Mexingsof 13t1act Yanet Martinez Monroy PDF

Preview

Summary

Seguridad en Aplicaciones OnlineApellidos: MARTINEZ MONROY 05-11- Nombre: YANETActividadesActividad: Aplicaciones AJAX. Arquitectura y tecnologías. Vulnerabilidades de seguridad y defensasObjetivos Realización de un trabajo para investigar sobre la arquitectura de la tecnología WEB 2 AJAX y los prob...

Description

Asignatura

Datos del alumno

Seguridad en Aplicaciones Online

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

Actividades

Actividad: Aplicaciones AJAX. Arquitectura y tecnologías. Vulnerabilidades de seguridad y defensas

Objetivos Realización de un trabajo para investigar sobre la arquitectura de la tecnología WEB 2.0 AJAX y los problemas de seguridad que presenta, así como las posibles soluciones a los mismos.

Descripción de la actividad Investigar: 1. Arquitectura de las aplicaciones web ricas de Internet (RIA) AJAX, tecnologías, características y funcionamiento. 2. Principales vulnerabilidades de seguridad. 3. Principales mecanismos de defensa a implementar en toda la arquitectura de una aplicación web AJAX.

Rúbrica

Aplicaciones

Puntuación

AJAX

máxima

Descripción (valor real:

(puntos)

6,5 puntos) Criterio 1

Criterio 2

Criterio 3

Descripción de la tecnología. Investigación sobre vulnerabilidades de seguridad. Investigación sobre defensas de

TEMA 1 – Actividades

seguridad.

Peso %

1

10 %

4

40 %

4

40 %

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Criterio 4

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

Calidad de la memoria.

1

10 %

10

100 %

Extensión máxima: un documento en formato Word con una extensión máxima de 20 páginas, fuente Georgia 11 e interlineado 1,5.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

¿Qué son las aplicaciones RIA? Las aplicaciones RIA (Rich Internet Applications), son aplicaciones web que tienen la mayoría de las características de las aplicaciones de escritorio tradicionales ya que soporta gráficos y escenarios de transmisión de medios, al tiempo que proporciona la mayor parte de las ventajas de la implementación y el mantenimiento de una aplicación web. Las aplicaciones de Internet enriquecidas, o RIA, son aplicaciones web que tienen la mayoría de las características de las aplicaciones de escritorio tradicionales. Estas aplicaciones utilizan un navegador web estandarizado para ejecutarse y por medio de complementos o mediante una máquina virtual se agregan las características adicionales. Las RIA surgen como una combinación de las ventajas que ofrecen las aplicaciones web y las aplicaciones tradicionales, buscando así la mejora de la experiencia del usuario.

¿Qué es AJAX? AJAX (Asyncrhronous JavaScript And XML), es una técnica de desarrollo web para crear aplicaciones interactivas o RIA. Estas aplicaciones se ejecutan en el cliente, es decir, en el navegador de los usuarios mientras se mantiene la comunicación asíncrona con el servidor en segundo plano. De esta forma es posible realizar cambios sobre las

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

páginas sin necesidad de recargarlas, mejorando la interactividad, velocidad y usabilidad en las aplicaciones. AJAX es una combinación de cuatro tecnologías ya existentes:  XHTML y hojas de estilos en cascada (CSS) para el diseño que acompaña la información.  Document Object Model (DOM) accedió con el lenguaje de scripting por parte del usuario, especialmente implementaciones ECMAScript como JavaScript y Jscript, para mostrar e interactuar dinámicamente con la información presentada.  El objeto XMLHttpRequest para intercambiar datos de forma asíncrona con el servidor web. En algunos frameworks y en algunas situaciones concretas, se usa un objeto iframe en lugar del XMLHttpRequest para realizar dichos intercambios. PHP es un lenguaje de programación de uso general de script del lado del servidor originalmente diseñado para el desarrollo web de contenido dinámico y estén utilizando en el método AJAX.

Cabe mencionar que AJAX como tal no es una tecnología nueva, sino una serie de tecnologías existentes que trabajan en conjunto.

Ejemplos Reales de AJAX

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

Como cualquier otra técnica o tecnología que se emplee en un entorne Web, el uso de AJAX esta sujeto a inconvenientes. La experiencia ensena que con el tiempo estos inconvenientes se suplen cuando el mercado apoya una tecnología y esta se estandariza lo suficiente como para que los distintos navegadores no den problemas con ella, ya sean estos de compatibilidad o de seguridad.

AJAX permite realizar ahora cosas que antes no se podían o necesitan uso de plugins, además de aumentar la interactividad al poder mantener la conexión con el servidor de forma sencilla. Por ese motivo la industria se ha volcado mucho últimamente en desarrollar software con AJAX, pero este es todavía un poco inmaduro.

