Seguridad de aplicaciones web basadas en las tecnologías Node.js y MongoDB: Estudio y caso de uso

Abstract

En los últimos años ha tenido lugar un incremento muy significativo del uso de las Tecnologías de la Información y de las Comunicaciones (TICs). Esto ha provocado un gran incremento en el interés de las empresas por estar online y prestar sus servicios a través de plataformas digitales, actualizando sus herramientas de trabajo y digitalizando al máximo sus medios de producción. Este proceso de digitalización se ha visto potenciado por la irrupción de los servicios de almacenamiento y gestión en la nube, así como por la proliferación de dispositivos móviles inteligentes de bajo coste. Ahora bien, esta mejora en el acceso y manejo de nuestros datos no está exenta de riesgos ya que evitar los ciberataques supone a día de hoy un gran reto para cualquier proyecto. Los ataques digitales tienen cierta ventaja gracias al alcance y anonimato del atacante. Con el uso de los servicios en la nube el desarrollo de aplicaciones web ha experimentado una evolución desde arquitecturas centradas en el servidor hacia soluciones centradas en el usuario. El objetivo de este trabajo es estudiar las principales amenazas que se pueden encontrar en aplicaciones web desarrolladas mediante enfoques centrados en el lado del cliente (client-side web development), lo que incorpora nuevos vectores de amenazas distintos a los sistemas convencionales (backend y frontend). Asimismo, el presente proyecto da cuenta de la otra gran tendencia existente en el ecosistema TIC: la ubicuidad de los usuarios finales y el acceso a los recursos mediante dispositivos móviles inteligentes. De modo correspondiente, el trabajo incorporará la funcionalidad necesaria para que los usuarios puedan utilizar la aplicación web desde sus dispositivos de modo seguro y favoreciendo una buena experiencia de navegación. El presente proyecto estudia las vulnerabilidades de aplicaciones cloud móviles. Ahora bien, tal estudio se efectúa como parte en el diseño e implementación de una aplicación web con la que controlar una empresa de mercancías y su logística. Dicha aplicación ha sido solicitada por un cliente que necesita conocer la logística de las mercancías que compra a diario para diferentes tiendas con el fin de favorecer su adaptabilidad y el uso en diferentes sistemas. Se ha optado por el desarrollo de una aplicación híbrida, desarrollada utilizando tecnologías web que pueden ser ejecutadas en cualquier entorno móvil sin importar su sistema operativo. Toda la solución software ha sido diseñada considerando las vulnerabilidades estudiadas a lo largo del trabajo, de forma que en la implementación se han tenido en cuenta las principales amenazas a la seguridad de aplicaciones web desarrolladas en el lado del cliente, implementándose en cada caso las contramedidas necesarias.

Over the last years, the use of Information and Communication Technologies (ICT) has grown significantly. As a consequence, many companies have decided to adapt their business according to the possibilities and needs of the digital world. This transition has been fueled by the irruption of cloud-based storage and computing means, along with the popularization of low cost smartphones. Nonetheless, this ecosystem conveys not only positive outcomes, but it also encloses some risks for the security of information systems. In fact, during the last years the number of attacks against web systems and applications has increased a lot. These attacks are anonymous and sometimes very difficult to be detected. Therefore, the hardening of these applications is a great challenge. Web application development has evolved radically from server-based architectures to user-centered solutions. The objective of this project is to analyze the most critical security risks in the client-side development, what incorporates new types of attacks that did not exist in conventional systems built upon clear distinction between backend and frontend sub-systems. In addition, this project is aligned with the current trend in ICT: end users ubiquity and information access through smartphones. This work incorporates the necessary functionality to foster a secure and easy-to-use browsing experience. This project studies mobile cloud applications vulnerabilities. Such a study is an important part of the design and development of a web application intended to manage the stock and the logistics of a company. This application considers a client that needs to manage different shops and warehouses. The project uses hybrid technologies based on a web environment that can be run in any device with any operating system. This software solution has been designed considering all the vulnerabilities studied here and adopting the adequate means to impede the corresponding security threats.