Pruebas de seguridad: Estudio de herramientas

Yahima Hadfeg, Vianca Vega

Resumen


Hoy día con el desarrollo y el avance de la tecnología los productos software son parte de nuestra vida cotidiana. Estos productos constituyen un soporte para casi todas nuestras tareas. Estas tareas pueden tener un desempeño fundamental o no, y van desde ejecutar la conducción de un avión a través de un piloto automático hasta posibilitar el funcionamiento de los dispensadores de billetes o cajeros automáticos. Por la criticidad de los procesos en los que ellos se encuentran relacionado, es necesario que se cumplan dos características fundamentales; la primera, que tengan un nivel de calidad aceptado y la segunda, que sean productos seguros.

La seguridad en los softwares es un atributo no funcional que influye directamente en la calidad del producto. Realizar pruebas a los requisitos no funcionales  para constatar su desempeño, tal y como se hace con los requisitos funcionales es una tarea tediosa. Como alternativa a este problema se han desarrollado herramientas que de forma automática o semiautomática realizan pruebas de diferente índole a los sistemas. El objetivo de este trabajo es identificar las herramientas software existentes para realizar pruebas relacionadas con la seguridad. Para cumplir este objetivo se realiza un estudio del estado del arte de las herramientas para realizar pruebas de seguridad desde el 2010 a la fecha.


Palabras clave


pruebas de seguridad; calidad de software; herramientas; ataques a la seguridad

Texto completo:

PDF

Referencias


ISO, "ISO 9000 -Quality management". 2009. [Online]. Available at http://www.iso.org/iso/home.html

G. Myers, C. Sandler and T. Badgett, "The art of software testing" John Wiley & Sons, p. 256. 2011.

P. Hamill, "Unit Test Frameworks: Tools for High-Quality Software Development". O'Reilly Media, Inc. p. 304. 2004.

A. Black, "Critical Testing Process: Plan, Prepare, Perform, Perfect" Addison-Wesley Longman Publishing Co., Inc., p. 608. 2003.

J. Rubin, and D. Chisnell, "Handbook of usability testing: how to plan, design and conduct effective tests" John Wiley & Sons, p. 384. 2008.

L. Manzari, and J. Trinidad-Christensen, "User-centered design of a web site for library and information science students: Heuristic evaluation and usability testing". Information technology and libraries, vol. 25, no. 3, pp. 163-169, 2013

Dumas, J. & J. Redish, "A practical guide to usability testing" Intellect Books, p. 404. 1999.

G. McGraw, "Software security". Security & Privacy, IEEE, vol. 2, no. 2, pp. 80-83, 2004

McGraw, G., "Software security: building security in" Addison-Wesley Professional, 448 p. 2006.

T. Greenhalgh, T. and R. Taylor, "How to read a paper" BMJ Publishing Group London, pp 1-2. 2002.

B. Garn, I. Kapsalis, D.E. Simos and S. Winkler. "On the applicability of combinatorial testing to web application security testing: a case study". In Proceedings of the 2014 Workshop on Joining AcadeMiA and Industry Contributions to Test Automation and Model-Based Testing. pp. 16-21, 2014

R. A. Oliveira, N. Laranjeiro and M. Vieira. "WSFAggressor: an extensible web service framework attacking tool". In Proceedings of the Industrial Track of the 13th ACM/IFIP/USENIX International Middleware Conference. pp. 2, 2012

B. Sieklik, R. Macfarlane and W. J. Buchanan, "TFTP DDoS amplification attack". Computers & Security, vol.57, No. pp 67-92. 2016

D. M. Duchesne, "Using CABECTPortal as a Case Study to Extend the Capabilities of Penetration Testing Tools". In Proceedings of the 46th ACM Technical Symposium on Computer Science Education. pp. 715-715, 2015

M. Salas and E. Martins, "Security testing methodology for vulnerabilities detection of xss in web services and ws-security".Electronic Notes in Theoretical Computer Science, vol. 302. pp. 133-154, 2014

J. Bozic, and F. Wotawa. "PURITY: A Planning-based secURITY Testing Tool". In Software Quality, Reliability and Security-Companion (QRS-C), 2015 IEEE International Conference on. pp. 46-55, 2015

A. Blome, M. Ochoa, K. Li, M. Peroli and M. T. Dashti. "Vera: A flexible model-based vulnerability testing tool". In Software Testing, Verification and Validation (ICST), 2013 IEEE Sixth International Conference on. pp. 471-478, 2013

J. Yeo, "Using penetration testing to enhance your company's security". Computer Fraud & Security, vol. 2013, no. 4, pp. 17-20, 2013

L. Allen, T. Heriyanto and S. Ali, "Kali Linux–Assuring Security by Penetration Testing" Packt Publishing Ltd, p. 454. 2014.