Cuando se quiere analizar la seguridad de un programa en red se deben tener dos partes claramente diferenciadas: servidor y cliente/s. El análisis de seguridad se debe hacer pensando que el atacante conoce perfectamente todo el funcionamiento del sistema.

En el caso de la web, las peticiones se hacen normalmente en cada evento de un cliente, por ejemplo, un clic en un enlace o un inicio de sesión; tradicionalmente cada petición al servidor requiere recargar, refrescar o actualizar la página para ver la nueva información, esto puede ser normal si se va a otra página interna del sitio, pero no es eficiente cuando lo que se quiere es solo cambiar un fragmento de la página, como un chat, un mapa, o mostrar alguna información contextual sobre una compra. AJAX llego a la web para revolucionar y optimizar su funcionamiento, haciendo que eta se pueda fragmentar para actualizar o refrescar no toda la página web, sino solo una parte de ella.

Para entender mejor este concepto, podemos recordar que, en años anteriores cuando se hacia una actualización en cualquier parte de la web, se debía esperar a que esta se actualizara por completo, gracias a esta técnica de desarrollo AJAX, se logra que sea solo un fragmento en la página web se actualice, al lograr esto surgen las múltiples aplicaciones y dinamismos en la web, como lo es el caso de validación de cupones, inicio de sesión, formularios, entre otros.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

AJAX, siendo un modo de programación que no bloquea la ejecución de otros procesos mientras resuelve ciertas peticiones, realizando estas acciones de manera asíncrona, haciendo que esta acción solo sea interpretada de acuerdo con la petición de solo un fragmento de la página, y el servidor valida y responde solo a este fragmento, haciendo acciones como: cambio de colores, cambio de números, importante para listas de precios con cupones de descuento.

Así funciona:

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

En este esquema suponemos que el navegador inicialmente contiene una pagina cualquiera y se le hace la petición para que muestre una pagina como http://aprendeaprogramar.com, una vez realizada la solicitud la página se carga en el navegador (1). Suponemos que el usuario realiza una accion, por ejemplo elige entre varios tipos de producto la opción “automoviles”. Como respuesta a este evento, se envia la información al servidor en segundo plano y se reciben datos de respuesta del servidor tambien en segundo plano sin necesidad de recargar de nuevo toda la pagina. Con la información recibida del servidor y usando JavaScript se modifica la pagina unicamente alli donde es necesario, de modo que ahora se le muestran al usuario los tipos de automoviles disponibles, por ejemplo autobuses, furgonetas y coches (2). Ahora el usuario elige un tipo de automovil, por ejemplo coches, y como respuesta a ese evento, se envia la información al servidor en segundo plano y se reciben datos de respuesta del servidor tambien en segundo plano, sin necesidad de recargar de nuevo toda la página. Con la informacion recibida del servidor y usando JavaScript se modifica la página unicamente alli donde es necesario, de modo que ahora se le muestran al usuario los tipos de coches disponibles, por ejemplo “de gasolina”, “diesel”, “electricos” e “Hibridos” (3). Ahora el usuario elige una opción, por ejemplo “Electricos”, y como respuesta a ese evento, se envia la informacion al servidor en segundo plano y se reciben datos de respuesta del servidor tambien en segundo plano, sin necesidad de recargar de nuevo toda la pagina. Con la información recibida del servidor y cuando JavaScript se modifica la pagina unicamente alli donde es necesario, de modo que ahora se le muestran al usuario los tipos de coches electricos disponibles (4). En total hemos realizado 1 carga completa de la pagina, y enviado 4 paquetes de datos al servidor y recibido 4 paquetes de datos del servidor. Supongamos que cargar la página supone la transferencia de 250 Kb de meda y que cada paquete enviado tiene 1 KB de media y cada paquete recibido 5 Kb de media. En total habremos tenido que hacer 1 recarga y transferir 250+4*1+4*5 Kb, aproximadamente 250+4+20= 274 Kb.

La diferencia que ha introducido el uso de AJAX esta en que: No hemos tenido que cargar la pagina completa varias veces. Hemos sido mas rapidos en la operación y al mostrar respuestas al usuario. Hemos transferido un menor volumen de datos.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

La transferencia de datos con el servidor es en segundo plano. Esto permite al usuario seguir interactuando con la pagina web. En cambio en el caso de recargas completas tendria que esperar a que terminara la recarga para seguir interactuando.

