AuditaWebPriv: auditoría aplicada a la privacidad en aplicativos web

Abstract

La privacidad de las personas, particularmente en aplicaciones web, es un derecho fundamental que viene regulado por varias normativas que protegen al individuo de situaciones en las que éste pueda verse expuesto, por medio de una serie de normas o principios que deben cumplirse. Esto implica que si algún aplicativo web no garantiza que cumple con la normativa y, por ende, no protege de forma adecuada los datos de carácter personal que maneje, puede conllevar sanciones económicas considerablemente altas. Es por este motivo que surge este proyecto, cuya finalidad es detectar y explotar mediante pruebas de auditoría web vulnerabilidades que conlleven situaciones que supongan un riesgo del derecho a la protección de datos. En primer lugar, incluye un breve estudio de la normativa actual al mismo tiempo que uno relacionado a las metodologías de pruebas y las vulnerabilidades que pueden estar presentes en un aplicativo web. En segundo lugar, una selección o filtrado de las pruebas dependiendo de si pueden suponer el acceso a datos personales, así como una explicación del desarrollo de éstas. En tercer lugar, el diseño de un escenario de pruebas controlado para explotar las vulnerabilidades seleccionadas. En cuarto lugar, la ejecución de las pruebas sobre el entorno controlado junto a los resultados obtenidos. En quinto y último lugar, las conclusiones a las que se llega tanto con las pruebas como con el propio proyecto.

The privacy of people, particularly in web applications, is a fundamental right that is regulated by several regulations that protect the individual from situations in which he or she may be exposed, through a series of regulations or that must be complied with. This implies that if any web application does not guarantee that it complies with the regulations and, therefore, does not adequately protect the personal data that it handles, it can lead to very hard economic sanctions. It is for this reason that this project arises, whose purpose is to detect and exploit vulnerabilities through web audit tests that lead to situations that pose a risk to the right to data protection. In the first place, it includes a brief study of the current regulations at the same time as one related to the testing methodologies and the vulnerabilities that may be present in a web application. Secondly, a selection or filtering of the tests depending on whether they may lead to access to personal data, as well as an explanation of the development of these. Third, the design of a control test scenario to exploit the selected vulnerabilities. Fourth, the execution of the tests on the controlled environment together with the results obtained. In fifth and last place, the conclusions reached both with the tests and with the project itself.