Auditoría en seguridad sobre una API aplicada a un entorno IoT
El Internet de las Cosas (IoT) es una tecnología claramente disruptiva en crecimiento, con impacto y capacidad inconcebible. Las API REST constituye una tecnología capaz de registrar e interconectar todo. Por la tanto es importante introducir una API segura que permita acaparar y/o defender la infil...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2021 |
| País: | España |
| Institución: | Universidad Complutense de Madrid (UCM) |
| Repositorio: | Docta Complutense |
| Idioma: | español |
| OAI Identifier: | oai:docta.ucm.es:20.500.14352/9183 |
| Acceso en línea: | https://hdl.handle.net/20.500.14352/9183 |
| Access Level: | acceso abierto |
| Palabra clave: | 004(043.3) API REST Pentesting BLE Node RED OWASP Foundation Swagger OpenAPI Specification ZAP MongoDB Node.js OWASP Informática (Informática) 1203.17 Informática |
| Sumario: | El Internet de las Cosas (IoT) es una tecnología claramente disruptiva en crecimiento, con impacto y capacidad inconcebible. Las API REST constituye una tecnología capaz de registrar e interconectar todo. Por la tanto es importante introducir una API segura que permita acaparar y/o defender la infiltración de atacantes en la red hacia los dispositivos IoT. La seguridad en una API representa una búsqueda de vulnerabilidades constantemente. Las vías de comunicación entre el cliente y el servidor son el medio por el que las API sufren ataques que alteran el estado o funcionamiento del sistema. Asegurar el formato de las peticiones, los tipos de datos que se reciben o la validación de éstos representan una respuesta a posibles riesgos que afectan al rendimiento de la API. Por lo tanto auditar la seguridad de una API en desarrollo, diseño o implementación permite asegurar el correcto funcionamiento, gracias a la aplicación de buenas prácticas y el uso de herramientas de seguridad que permitan descubrir esas vulnerabilidades. En el presente Trabajo Fin de Máster (TFM) se desarrolla una API de autoría propia adaptada a un entorno IoT con el objetivo de realizar una auditoría de seguridad y por consiguiente asegurar el sistema a posibles ataques, evitando la perdida de datos o alteración de los mismos tanto del lado del cliente como del servidor. La auditoría se llevará a cabo siguiendo las buenas prácticas de la OWASP Foundation y haciendo uso de ZAP como herramienta de pentesting. De igual forma se adhiere a este proyecto OpenAPI Specification para generar la documentación mediante el framework Swagger. La adquisición de los datos se realiza con BLE desde un nodo sensor genérico conectado a Node RED y se envían los datos por peticiones REST hacia el servidor, donde se almacenan todos los datos en MongoDB. Para el desarrollo de la API se utilizó Node.js. |
|---|