Seguridad de aplicaciones web
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
MATERIA: DESARROLLO DE APLICACIONES WEB
MAESTRO(A): LUIS MIGUEL ZAPATA ALVARADOPRESENTAN: SERGIO ANTONIO CORTÉS GUZMÁN
GRADO: 10°
GRUPO: “B”
FECHA DE ENTREGA: 28/09/2010
Ataques más comunes en aplicaciones Web y como prevenirlos
1. Ejecución de código remotamenteComo su nombre lo indica, esta vulnerabilidad permite al atacante ejecutar código en el servidor vulnerable y obtener información almacenada en él. Los errores de codificación impropios resultan deesta vulnerabilidad.
A veces es difícil descubrir vulnerabilidades durante la puesta a prueba del sistema, pero tales problemas son a menudo revelados mientras se hace la revisión de código. 2.Inyección de código SQL (SQL inyection) Es una vulnerabilidad de las Web, que afectan directamente a las bases de datos de una aplicación, El problema radica al filtrar erróneamente las variablesutilizadas en parte de la página con código SQL.
Una Inyección SQL consiste en insertar o inyectar código SQL malicioso dentro de código SQL, para alterar el funcionamiento normal y hacer que se ejecute elcódigo “invasor” dentro del sistema. Ejemplo: Suponiendo, tenemos la siguiente consulta:
SELECT * FROM usuarios WHERE user = „adminidtrador‟ AND password=‟$_POST[„password‟]‟
Obviamente esperamosque $_POST['password'] contenga la contraseña del usuario, pero ¿Que pasaría si $_POST['password'] = ' or 'a'='a? Obtendríamos algo como lo siguiente:
SELECT * FROM usuarios WHERE user ='administrador' AND password='' OR 'a'='a'
Un programa elaborado con descuido, puede ser vulnerable dejando la seguridad del sistema ciertamente comprometida.
En el ejemplo anterior la validación de elcampo password estaría quedando fuera con el OR 'a'='a' el cual siempre se cumplirá, permitiendo el acceso sin necesidad de la contraseña 3. Cross Site Scripting (XSS) Es el ataque basado en la...
Regístrate para leer el documento completo.