L. H. Chen, F. H. Hsu, Y. Hwang, M. C. Su, W. S. Ku and C. H. Chang, "ARMORY: An automatic security testing tool for buffer overflow defect detection". Computers & Electrical Engineering, vol. 39, no. 7, pp. 2233-2242, 2013

V. Manetti, and L. M. Petrella. "FITNESS: a framework for automatic testing of ASTERIX based software systems". In Proceedings of the 2013 International Workshop on Joining AcadeMiA and Industry Contributions to testing Automation. pp. 71-76, 2013

A. Marback, H. Do, K. He, S. Kondamarri and D. Xu, "A threat model‐based approach to security testing". Software: Practice and Experience, vol. 43, no. 2, pp. 241-258, 2013

S. Kondakci, "Intelligent network security assessment with modeling and analysis of attack patterns". Security and Communication Networks, vol. 5, no. 12, pp. 1471-1486, 2012.

S. Jadhav, T. Oh, Y.H. Kim and J.N. Kim. "Mobile device penetration testing framework and platform for the mobile device security course". In AdvancedCommunication Technology (ICACT), 2015 17th International Conference on. pp. 675-680, 2015

S. Salva and S. R. Zafimiharisoa. "Data vulnerability detection by security testing for Android applications". In Information Security for South Africa, 2013.pp. 1-8, 2013

K. Knorr and D. Aspinall. "Security testing for Android mHealth apps". In Software Testing, Verification and Validation Workshops (ICSTW), 2015 IEEE Eighth International Conference on. pp. 1-8, 2015

A. Morais, A. Cavalliand E. Martins. "A model-based attack injection approach for security validation". In Proceedings of the 4th international conference on Security of information and networks. pp. 103-110, 2011

E. Gutesman and A. Waissbein. "The impact of predicting attacker tools in security risk assessments". In Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research. pp. 75, 2010

Antunes, N. & M. Vieira. "SOA-Scanner: An Integrated Tool to Detect Vulnerabilities in Service-Based Infrastructures". In Services Computing (SCC), 2013 IEEE International Conference on. pp. 280-287, 2013

Li, K., C. Hebert, J. Lindemann, M. Sauter, H. Mack, T. Schroer & A. Tiple. "Tool support for secure programming by security testing". In Software Testing, Verification and Validation Workshops (ICSTW), 2015 IEEE Eighth International Conference on. pp. 1-4, 2015

Bozic, J. & F. Wotawa. "Xss pattern for attack modeling in testing". In Proceedings of the 8th International Workshop on Automation of Software Test. pp. 71-74, 2013

Smith, C. & G. Francia III. "Security fuzzing toolset". In Proceedings of the 50th Annual Southeast Regional Conference. pp. 329-330, 2012

Aouadi, M.H., K. Toumi & A. Cavalli. "An Active Testing Toolfor Security Testing of Distributed Systems". In Availability, Reliability and Security (ARES), 2015 10th International Conference on. pp. 735-740, 2015

Xu, D., W. Xu, M. Kent, L. Thomas & L. Wang, "An Automated Test Generation Technique for Software Quality Assurance". Reliability, IEEE Transactions on, Vol. 64, No. 1, pp. 247-268, 2015




DOI: https://doi.org/10.21501/21454086.1957

Enlaces refback

  • No hay ningún enlace refback.




Copyright (c) 2017 Revista de Ingeniería "Lámpsakos"

 
Directora/Editora - Ingrid Durley Torres Pardo

ISSN (En línea): 2145-4086

DOI de la revista: https://doi.org/10.21501/issn.2145-4086

Universidad Católica Luis Amigó - Transversal 51A #67B 90. Medellín - Colombia.

 


 © 2019 Universidad Católica Luis Amigó

La revista y los textos individuales que en esta se divulgan están protegidos por las leyes de copyright y por los términos y condiciones de la Licencia Creative Commons Atribución-No Comercial-Sin Derivar 4.0 Internacional. Permisos que vayan más allá de lo cubierto por esta licencia pueden encontrarse en http://www.funlam.edu.co/modules/fondoeditorial/

Derechos de autor. El autor o autores pueden tener derechos adicionales en sus artículos según lo establecido en la cesión por ellos firmada.

 

Se recomienda visualizar este contenido con los navegadores: Mozilla Firefox, Google Chrome, Safari.