Identificación y solución de vulnerabilidades en sitios web y desarrollo de nuevas funcionalidades

Resumen

Este Trabajo de Fin de Grado se centra en la detección, análisis y solución de fallos de seguridad en varias aplicaciones web utilizadas por la Escuela Técnica Superior de Ingenieros Informáticos de la Universidad Politécnica de Madrid. Dichas aplicaciones son usadas como complemento de las asignaturas de Procesadores y Traductores de Lenguajes y de los programas de Máster y Doctorado de la Escuela. Mediante una metodología que combinaba el análisis del código, así como el comportamiento de las aplicaciones, se lograron detectar una cantidad alta de vulnerabilidades, muchas de ellas críticas, que hubieran permitido a un atacante acceder y modificar la información de cientos de alumnos y profesores (incluyendo contraseñas, documentos de identidad…) y tomar control total sobre todas las aplicaciones y sus datos. Paralelamente, se introdujeron nuevas funcionalidades en la aplicación de Draco, y se llevaron a cabo diversas tareas de mantenimiento, que solucionaron problemas en Draco y en las aplicaciones de Procesadores y Traductores de Lenguajes, que afectaban tanto a alumnos como a profesores, así como en un sitio web de un Máster y de un Doctorado. El impacto de los cambios realizados se traduce en la protección exitosa de la información personal de cientos de usuarios del sistema. Demostrando que, incluso en aplicaciones maduras sin muchas funcionalidades, pueden existir brechas de seguridad críticas debido a prácticas de desarrollo obsoletas, que no toman en cuenta la seguridad de la aplicación, evidenciando así la necesidad de auditorías periódicas de seguridad en entornos educativos digitales.

ABSTRACT

This Final Degree Project focuses on the detection, analysis, and solution of security vulnerabilities in various websites used by the School of Computer Engineering at the Polytechnic University of Madrid. These applications are used as a complement to the Language Processors and Language Translators courses and the School's Master's and Doctoral programmes. Through a methodology that combined code analysis and application behavior testing, a high number of vulnerabilities were detected, many of them critical, which would have allowed an attacker to access and modify information of hundreds of students and professors (including passwords, identity documents...) and take complete control over all applications and their data. In parallel, new functionalities were introduced in the Draco application, and various maintenance tasks were carried out, which solved problems in Draco and in the Language Processors and Language Translators applications, affecting both students and professors. The impact of the changes made translates into the successful protection of personal information of hundreds of system users. This demonstrates that, even in mature applications with limited functionalities, critical security breaches can exist due to obsolete development practices that do not take application security into account, thus evidencing the need for periodic security audits in digital educational environments.