Evaluación de la seguridad en el acceso a servicios web desde portlets integrados en gestores de contenido

Abstract

Este trabajo se basa en el análisis de la seguridad de los portlets y web services utilizados para integrar aplicaciones en portales web. Debido a que actualmente existe una clara tendencia a la implantación de portales web especializados para la gestión de los sistemas de información de las organizaciones, desarrollando componentes modulares, denominados portlets y habilitando servicios web para acceder a bases de datos, desde los mismos portlets o aplicaciones para dispositivos móviles, se hace necesario establecer mecanismos para que estos desarrollos se realicen de forma segura. Para ello, inicialmente se han desarrollado un portlet y un servicio web, y a continuación se ha hecho un análisis de los problemas que podemos encontrar en un despliegue de estos, un entorno aproximado al que podríamos encontrar en una organización, buscando detectar vulnerabilidades que afectan a algunos de los pilares básicos de la seguridad de la información, como son la autenticación, la confidencialidad o la disponibilidad. A continuación se han analizado qué soluciones pueden mitigar las vulnerabilidades detectadas, que se han ido incorporando una a una, para poder verificar su funcionamiento separadamente. Finalmente se ha obtenido una guía de los pasos a seguir para implementar en el desarrollo de portlet y servicios web que utilicen tecnologías como las que se han propuesto en el trabajo. Debido a que actualmente existe una clara tendencia a la implantación de portales web especializados para la gestión de los sistemas de información de las organizaciones, desarrollando componentes modulares, denominados portlets y habilitando servicios web para acceder a bases de datos, desde los mismos portlets o aplicaciones para dispositivos móviles, se hace necesario establecer mecanismos para que estos desarrollos se realicen de forma segura. Para ello, inicialmente se han desarrollado un portlet y un servicio web, y a continuación se ha hecho un análisis de los problemas que podemos encontrar en un despliegue de estos, un entorno aproximado al que podríamos encontrar en una organización, buscando detectar vulnerabilidades que afectan a algunos de los pilares básicos de la seguridad de la información, como son la autenticación, la confidencialidad o la disponibilidad. A continuación se han analizado qué soluciones pueden mitigar las vulnerabilidades detectadas, que se han ido incorporando una a una, para poder verificar su funcionamiento separadamente. Finalmente se ha obtenido una guía de los pasos a seguir para implementar en el desarrollo de portlet y servicios web que utilicen tecnologías como las que se han propuesto en el trabajo.

This work is based on the analysis of the security of portlets and web services used to integrate applications in web portals. Because there is currently a clear trend towards the implementation of specialized web portals for managing organizations' information systems, developing modular components, called portlets, and enabling web services to access databases, from the same portals or applications for mobile devices, it is necessary to establish mechanisms for these developments to be carried out safely. For this, initially a portlet and a web service have been developed, and then an analysis has been made of the problems that we can find in a deployment of these, an approximate environment that we could find in an organization, seeking to detect vulnerabilities that affect some of the basic pillars of information security, such as authentication, confidentiality or availability. Below we have analyzed which solutions can mitigate the detected vulnerabilities, which have been incorporated one by one, in order to verify their operation separately. Finally, a guide has been obtained on the steps to follow to implement portlet development and web services that use technologies such as those proposed in the work.

Aquest treball es basa en l'anàlisi de la seguretat dels portlets i web services utilitzats per integrar aplicacions en portals web. Donat que actualment hi ha una clara tendència a la implantació de portals web especialitzats per a la gestió dels sistemes d'informació de les organitzacions, desenvolupant components modulars, denominats portlets i habilitant serveis web per accedir a bases de dades, des dels mateixos portlets o aplicacions per a dispositius mòbils, es fa necessari establir mecanismes perquè aquests desenvolupaments es realitzin de forma segura. Per a això, inicialment s'han desenvolupat un portlet i un servei web, i a continuació s'ha fet una anàlisi dels problemes que podem trobar en un desplegament d'aquests, un entorn aproximat a què podríem trobar en una organització, buscant detectar vulnerabilitats que afecten alguns dels pilars bàsics de la seguretat de la informació, com són l'autenticació, la confidencialitat o la disponibilitat. A continuació s'han analitzat quines solucions poden mitigar les vulnerabilitats detectades, que s'han anat incorporant una a una, per poder verificar el seu funcionament separadament. Finalment s'ha obtingut una guia dels passos a seguir per implementar en el desenvolupament de portlet i serveis web que utilitzin tecnologies com les que s'han proposat en el treball.