Encontrar errores en las aplicaciones web es un desafío permanente. Ahora una nueva herramienta del MIT permite encontrar vulnerabilidades en aplicaciones Web. En concreto, en pruebas con 50 aplicaciones Web populares escritas usando Ruby on Rails, el sistema ha encontrado 23 fallas de seguridad no diagnosticadas previamente, y no tardó más de 64 segundos para analizar cualquiera de los programas.

Ruby on Rails se distingue de otros frameworks porque define incluso sus operaciones más básicas en las bibliotecas. Los investigadores del MIT se aprovecharon de ese hecho reescribiendo las bibliotecas de manera que las operaciones definidas en ellas describen su propio comportamiento en un lenguaje lógico.

Eso vuelve el intérprete de Rails, que convierte los programas de Rails de alto nivel en código legible por máquina, en una herramienta de análisis estático que describe cómo fluyen los datos a través del programa. El resultado es que la ejecución de un programa de Rails a través del intérprete produce una descripción formal, línea por línea, de cómo el programa maneja los datos.

Llamado Space, el nuevo depurador de vulnerabilidades se centra en los procedimientos de acceso a datos de un programa utilizando un modelo lógico simple que describe qué operaciones puede realizar un usuario, sobre qué datos y en qué circunstancias. De las descripciones generadas por las bibliotecas pirateadas, Space puede determinar automáticamente si el programa se ajusta a los modelos. Si no lo hace, probablemente hay una falla de seguridad.

Los investigadores presentarán sus resultados el próximo mes en la Conferencia Internacional sobre Ingeniería de Software.

-IDG.es