Web a lo largo del muno
Páginas: 5 (1026 palabras)
Publicado: 4 de abril de 2011
Titulo
Análisis de vulnerabilidades en aplicaciones web basado en flujo de información.
Planteamiento del problema:
Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque.
Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operadordel sistema y que, por lo general, causan un daño.
Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.
Para que unatacante pueda aprovechar una vulnerabilidad debe insertar un dato no confiable y manipular la aplicación usando ese dato; para ello se utilizara la técnica de análisis flujo de información, la cual consiste en ver como fluye la información en un programa para garantizar una propiedad.
Hipótesis:
Las vulnerabilidades pueden ser detectadas y notificadas si se analiza en forma crítica y detalladael flujo de información
Objetivo:
Objetivos:
General:
* Detectar vulnerabilidades en aplicaciones web.
Especifico
* Desarrollar una metodología para el análisis del flujo de información.
* Obtener una herramienta que integre en un mismo servicio tanto la captura de datos como su posterior análisis técnico.
Justificación:
Hoy en día, muchas empresas ejecutanaplicaciones críticas a través de la Web, exponiendo el flujo de información a importantes problemáticas en seguridad.
Resulta importante, para una empresa, tanto el conocer la robustez y fiabilidad de sus aplicaciones frente a los riesgos que su exposición en Web provocan, como tomar conciencia de esta nueva problemática y aplicar las medidas necesarias prioritariamente ejecutadas.
También debemosrecordar que la utilización de mecanismos adecuados de seguridad perimetral (firewalls, servicios de SSL en los servidores, etc.) no representa una protección ante ataques a las aplicaciones
Desarrolladores sin conocimientos de seguridad en aplicaciones Web, generan código inseguro, el cual indefectiblemente nos hará perder dinero a futuro.
“Ningún Lenguaje de programación puede prever códigoinseguro, aunque las características del lenguaje puedan ayudar a bloquear revelación de información confidencial” Chris Shiflett
Los ataques a las aplicaciones Web siempre son dañinos ya que proporcionan una mala imagen a la empresa. Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:
* Desfiguración de la página Web;
* Robo de información;
* Modificación dedatos, y en particular la modificación de datos personales de los usuarios;
* Intrusión en el servidor Web.
Marco teórico:
El análisis de seguridad a diseñar se basa en ejecución simbólica, un paradigma en el cual se simula la ejecución del programa usando valores simbólicos en las variables. Es una técnica que analiza (de manera simplificada) las condiciones que hacen tomar un flujo uotro dentro del programa bajo prueba y ver el estado de las variables para cada uno de esos caminos. Luego genera casos de prueba que intentan recorrer o cubrir cada sentencia.
Las vulnerabilidades de aplicaciones Web se pueden clasificar de la siguiente manera:
* Vulnerabilidades del servidor Web. Este tipo es cada vez más atípico ya que la mayoría de los desarrolladores de servidores Webhan aumentado su seguridad con los años;
* Manipulación de URL, incluida la modificación manual de parámetros de URL para modificar el comportamiento esperado del servidor Web;
* Aprovechamiento de las debilidades de los identificadores de sesión y sistemas de autenticación;
* Inyección de código HTML y Secuencia de comandos entre sitios;
* Inyección de comandos SQL. (haremos...
Análisis de vulnerabilidades en aplicaciones web basado en flujo de información.
Planteamiento del problema:
Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque.
Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operadordel sistema y que, por lo general, causan un daño.
Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.
Para que unatacante pueda aprovechar una vulnerabilidad debe insertar un dato no confiable y manipular la aplicación usando ese dato; para ello se utilizara la técnica de análisis flujo de información, la cual consiste en ver como fluye la información en un programa para garantizar una propiedad.
Hipótesis:
Las vulnerabilidades pueden ser detectadas y notificadas si se analiza en forma crítica y detalladael flujo de información
Objetivo:
Objetivos:
General:
* Detectar vulnerabilidades en aplicaciones web.
Especifico
* Desarrollar una metodología para el análisis del flujo de información.
* Obtener una herramienta que integre en un mismo servicio tanto la captura de datos como su posterior análisis técnico.
Justificación:
Hoy en día, muchas empresas ejecutanaplicaciones críticas a través de la Web, exponiendo el flujo de información a importantes problemáticas en seguridad.
Resulta importante, para una empresa, tanto el conocer la robustez y fiabilidad de sus aplicaciones frente a los riesgos que su exposición en Web provocan, como tomar conciencia de esta nueva problemática y aplicar las medidas necesarias prioritariamente ejecutadas.
También debemosrecordar que la utilización de mecanismos adecuados de seguridad perimetral (firewalls, servicios de SSL en los servidores, etc.) no representa una protección ante ataques a las aplicaciones
Desarrolladores sin conocimientos de seguridad en aplicaciones Web, generan código inseguro, el cual indefectiblemente nos hará perder dinero a futuro.
“Ningún Lenguaje de programación puede prever códigoinseguro, aunque las características del lenguaje puedan ayudar a bloquear revelación de información confidencial” Chris Shiflett
Los ataques a las aplicaciones Web siempre son dañinos ya que proporcionan una mala imagen a la empresa. Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:
* Desfiguración de la página Web;
* Robo de información;
* Modificación dedatos, y en particular la modificación de datos personales de los usuarios;
* Intrusión en el servidor Web.
Marco teórico:
El análisis de seguridad a diseñar se basa en ejecución simbólica, un paradigma en el cual se simula la ejecución del programa usando valores simbólicos en las variables. Es una técnica que analiza (de manera simplificada) las condiciones que hacen tomar un flujo uotro dentro del programa bajo prueba y ver el estado de las variables para cada uno de esos caminos. Luego genera casos de prueba que intentan recorrer o cubrir cada sentencia.
Las vulnerabilidades de aplicaciones Web se pueden clasificar de la siguiente manera:
* Vulnerabilidades del servidor Web. Este tipo es cada vez más atípico ya que la mayoría de los desarrolladores de servidores Webhan aumentado su seguridad con los años;
* Manipulación de URL, incluida la modificación manual de parámetros de URL para modificar el comportamiento esperado del servidor Web;
* Aprovechamiento de las debilidades de los identificadores de sesión y sistemas de autenticación;
* Inyección de código HTML y Secuencia de comandos entre sitios;
* Inyección de comandos SQL. (haremos...
Leer documento completo
Regístrate para leer el documento completo.