El uso de AJAX introduce una ventaja clara, de ahí que a la mayor parte de las webs hoy en dia hagan uso de AJAX. En las aplicaciones Web tradicionales los usuarios interactuan mediante formularios, que al enviarse, realizan una petición al servidor Web. El servidor se comporta según lo enviado en el formulario y contesta enviando una nueva pagina Web. Se desperdicia mucho ancho de banda, ya que gran parte del HTML enviado en la segunda página Web, ya estaba presente la primera. Ademas, de esta manera no es posible crear aplicaciones con un grado de interacción similar al de las aplicaciones habituales. En las aplicaciones AJAX se envian peticiones via http(s) mediante events, scripts o rutinas al servidor Web, para obtener unicamente la información necesaria, empleando SOAP o algun otro lenguaje para servicios Web basadons en XML, usando JavaScript en el cliente para procesar la respuesta del servidor Web. Esto redunda en la mayor interacción gracias a la reducción de información intercambiada entre el servidor y el cliente.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

Ejemplo de su funcionamiento. Un ejemplo claro es la funcion de autoacompletamiento de Google; esta te ayuda a complementar tus palabras clave mientras escribes. Las palabras clave cambian en tiempo real, sin embargo, la pagina como tal no cambia, a principias de los 90, cuando el internet no era tan avanzada, la misma funcion requeria que Google volviera a cargar la pagina cada vez que apareciera una nueva recomendación en tu pantalla. AJAX permite que el intercambio de datos y la capa de presentación funcionen sumultaneamente sin que interfieran la una con la otra.

TECNOLOGIAS AJAX Ajax es una combinación de cuatro tecnologías ya existentes:  XHTML (o HTML) y hojas de estilos en cascada (CSS) para el diseño que acompaña a la información, a grandes rasgos, es un lenguaje de marcado que permite editar webs.  Document Object Model (DOM) accedido con un lenguaje de scripting por parte del usuario, especialmente implementaciones ECMAScript como JavaScript y

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

JScript, para mostrar e interactuar dinámicamente con la información presentada, es una API definida para representar e interactuar con cualquier documento HTML o XML, es un modelo de documento que se carga en el navegador web y que se representa el documento como un  El objeto XMLHttpRequest para intercambiar datos de forma asíncrona con el servidor web. En algunos frameworks y en algunas situaciones concretas, se usa un objeto iframe en lugar del XMLHttpRequest para realizar dichos intercambios. PHP es un lenguaje de programación de uso general de script del lado del servidor originalmente diseñado para el desarrollo web de contenido dinámico también utilizado en el método Ajax.  XML es el formato usado generalmente para la transferencia de datos solicitados al servidor, aunque cualquier formato puede funcionar, incluyendo HTML preformateado, texto plano, JSON y hasta EBML.  Como el DHTML, LAMP o SPA, Ajax no constituye una tecnología en sí, sino que es un término que engloba a un grupo de éstas que trabajan conjuntamente.

Prohibiciones de Ajax

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

Aunque Ajax es una técnica de desarrollo de aplicaciones web que se ha diseñado para que las páginas web sean más receptivas e interactivas con un usuario, Ajax presenta algunas limitaciones a tener en cuenta antes de desarrollar una aplicación basada en Ajax. Las limitaciones siguientes representan algunas de las desventajas principales: 

Soporte de navegador - No todos los navegadores admiten JavaScript o el objeto XMLHttpRequest. Incluso entre navegadores que no ofrecen soporte a JavaScript y XMLHttpRequest, estos objetos se pueden tratar de forma diferente. Se deben tener en cuenta todas las implementaciones del navegador de Ajax.



Seguridad y privacidad de usuario - No se resuelven todos los puntos de vista. Es necesario tener en cuenta los problemas relacionados con la seguridad y la privacidad de usuario a la hora de desarrollar una aplicación Ajax.



Accesibilidad - Puesto que no todos los navegadores disponen de soporte para JavaScript o el objeto XMLHttpRequest, debe asegurarse de proporcionar una manera de hacer que la aplicación web sea accesible para todos los usuarios.



Marcador y navegación - Puesto que Ajax se utiliza para cargar bits de contenido de forma asíncrona en una página existente, es posible que parte de la información de la página no corresponda a una página recién cargada. Puede que el historial del navegador y los marcadores no se comporten de forma correcta porque el URL no se ha modificado aunque ciertas partes de la página se hayan cambiado.



Motor de búsqueda - No es posible realizar búsquedas en aplicaciones Ajax; sin embargo, sí se pueden utilizar las características y elementos de Ajax de una aplicación en la que se puedan realizar búsquelas.

Navegadores que permiten AJAX Entre los navegadores web que permiten AJAX se encuentran:  Firefox.  SeaMonkey.  Camino.  K-Meleon.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)

Asignatura Seguridad en Aplicaciones Online

Datos del alumno

Fecha

Apellidos: MARTINEZ MONROY 05-11-2021 Nombre: YANET

 IceWeasel.  Flock.  Epiphany.  Galeón.  Google Chrome.  Safari.  Internet Explorer.  Konqueror.  Opera a partir de la versión 8 en adelante.

TEMA 1 – Actividades

© Universidad Internacional de La Rioja. (UNIR)...