AMENAZAS DE SEGURIDAD EN EL SERVIDOR WEB
Páginas: 8 (1835 palabras)
Publicado: 11 de noviembre de 2013
AMENAZAS DE SEGURIDAD EN EL SERVIDOR WEB
Suplantación
Suplantar (spoof) es utilizar los datos de identificación de otro usuario o proceso de forma no autorizada. En su versión más simple, la suplantación consistiría en especificar las credenciales de un usuario diferente. Un usuario malintencionado podría también cambiar el contenido de una cookie para fingir que es otra persona o que lacookie proviene de un servidor diferente.
En general, es posible contribuir a evitar la suplantación mediante una autenticación estricta. Siempre que alguien solicita acceso a información privada, es preciso asegurarse de que es quien dice ser. También se puede contribuir a la defensa contra la suplantación manteniendo la información de credenciales a salvo. Por ejemplo, no se debe guardar nunca unacontraseña ni otro tipo de datos confidenciales o privados en una cookie, donde un usuario malintencionado podría encontrarlos y modificarlos fácilmente.
Manipulación
Manipular significa cambiar o eliminar un recurso sin autorización. El ejemplo típico consiste en desfigurar una página Web, para lo cuál, el usuario malintencionado logra acceso al sitio y cambia algunos archivos. Un modoindirecto de manipulación son los ataques mediante secuencias de comandos. en los que el usuario malintencionado consigue que se ejecute código (secuencia de comandos) enmascarándolo como la entrada de datos de un usuario en un formulario o como un vínculo.
Una defensa fundamental contra la manipulación consiste en usar la seguridad de Windows para bloquear los archivos, directorios y otros recursos deWindows. La aplicación también debería ejecutarse con privilegios mínimos. Para ayudar a evitar los ataques mediante secuencias de comandos, no confíe de la información que proceda de un usuario, ni de una base de datos. Siempre que se obtenga información de una fuente que no sea de confianza, procésela y asegúrese de que no contiene código ejecutable.
Repudio
Una amenaza de repudio implicallevar a cabo una transacción de manera que no haya pruebas fehacientes de los actores principales de la transacción. En una aplicación Web, esto puede significar que se está suplantando a un usuario inocente usando sus credenciales. Contribuir a la protección contra el repudio es posible, de nuevo, aplicando una autenticación estricta. Además, se deben usar las funciones de inicio de sesión deWindows para mantener un registro de auditoría de cualquier actividad en el servidor. Para obtener información detallada, vea Registrar eventos de aplicación, de servidor o de seguridad.
Revelación de información
Revelación de información significa simplemente robar o desvelar información que se supone que es confidencial. Un ejemplo clásico es robar contraseñas, pero puede implicar el acceso acualquier archivo o recurso del servidor.
La mejor protección contra la revelación de información es no tener información que revelar. Por ejemplo, si se evita el almacenamiento de contraseñas, ningún usuario malintencionado podrá robarlas. Una alternativa al almacenamiento de las contraseñas consiste en guardar sólo un valor hash de éstas. De este modo, cuando un usuario presenta sus credenciales,se puede extraer el valor hash de su contraseña y compararlo con el almacenado.
Si, aun así, se almacena información confidencial, se debe utilizar la seguridad de Windows para ayudar a protegerla. Como en todos los casos anteriores, se debería utilizar la autenticación para contribuir a garantizar que sólo los usuarios autorizados pueden tener acceso a la información restringida. Si tiene queexponer información confidencial, es recomendable que la cifre cuando la almacene y que utilice SSL (Secure Sockets Layer) para cifrar la información cuando se envíe al explorador o se reciba de éste.
Denegación de servicio
Un ataque de denegación de servicio consiste en hacer deliberadamente que una aplicación esté menos disponible de lo que debería. Un ejemplo típico es sobrecargar una...
Suplantación
Suplantar (spoof) es utilizar los datos de identificación de otro usuario o proceso de forma no autorizada. En su versión más simple, la suplantación consistiría en especificar las credenciales de un usuario diferente. Un usuario malintencionado podría también cambiar el contenido de una cookie para fingir que es otra persona o que lacookie proviene de un servidor diferente.
En general, es posible contribuir a evitar la suplantación mediante una autenticación estricta. Siempre que alguien solicita acceso a información privada, es preciso asegurarse de que es quien dice ser. También se puede contribuir a la defensa contra la suplantación manteniendo la información de credenciales a salvo. Por ejemplo, no se debe guardar nunca unacontraseña ni otro tipo de datos confidenciales o privados en una cookie, donde un usuario malintencionado podría encontrarlos y modificarlos fácilmente.
Manipulación
Manipular significa cambiar o eliminar un recurso sin autorización. El ejemplo típico consiste en desfigurar una página Web, para lo cuál, el usuario malintencionado logra acceso al sitio y cambia algunos archivos. Un modoindirecto de manipulación son los ataques mediante secuencias de comandos. en los que el usuario malintencionado consigue que se ejecute código (secuencia de comandos) enmascarándolo como la entrada de datos de un usuario en un formulario o como un vínculo.
Una defensa fundamental contra la manipulación consiste en usar la seguridad de Windows para bloquear los archivos, directorios y otros recursos deWindows. La aplicación también debería ejecutarse con privilegios mínimos. Para ayudar a evitar los ataques mediante secuencias de comandos, no confíe de la información que proceda de un usuario, ni de una base de datos. Siempre que se obtenga información de una fuente que no sea de confianza, procésela y asegúrese de que no contiene código ejecutable.
Repudio
Una amenaza de repudio implicallevar a cabo una transacción de manera que no haya pruebas fehacientes de los actores principales de la transacción. En una aplicación Web, esto puede significar que se está suplantando a un usuario inocente usando sus credenciales. Contribuir a la protección contra el repudio es posible, de nuevo, aplicando una autenticación estricta. Además, se deben usar las funciones de inicio de sesión deWindows para mantener un registro de auditoría de cualquier actividad en el servidor. Para obtener información detallada, vea Registrar eventos de aplicación, de servidor o de seguridad.
Revelación de información
Revelación de información significa simplemente robar o desvelar información que se supone que es confidencial. Un ejemplo clásico es robar contraseñas, pero puede implicar el acceso acualquier archivo o recurso del servidor.
La mejor protección contra la revelación de información es no tener información que revelar. Por ejemplo, si se evita el almacenamiento de contraseñas, ningún usuario malintencionado podrá robarlas. Una alternativa al almacenamiento de las contraseñas consiste en guardar sólo un valor hash de éstas. De este modo, cuando un usuario presenta sus credenciales,se puede extraer el valor hash de su contraseña y compararlo con el almacenado.
Si, aun así, se almacena información confidencial, se debe utilizar la seguridad de Windows para ayudar a protegerla. Como en todos los casos anteriores, se debería utilizar la autenticación para contribuir a garantizar que sólo los usuarios autorizados pueden tener acceso a la información restringida. Si tiene queexponer información confidencial, es recomendable que la cifre cuando la almacene y que utilice SSL (Secure Sockets Layer) para cifrar la información cuando se envíe al explorador o se reciba de éste.
Denegación de servicio
Un ataque de denegación de servicio consiste en hacer deliberadamente que una aplicación esté menos disponible de lo que debería. Un ejemplo típico es sobrecargar una...
Leer documento completo
Regístrate para leer el documento completo.