Una de las etapas más desafiantes dentro del Ciclo de Desarrollo Seguro de Software (SSDLC) es la implementación de pruebas dinámicas de seguridad de aplicaciones (DAST). En esta charla, proponemos una nueva visión para abordar esta fase crítica, transformándola en un proceso más eficiente y accesible al integrarlo directamente con las pruebas web desarrolladas por los equipos de Calidad Software. La necesidad de contar con un proceso robusto de pruebas dinámicas de seguridad y que, además, sea fácilmente adoptado por los equipos de calidad de software, ha sido el motor de esta investigación. Para ello, se fusionarán dos conceptos clave: las pruebas web automatizadas con Selenium y la herramienta de pruebas dinámicas de seguridad ZAProxy. Habitualmente, el proceso de configuración de herramientas de análisis dinámico requiere un análisis previo de URLs a atacar y la configuración de los procesos de autenticación, entre otros. Incluso ZAProxy recomienda el uso de su "Spider" para detectar las URLs a analizar. Sin embargo, en esta charla, proponemos un enfoque diferente: - ¿Tenemos pruebas web que cubren la funcionalidad de la aplicación? Sí. - ¿Contamos con un entorno de ejecución adecuado? Sí. - Entonces, ¿sería necesario realizar toda la configuración inicial tradicional? No. La clave de esta propuesta es permitir que el ZAProxy se conecte directamente con el navegador donde se ejecutan las pruebas. Este enfoque ofrece múltiples ventajas: - Análisis por funcionalidad: Cada prueba web se asocia a una funcionalidad específica, lo que nos permite aislar vulnerabilidades de distinta criticidad relacionadas con una funcionalidad particular y obtener además una visión más precisa de la superficie de ataque. - Simplicidad: Lo único que necesitamos es indicar el proxy sobre el que vamos a levantar ZAProxy en la configuración de las capabilities del navegador - Prevención: Integrar las pruebas dinámicas dentro de un flujo consolidado de pruebas nos proporciona retroalimentación temprana sobre vulnerabilidades, permitiendo identificar posibles problemas de seguridad desde las primeras fases del ciclo de desarrollo. Finalmente, en la última parte de la charla, se compararán los resultados obtenidos utilizando el enfoque tradicional (escaneo spider de URLs con la herramienta) frente a los resultados derivados de ejecutar las pruebas web con Selenium y ZAProxy, tanto en un análisis pasivo como activo. El objetivo es consolidar todos los conceptos propuestos y demostrar que un planteamiento alternativo en las pruebas dinámicas de seguridad no solo es viable, sino también más eficiente y práctico.
Speakers: