Seguridad de aplicaciones web

UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

MATERIA: DESARROLLO DE APLICACIONES WEB

MAESTRO(A): LUIS MIGUEL ZAPATA ALVARADOPRESENTAN: SERGIO ANTONIO CORTÉS GUZMÁN

GRADO: 10°

GRUPO: “B”

FECHA DE ENTREGA: 28/09/2010

Ataques más comunes en aplicaciones Web y como prevenirlos

1. Ejecución de código remotamenteComo su nombre lo indica, esta vulnerabilidad permite al atacante ejecutar código en el servidor vulnerable y obtener información almacenada en él. Los errores de codificación impropios resultan deesta vulnerabilidad.

A veces es difícil descubrir vulnerabilidades durante la puesta a prueba del sistema, pero tales problemas son a menudo revelados mientras se hace la revisión de código. 2.Inyección de código SQL (SQL inyection) Es una vulnerabilidad de las Web, que afectan directamente a las bases de datos de una aplicación, El problema radica al filtrar erróneamente las variablesutilizadas en parte de la página con código SQL.

Una Inyección SQL consiste en insertar o inyectar código SQL malicioso dentro de código SQL, para alterar el funcionamiento normal y hacer que se ejecute elcódigo “invasor” dentro del sistema. Ejemplo: Suponiendo, tenemos la siguiente consulta:
SELECT * FROM usuarios WHERE user = „adminidtrador‟ AND password=‟$_POST[„password‟]‟

Obviamente esperamosque $_POST['password'] contenga la contraseña del usuario, pero ¿Que pasaría si $_POST['password'] = ' or 'a'='a? Obtendríamos algo como lo siguiente:
SELECT * FROM usuarios WHERE user ='administrador' AND password='' OR 'a'='a'

Un programa elaborado con descuido, puede ser vulnerable dejando la seguridad del sistema ciertamente comprometida.

En el ejemplo anterior la validación de elcampo password estaría quedando fuera con el OR 'a'='a' el cual siempre se cumplirá, permitiendo el acceso sin necesidad de la contraseña 3. Cross Site Scripting (XSS) Es el ataque basado en la...