cada fase los tipos de herramientas más adecuados para conseguir un resultado de conjunto lo más optimizado posible. La diferente naturaleza de cada tipo de herramienta, e incluso entre distintas herramientas del mismo tipo, hace necesario estudiar la sinergia existente entre ellas cuando se combinan para reducir el porcentaje de falsos positivos y aumentar el porcentaje de verdaderos positivos. El modelo de ciclo de vida de desarrollo seguro de software resultante siempre estará en función de los tipos de herramientas disponibles, del personal disponible para realizar las tareas de análisis, del tiempo y otros factores como los cambios de tendencias de la frecuencia y peligrosidad de las vulnerabilidades con el tiempo, de la evolución de las propias herramientas y de la aparición de otras nuevas. Estos factores de cambio implican analizar esta evolución para adaptar continuamente el modelo de SSDLC.
Abstract As security analysis techniques of an application, white-box and black testing performed manually (code review, penetration testing), suffer from lack of coverage to analyze the applications attack surface and most likely manual penetration testing has a great loss of security vulnerability detection. The difficulty in performing these tests manually leads to the development of automatic techniques of security analysis. This dissertation will set the "state of the art" in terms of the latest trends in automatic analysis tools: static analysis white box (SAST), Dynamic black box (DAST) and white-box dynamic analysis (RAST / IAST) in real time. Also, available hybrid tool developments combining several of the above types, with the goal of reducing false positives and negatives that static and dynamic analysis tools suffer. All these types of tools are evaluated according to a methodology, from a global perspective, to establish the performance of the tools in terms of correct detections (true positives), false alarms (false positives), degree of vulnerability coverage, etc. The methodology of evaluation of the tools is to run each tool against benchmark applications containing known security vulnerabilities. Benchmark applications used must have the ability to check false positives with controlled safe portions of code where tools should not report the existence of a particular vulnerability. Subsequently widely accepted metrics are selected and applied to the results of the executions to establish a ranking in terms of the performance of security analysis of each tool. The final objective of the result of the evaluation of different types of tools mentioned above, is the derivation of a secure software development lifecycle (SSDLC), using at each stage the types of tools best suited for a result as optimized as possible. The different nature of each type of tool and even between different tools of the same type obliges us to explore the synergy between them when combined to reduce the percentage of false positive detections and increase the percentage of true positives. The secure software development lifecycle model resulting will always depend on the types of tools available, the personnel available to perform the analysis tasks, time and other factors such as changes in trends in the frequency and danger of vulnerabilities with time and also evolutions of the tools themselves. These factors involve analyzing these evolutions and changes to adapt continuously the SSDLC model.
Materia(s) Ingeniería Industrial
Editor(es) Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingenieros Industriales. Departamento de Ingeniería Eléctrica, Electrónica y Control
Director de tesis Díaz Orueta, Gabriel
Fecha 2014-06-26
Formato application/pdf
Identificador tesisuned:IngInd-Jrbermejo
http://e-spacio.uned.es/fez/view/tesisuned:IngInd-Jrbermejo
Idioma eng
Versión de la publicación acceptedVersion
Nivel de acceso y licencia http://creativecommons.org/licenses/by-nc-nd/4.0
info:eu-repo/semantics/openAccess
Tipo de recurso Thesis
Tipo de acceso Acceso abierto
Notas adicionales Spanish title: Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo

 
Versiones
Versión Tipo de filtro
Contador de citas: Google Scholar Search Google Scholar
Estadísticas de acceso: 1614 Visitas, 4790 Descargas  -  Estadísticas en detalle
Creado: Tue, 09 Dec 2014, 12:17:16 CET