Ensayo sobre Aplicaciones Web PDF

Title Ensayo sobre Aplicaciones Web
Author j h
Course Seguridad En Aplicaciones
Institution Universidad Autónoma de Nuevo León
Pages 9
File Size 281.4 KB
File Type PDF
Total Downloads 75
Total Views 529
Preview
CLICK TO PREVIEW PDF
Summary

Seguridad en Aplicaciones. Tarea 1. Fecha: 26/01/2017 Actualmente las páginas web son lo más común que podemos encontrar en internet, desde la página de Facebook que revisamos, hasta nuestra cuenta bancaria que revisamos a través de una aplicación web, todas ellas son parte de nuestro día a día, sin...

Description

Seguridad en Aplicaciones. Tarea 1.

Fecha: 26/01/2017

Actualmente las páginas web son lo más común que podemos encontrar en internet, desde la página de Facebook que revisamos, hasta nuestra cuenta bancaria que revisamos a través de una aplicación web, todas ellas son parte de nuestro día a día, sin embargo en muchas ocasiones no nos damos cuenta que muchas de ellas pueden ser vulnerables a diversos ataques web. Básicamente un ataque web consiste en buscar, y explotar una vulnerabilidad que el sitio posee, para que pueda haber un ataque debe haber un usuario malicioso que dedique su tiempo a buscar y explotar las vulnerabilidades de un sitio web o de diversos sitios web. Existen muchos tipos de ataques, no podemos centrarnos y decir que solamente hay dos o tres maneras de explotar las vulnerabilidades de un sitio web, sino que podemos encontrar una gran cantidad de ataques a aplicaciones los cuales pueden ir desde lo básico, que son la utilización de diversas herramientas creadas para explotar las vulnerabilidades de las páginas web hasta los ataques en los cuales se interactúa directamente con la pagina que se desea explotar, y paso por paso se comprueba los diversos controles de seguridad que esta posee, o también se puede crear un programa dedicado a explotar las vulnerabilidades de la pagina web por cuenta del usuario que desea explotar la aplicación web. Es imposible tener una aplicación web cien por ciento segura, lamentablemente siempre hay cosas que se nos puedan escapar, puede ser tanto culpa del programador, por algún error de lógica, o por algún error de programación del tipo de software que se está utilizando, afortunadamente podemos tener cierto cálculo del riesgo que corre nuestra aplicación web basados en ciertas estadísticas de los ataques más comunes o las vulnerabilidades más comunes en la plataforma o lenguaje que estamos utilizando para llevar acabo nuestra aplicación web. Hay ataques a aplicaciones web que a pesar de que siguen pasando los años, digamos que son muy bien conocidos por las empresas de seguridad, muchas veces se pasan por alto, uno de ellos a mi parecer es el ataque de Cross-Site Scripting, el cual es un tipo de vulnerabilidad que permite a los atacantes inyectar código JavaScript en las páginas de una aplicación web de confianza. Al realizar un ataque de Cross-Site Scripting se puede alterar completamente el contenido o la funcionalidad del sitio, para que el atacante pueda realizar las actividades de su propio interés, un ejemplo de lo que podrían hacer con este tipo de ataque es enviar las credenciales de un usuario a un sitio o un servidor malvado, y que utilice esta información para el propio beneficio del atacante. Lo que me sorprende de este tipo de ataque es que llevo viéndolo desde tiempo antes que entrara a la carrera de Seguridad en Tecnologías de Información, y la verdad es que aun se posiciona en los rankings más altos de las lista de vulnerabilidades web, y la verdad me asombra que a pesar de que haya pasado tanto tiempo, de que hayan sucedido ataques importantes a través de este tipo

