Seguridad web mediante Spring MVC y HDIV

A session at Spring I/O 2012

Según los diferentes organismos de seguridad (NIST, OWASP, SecurityFocus,..) la gran mayoría de aplicaciones web son vulnerables a una o más vulnerabilidades web (parameter tampering, sql injection, XSS, CSRF,..). Además del propio desconocimiento que pueda existir de las vulnerabilidades web, el principal problema radica en la dificultad de hacer frente a este tipo de vulnerabilidades mediante el uso exclusivo de las soluciones tradicionales de seguridad basada en roles (Seguridad Java EE, SpringSecurity,..). Es decir, aunque es posible dar solución a estas vulnerabilidades mediante soluciones tradicionales de forma manual, debido a la gran libertad de acción que disponen los posibles atacantes (editar un parámetro, añadir un nuevo parámetro, intentar acceder a una url no permitida,..) es una tarea tremendamente complicada. Esta tarea se complica todavía más en aquellos casos donde se expongan vía web sistemas de información heredados donde no existe información de roles a bajo nivel (roles a nivel registro para poder aplicar seguridad a nivel instancia o Domain Object Security (ACLs)) o se consuman servicios web externos de sistemas de información heterogéneos. Como complemento a la seguridad tradicional y con el objeto de automatizar la tarea de protección frente a las vulnerabilidades web, nace el framework de seguridad web HDIV. HDIV pretende implementar el principio de "Security By Design" o "Security By Default" ofreciendo una solución de seguridad web ligada a la arquitectura de los frameworks web (actualmente Spring MVC, Struts 1, Struts 2 y JSF), automatizando las tareas relativas a la seguridad web desde la propia arquitectura. HDIV parte de la premisa de limitar el radio de acción de los usuarios a un uso lícito de la aplicación web, no permitiendo gran parte de las acciones utilizadas para explotar las vulnerabilidades web (edición de parámetros, añadir nuevos parámetros, ..), eliminando en consecuencia los principales focos de riesgo. Cabe destacar la integración oficial entre HDIV y Spring MVC implementada gracias a la colaboración entre SpringSource y el equipo de HDIV: https://jira.springsource.org/br... . Esta integración ha sido presentada dentro de la SpringOne 2GX 2011 por parte Rossen Stonyanchev de SpringSource y líder del proyecto de Spring MVC

About the speaker

This person is speaking at this event.
Roberto Velasco

HDIV founder. Software Architect at EUROHELP. bio from Twitter

Sign in to add slides, notes or videos to this session

Spring I/O 2012

Spain Spain, Madrid

16th17th February 2012

Tell your friends!

Short URL

lanyrd.com/smtwt

Official event site

www.springio.net

View the schedule

Share

See something wrong?

Report an issue with this session