Desarrollo de una aplicación web para la detección automatizada de vulnerabilidades de inyección SQL, con generación de reportes y simulación de ataques en entornos controlados

Abstract

La seguridad de las aplicaciones web representa uno de los mayores desafíos de la era digital, siendo la inyección SQL (SQL Injection) una de las vulnerabilidades más críticas según el OWASP Top 10, debido a su capacidad de comprometer la confidencialidad, integridad y disponibilidad de la información. Ante la necesidad de herramientas que combinen la detección automatizada, la simulación de ataques y la generación de informes, el presente proyecto propone el diseño e implementación de una aplicación web que integra un backend en Python y Flask, un frontend en React y SQLMap como motor de análisis, permitiendo identificar vulnerabilidades SQL en entornos controlados de forma ética y responsable. El sistema fue desarrollado bajo la metodología ágil SCRUM y validado en un entorno local con vulnerabilidades intencionales, alcanzando un nivel de madurez tecnológica TRL 4. Los resultados evidenciaron su capacidad para detectar vulnerabilidades, clasificar niveles de riesgo y generar informes estructurados, mostrando un desempeño comparable al de herramientas como OWASP ZAP y Acunetix. El proyecto se alinea con la Ley 1273 de 2009, la Ley 1581 de 2012 y estándares internacionales como ISO/IEC 27001:2022 y OWASP Top 10, lo que refuerza su pertinencia normativa y académica.

Web application security represents one of the greatest challenges of the digital age, with SQL injection being one of the most critical vulnerabilities according to the OWASP Top 10, due to its ability to compromise the confidentiality, integrity, and availability of information. Given the need for tools that combine automated detection, attack simulation, and report generation, this project proposes the design and implementation of a web application that integrates a Python and Flask backend, a React frontend, and SQLMap as its analysis engine. This allows for the ethical and responsible identification of SQL vulnerabilities in controlled environments. The system was developed using the SCRUM agile methodology and validated in a local environment with intentional vulnerabilities, achieving a Technology Readiness Level (TRL) of 4. The results demonstrated its ability to detect vulnerabilities, classify risk levels, and generate structured reports, showing performance comparable to tools such as OWASP ZAP and Acunetix. The project aligns with Law 1273 of 2009, Law 1581 of 2012 and international standards such as ISO/IEC 27001:2022 and OWASP Top 10, which reinforces its regulatory and academic relevance.