de explotación de sitios web, aun se siga colocando en los primeros lugares de las listas, eso me hace plantearme la pregunta de si verdaderamente estamos haciendo una buena labor al concientizar a las empresas sobre las diversas amenazas que existen, porque en muchas ocasiones podemos cubrir las amenazas mas nuevas o las más novedosas dejando a un lado las amenazas más antiguas que sin lugar a dudas siguen causando pérdidas tanto de dinero como de información y sobre todo reputación. Otro de los grandes problemas que nos podemos encontrar a la hora de la creación de aplicaciones web seguras es el temor de las empresas a invertir cantidades considerables para contratar personal altamente capacitado no solamente en el área de programación de aplicaciones web, sino que también en el área de seguridad de las aplicaciones, porque la tecnología va avanzando constantemente, y se va renovando, pero no podemos realizar solamente un chequeo de nuestra aplicación web una vez al año y esperar cubrir todas las posibles amenazas que existen, por esa razón es necesario contar con el personal altamente capacitado que tenga como única labora el testear nuestras aplicaciones web día a día, porque los atacantes que buscan obtener un beneficio a través de las vulnerabilidades de nuestra aplicación web son personas constantes que están esperando por el error humano para poder aprovecharse y obtener beneficios de eso. Existen tanto aplicación web como aplicaciones móviles, aunque cabe destacar que los peces gordos ahora se encuentran en aplicaciones web, por ende es una de las ramas mas atacadas, porque como es la más antigua la mayoría de empresas actuales cuentan como mínimo con una página web. Cabe destacar que empresas importantes como Facebook, Twitter, Google, entre algunas otras, ofrecen a las personas que logren vulnerar sus aplicaciones, cantidades de dinero grandes, porque para este tipo de empresas el perder información, el que el sitio esté caído durante unos minutos, etcétera, produciría grandes repercusiones tanto en el aspecto económico como en el aspecto de imagen; también este tipo de empresas contrata mercenarios para que vulneren sus páginas web, e inclusive ofrecen cursos de los distintos tipos de amenazas web para poder capacitar a las personas dentro y fuera de su empresa, para que en un futuro ellos puedan ser parte de la empresa, o bien para que tengan el conocimiento adecuado de cuales son el tipo de situaciones que se les pueden presentar y como deben reaccionar ante tales incidentes. El tema de la creación de una aplicación Web segura es muy amplio ya que requiere realizar un estudio para comprender los puntos vulnerables de la seguridad.

1

Para poder realizar una aplicación segura debemos considerar diversos aspectos, como lo son

validar todas las entradas, los posibles desbordamientos de buffer, la estructura lógica e interna y el diseño del programa, las llamadas a los recursos externos, controlar las salidas, los problemas más comunes en los lenguajes que estamos usando, y algunos otros como los algoritmos criptográficos y la programación. Según la página de OWASP que es una de las principales encargadas en reunión de datos acerca de los tipos de ataque web, podemos ver la comparación de cómo han cambiado un poco los análisis del 2010 al 2013:

2

En la siguiente imagen podemos apreciar que si bien ha habido algunos movimientos, las

amenazas siguen siendo las mismas que conocemos, a continuación describiré cada una de las vulnerabilidades dadas en la lista del 2013 1.- Inyección: Este tipo de ataques pueden ser dirigidos a la plataforma en la cual se programó la aplicación, este tipo de ataque se hace enviando datos no confiables a un interprete como si fuera una consulta, a través de esto se puede hacer que la pagina web realice consultas no deseadas para obtener algún tipo de información. 2.- Perdida de autenticación y gestión de sesiones: comúnmente las funciones de autenticación y gestión de sesiones son configuradas incorrectamente, lo cual permite que los usuario mal

1 http://www.uv.es/~sto/charlas/SDA/SDA.pdf 2 https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf

intencionados puedan usar tokens, contraseñas y otras cosas de usuarios legítimos para poder obtener acceso a las paginas. 3.- Cross-Site Scripting: este tipo de ataques ocurre cuando el navegador toma información no legitima, y no la verifica, simplemente la envía sin pasar algún tipo de filtro o algo, en este tipo de ataques se puede inyectar código a la aplicación web y hacer que la aplicación realice las funciones que nosotros deseamos. 4.- Referencia directa insegura a objetos: Como ya conocemos en la programación orientada a objetos, cuando no se hace la referencia bien entre objetos, podemos permitir que el atacante utilice este tipo de referencia para su propio beneficio. 5.- Configuración de seguridad incorrecta: Muchas de las ocasiones configuramos nuestros servidores, IDE´s y otras aplicaciones con la configuración por default, pero en muchas ocasiones pueden ser inseguras, por eso es necesario cambiar las configuraciones según nuestras necesidades, y mantener todas nuestras herramientas de trabajo con las últimas actualizaciones, para poder evitar problemas. 6.- Exposición de datos sensibles: En muchas ocasiones no se protegen correctamente los datos sensibles, e inclusive se comete el error de no cifrar toda la información que estamos manejando, lo que hace que sea más fácil para los atacantes tomar esa información, y utilizarla para su beneficio. 7.- Ausencia de control de acceso a funciones: hay que establecer contraseñas, o controles de seguridad a las funciones, para que no cualquiera pueda modificarlas a su gusto. 8.- Falsificación de peticiones en sitios cruzados: Este tipo de ataques consiste en enviar peticiones html, haciéndose pasar por un usuario legítimo, esto permite enviarle la información a la aplicación, haciéndose pasar por un usuario legitimo. 9.- Utilización de componentes con vulnerabilidades conocidas: Como lo había comentado más arriba en este ensayo, las aplicaciones que utilizamos también pueden tener vulnerabilidades, por eso es necesario conocer cuáles fueron las vulnerabilidades más conocidas para las herramientas que estamos utilizando, e incluso realizar pruebas para verificar que no tengan esas vulnerabilidades.

