amenazas web
Páginas: 10 (2400 palabras)
Publicado: 13 de junio de 2014
Información general sobre las amenazas para la seguridad de las aplicaciones web
Si a su aplicación Web tienen acceso usuarios desconocidos, existen muchas probabilidades de que algún usuario malintencionado intente también obtener acceso. Normalmente, los servidores de Internet accesibles al público se sondean constantemente para descartar vulnerabilidades. Por consiguiente, se recomienda quetome precauciones y adopte medidas de seguridad en todas sus aplicaciones Web.
La tecnología de seguridad es sólo parte de la solución
Implementar tecnología de seguridad es sólo parte de la solución. Otra parte consiste en la vigilancia. Aunque el sistema cuente con numerosos elementos de seguridad, es preciso vigilarlo de cerca de los modos siguientes:
Supervisando los registros de eventosdel sistema. Observe si se producen intentos repetidos de iniciar sesión en su sistema o si el servidor web recibe un número excesivo de solicitudes.
Mantenga continuamente actualizado el servidor de la aplicación con las últimas revisiones de seguridad de Microsoft Windows y de Internet Information Services (IIS), así como cualquier revisión de Microsoft SQL Server o de otros orígenes de datosque pueda utilizar su aplicación.
Modelo de amenazas
Suplantación
Suplantar (spoof) es utilizar los datos de identificación de otro usuario o proceso de forma no autorizada. En su versión más simple, la suplantación consistiría en introducir las credenciales de un usuario diferente. Un usuario malintencionado podría también cambiar el contenido de una cookie para fingir que es otra persona o quela cookie proviene de un servidor diferente.
Manipulación
Manipular significa cambiar o eliminar un recurso sin autorización. El ejemplo típico consiste en desfigurar una página Web, para lo cual, el usuario malintencionado logra acceso al sitio y cambia algunos archivos. Una defensa fundamental contra la manipulación consiste en usar la seguridad de Windows para bloquear los archivos,directorios y otros recursos de Windows. La aplicación también debería ejecutarse con privilegios mínimos. Para reforzar la protección contra los ataques al sistema que aprovechan el script, desconfíe ante cualquier información que proceda de un usuario o, incluso, de una base de datos. Siempre que se obtenga información de una fuente que no sea de confianza, es preciso asegurarse de que no contienecódigo ejecutable.
Repudio
Una amenaza de repudio implica llevar a cabo una transacción de manera que no haya pruebas fehacientes de los actores de las entidades de seguridad de la transacción. En una aplicación Web, esto puede significar que se está suplantando a un usuario inocente usando sus credenciales. Contribuir a la protección contra el repudio es posible, de nuevo, aplicando una autenticaciónestricta. Además, se deben usar las funciones de inicio de sesión de Windows para mantener un registro de auditoría de cualquier actividad en el servidor.
Revelación de información
Revelación de información significa simplemente robar o desvelar información que se supone que es confidencial. Un ejemplo típico es el robo de contraseñas, pero la revelación de información también incluye el accesoa cualquier archivo o recurso del servidor.
La mejor protección contra la revelación de información es no tener información que revelar.
Denegación de servicio
Un ataque de denegación de servicio consiste en hacer deliberadamente que una aplicación esté menos disponible de lo que debería. Un ejemplo típico es sobrecargar una aplicación Web de forma que no pueda servir a los usuariosnormales. Como alternativa, los usuarios malintencionados pueden intentar simplemente bloquear el servidor.
Los servicios IIS permiten limitar las aplicaciones de forma que sólo sirvan un número determinado de solicitudes, lo que podría resultar útil para denegar el acceso a los usuarios o direcciones IP que se sabe que tienen malas intenciones. Para mantener sus aplicaciones en línea, es esencial...
Si a su aplicación Web tienen acceso usuarios desconocidos, existen muchas probabilidades de que algún usuario malintencionado intente también obtener acceso. Normalmente, los servidores de Internet accesibles al público se sondean constantemente para descartar vulnerabilidades. Por consiguiente, se recomienda quetome precauciones y adopte medidas de seguridad en todas sus aplicaciones Web.
La tecnología de seguridad es sólo parte de la solución
Implementar tecnología de seguridad es sólo parte de la solución. Otra parte consiste en la vigilancia. Aunque el sistema cuente con numerosos elementos de seguridad, es preciso vigilarlo de cerca de los modos siguientes:
Supervisando los registros de eventosdel sistema. Observe si se producen intentos repetidos de iniciar sesión en su sistema o si el servidor web recibe un número excesivo de solicitudes.
Mantenga continuamente actualizado el servidor de la aplicación con las últimas revisiones de seguridad de Microsoft Windows y de Internet Information Services (IIS), así como cualquier revisión de Microsoft SQL Server o de otros orígenes de datosque pueda utilizar su aplicación.
Modelo de amenazas
Suplantación
Suplantar (spoof) es utilizar los datos de identificación de otro usuario o proceso de forma no autorizada. En su versión más simple, la suplantación consistiría en introducir las credenciales de un usuario diferente. Un usuario malintencionado podría también cambiar el contenido de una cookie para fingir que es otra persona o quela cookie proviene de un servidor diferente.
Manipulación
Manipular significa cambiar o eliminar un recurso sin autorización. El ejemplo típico consiste en desfigurar una página Web, para lo cual, el usuario malintencionado logra acceso al sitio y cambia algunos archivos. Una defensa fundamental contra la manipulación consiste en usar la seguridad de Windows para bloquear los archivos,directorios y otros recursos de Windows. La aplicación también debería ejecutarse con privilegios mínimos. Para reforzar la protección contra los ataques al sistema que aprovechan el script, desconfíe ante cualquier información que proceda de un usuario o, incluso, de una base de datos. Siempre que se obtenga información de una fuente que no sea de confianza, es preciso asegurarse de que no contienecódigo ejecutable.
Repudio
Una amenaza de repudio implica llevar a cabo una transacción de manera que no haya pruebas fehacientes de los actores de las entidades de seguridad de la transacción. En una aplicación Web, esto puede significar que se está suplantando a un usuario inocente usando sus credenciales. Contribuir a la protección contra el repudio es posible, de nuevo, aplicando una autenticaciónestricta. Además, se deben usar las funciones de inicio de sesión de Windows para mantener un registro de auditoría de cualquier actividad en el servidor.
Revelación de información
Revelación de información significa simplemente robar o desvelar información que se supone que es confidencial. Un ejemplo típico es el robo de contraseñas, pero la revelación de información también incluye el accesoa cualquier archivo o recurso del servidor.
La mejor protección contra la revelación de información es no tener información que revelar.
Denegación de servicio
Un ataque de denegación de servicio consiste en hacer deliberadamente que una aplicación esté menos disponible de lo que debería. Un ejemplo típico es sobrecargar una aplicación Web de forma que no pueda servir a los usuariosnormales. Como alternativa, los usuarios malintencionados pueden intentar simplemente bloquear el servidor.
Los servicios IIS permiten limitar las aplicaciones de forma que sólo sirvan un número determinado de solicitudes, lo que podría resultar útil para denegar el acceso a los usuarios o direcciones IP que se sabe que tienen malas intenciones. Para mantener sus aplicaciones en línea, es esencial...
Leer documento completo
Regístrate para leer el documento completo.