10.- Redirecciones y reenvíos no validados: Es necesario configurar correctamente los reenvíos y las redirecciones de nuestras páginas, puesto que este tipo de redirecciones mal realizadas pueden hacer que los atacantes redirijan hacia sitios de phishing o sitios de descarga de malware.3 Esta información es del 2013, la pagina de OWASP no ha sacado aún las listas de ataques web para el año 2016, se esperaba que esta lista estuviera disponible en 2016 y 2017, aun se está a la espera de que esta lista se publique en 2017. Ahora voy a hablarles sobre otras empresas que publican sus top 10 de listas de vulnerabilidades en aplicaciones web más actuales. 4

Según el sitio techbeacon, en la siguiente imagen se muestran los ataques que mayormente

fueron realizados en 2016.

En está grafica podemos apreciar las vulnerabilidades de aplicaciones, y los ataques más realizados, la realidad es que en esta página, y en el informe que realizaron pude encontrar mucha información, que ya no me fue posible colocar aquí, pero son muy buenos análisis.

3 https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf 4 https://techbeacon.com/state-app-security-2016-most-common-vulnerabilities-top-trends

Conclusión En esta actividad pude adquirir demasiado conocimiento acerca de las vulnerabilidades web, había muchos tipos de ataques web de los cuales yo solamente había escuchado, pero realmente no conocía su realización o la manera en la que afectaban a las aplicaciones web. Me sorprende que existan demasiadas vulnerabilidades y que en muchas ocasiones las conozcamos, pero no queremos invertir para parchar esas vulnerabilidades, que a la larga se convierten en pérdidas de dinero que puedes ir desde unos dólares, hasta cantidades millonarias, solamente que como a las personas no les puedes vender sus vulnerabilidades como si fueran a ganar dinero de ellas las personas no suelen interesarse, la idea es tener que vender una vez la idea, pero realizar un correcto análisis costo-beneficio. Me gustan este tipo de actividades, porque nos permiten abrir nuestros horizontes hacia nuevas maneras de ataques, porque solo escuchamos que tal grupo de hackers hizo algo contra sitios web, o que tumbaron alguna pagina web, hackearon alguna pagina bancaria, etcétera, pero desconocíamos la formas, o las maneras en las que este tipo de ataques podían afectar al backend de nuestra página web.

Bibliografía

Commons, C. (2013). Los Diez Riesgos Mas Criticos de Internet. Recuperado el 25 de Enero de 2017, de OWASP: https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa %C3%B1ol.pdf Talens-Oliag, S. (24 de Noviembre de 2004). UV. Recuperado el 26 de Enero de 2017, de http://www.uv.es/~sto/charlas/SDA/SDA.pdf Vijayan, J. (01 de Enero de 2016). State of app security 2016: Most common vulnerabilities, top trends. Recuperado el 24 de Enero de 2017, de TechBeacon: https://techbeacon.com/state-appsecurity-2016-most-common-vulnerabilities-top-trends...

Similar Free PDFs
Ensayo sobre Aplicaciones Web
  • 9 Pages
Aplicaciones web móvil
  • 13 Pages
Ataques Aplicaciones Web
  • 3 Pages
Evolución de las aplicaciones web
  • 5 Pages
Foro-Desarrollo de Aplicaciones Web
  • 4 Pages
Ensayo Derivada Y SUS Aplicaciones
  • 1 Pages
Ensayo sobre LA Discriminación
  • 3 Pages
Ensayo Sobre LA Obesidad
  • 5 Pages
Ensayo sobre evaluacion cualitativa
  • 4 Pages
Ensayo sobre el Porfiriato
  • 3 Pages
Ensayo sobre El ESTADO
  • 2 Pages
Ensayo sobre la ceguera
  • 7 Pages
Ensayo Sobre La Globalizacion
  • 5 Pages
Ensayo sobre el Racismo
  • 1 Pages
Ensayo sobre arraigo cultural
  • 5 Pages
Ensayo sobre Paulo Freire
  • 20 Pages
Popular Institutions