La Seguridad En Aplicaciones Con Acceso Sql
Páginas: 9 (2173 palabras)
Publicado: 13 de mayo de 2012
VULNERABILIDADES
La seguridad en aplicaciones
con acceso SQL
Parece que cuando uno lleva ya algún tiempo trabajando en seguridad informática, debería inmunizarse contra la pasividad de
determinados fabricantes y clientes ante la existencia de gravísimos fallos de seguridad en sus programas. No es mi caso. Quienes
llevamos tiempo en el sector tenemos todavía que luchar contra viejosclichés (algunos de ellos extendidos por los fabricantes
cuyas herramientas recomendamos) que aún hoy persisten en muchos de nuestros clientes. Uno de los grandes
caballos de batalla es la seguridad a nivel de aplicación, y la implicación de los responsables de seguridad en
los proyectos software. A lo largo del artículo intentaré explicar a través de ejemplos por qué es importante la
seguridad enaplicaciones con acceso SQL, y algunas recomendaciones útiles para "securizarlas".
Jorge Hurtado
Es curioso comprobar como con el paso
del tiempo las vulnerabilidades en el
software siguen aún apareciendo como
si estuviésemos todavía en la edad
media de la seguridad en Internet. La
ingente información disponible para los
programadores sobre la necesidad de
la validación y control de losparámetros
no parece suficiente, pues siguen
cometiendo los mismos errores que
antaño, codificando programas
inseguros que posibilitan el acceso
completo a sus sistemas de
información. Tampoco parece intimidar
a los fabricantes de software comercial
el hecho de que miles de ojos
escudriñen el funcionamiento de sus
aplicaciones a la búsqueda del más
mínimo fallo que aprovechar, ya queasisten impasibles al descubrimiento
de más y más errores que hacen a
nuestros sistemas vulnerables.
Es irónico comprobar como aún hoy en
día grandes sitios web de todos los
sectores aluden a la seguridad en sus
servicios web y la explican con el ya
mítico candado del navegador,
hablando del número de bits y la
robustez de sus claves, mientras un
mínimo análisis de su aplicación seríacapaz de sacar los colores al más
indolente responsable de seguridad
informática.
Tampoco es raro seguir encontrando
grandilocuentes ofertas para realizar
intrusiones informáticas, cuando lo que
se está intentando vender es un informe
generado con una conocida
herramienta comercial, sin un mínimo
análisis adicional de los resultados.
En absoluto esto significa que las
herramientascomerciales no sean
útiles, si no que abordan sólo una
pequeña parte de la seguridad.
¿Acaso nos van a analizar la seguridad
de nuestros aplicativos, la de nuestros
procedimientos, incluso la de nuestra
seguridad perimetral?
Es en esta falsa sensación de seguridad
dónde se encuentran la mayoría de
empresas de nuestro país: “tengo un
cortafuegos, me ha hecho una auditoría
una firma deprestigio, e incluso
dispongo de licencia de un conocido
producto comercial para realizar
auditorías internas. No puedo estar
más seguro”
Y es en esta situación cuando al realizar
una prueba de hacking ético por parte
de una empresa especializada como
Pecando de una cierta ingenuidad, tal
vez el hecho de explicar la importancia
de la seguridad a nivel de aplicación,
esta vez con malosejemplos de cómo
no se deben hacer las cosas, pueda
servir a los sufridos responsables de
seguridad de las empresas a
concienciar (se) al resto de
departamentos de que su labor no sólo
consiste en el diseño de medidas de
seguridad, si no que debe existir una
implicación total de los responsables
de seguridad dentro del desarrollo de
pseudocódigo:
Serían, por ejemplo, lastípicas notas
de prensa dinámicas, y el código
anterior el que aparece al pulsar sobre
uno de los resúmenes para mostrar la
noticia completa.
En principio no parece que el programa
sea muy problemático. Ningún
analizador de vulnerabilidades de los
más conocidos va a detectar ningún
problema, ya que tanto el servidor de
web, como los elementos intermedios
(cortafuegos, routers) se hayan...
La seguridad en aplicaciones
con acceso SQL
Parece que cuando uno lleva ya algún tiempo trabajando en seguridad informática, debería inmunizarse contra la pasividad de
determinados fabricantes y clientes ante la existencia de gravísimos fallos de seguridad en sus programas. No es mi caso. Quienes
llevamos tiempo en el sector tenemos todavía que luchar contra viejosclichés (algunos de ellos extendidos por los fabricantes
cuyas herramientas recomendamos) que aún hoy persisten en muchos de nuestros clientes. Uno de los grandes
caballos de batalla es la seguridad a nivel de aplicación, y la implicación de los responsables de seguridad en
los proyectos software. A lo largo del artículo intentaré explicar a través de ejemplos por qué es importante la
seguridad enaplicaciones con acceso SQL, y algunas recomendaciones útiles para "securizarlas".
Jorge Hurtado
Es curioso comprobar como con el paso
del tiempo las vulnerabilidades en el
software siguen aún apareciendo como
si estuviésemos todavía en la edad
media de la seguridad en Internet. La
ingente información disponible para los
programadores sobre la necesidad de
la validación y control de losparámetros
no parece suficiente, pues siguen
cometiendo los mismos errores que
antaño, codificando programas
inseguros que posibilitan el acceso
completo a sus sistemas de
información. Tampoco parece intimidar
a los fabricantes de software comercial
el hecho de que miles de ojos
escudriñen el funcionamiento de sus
aplicaciones a la búsqueda del más
mínimo fallo que aprovechar, ya queasisten impasibles al descubrimiento
de más y más errores que hacen a
nuestros sistemas vulnerables.
Es irónico comprobar como aún hoy en
día grandes sitios web de todos los
sectores aluden a la seguridad en sus
servicios web y la explican con el ya
mítico candado del navegador,
hablando del número de bits y la
robustez de sus claves, mientras un
mínimo análisis de su aplicación seríacapaz de sacar los colores al más
indolente responsable de seguridad
informática.
Tampoco es raro seguir encontrando
grandilocuentes ofertas para realizar
intrusiones informáticas, cuando lo que
se está intentando vender es un informe
generado con una conocida
herramienta comercial, sin un mínimo
análisis adicional de los resultados.
En absoluto esto significa que las
herramientascomerciales no sean
útiles, si no que abordan sólo una
pequeña parte de la seguridad.
¿Acaso nos van a analizar la seguridad
de nuestros aplicativos, la de nuestros
procedimientos, incluso la de nuestra
seguridad perimetral?
Es en esta falsa sensación de seguridad
dónde se encuentran la mayoría de
empresas de nuestro país: “tengo un
cortafuegos, me ha hecho una auditoría
una firma deprestigio, e incluso
dispongo de licencia de un conocido
producto comercial para realizar
auditorías internas. No puedo estar
más seguro”
Y es en esta situación cuando al realizar
una prueba de hacking ético por parte
de una empresa especializada como
Pecando de una cierta ingenuidad, tal
vez el hecho de explicar la importancia
de la seguridad a nivel de aplicación,
esta vez con malosejemplos de cómo
no se deben hacer las cosas, pueda
servir a los sufridos responsables de
seguridad de las empresas a
concienciar (se) al resto de
departamentos de que su labor no sólo
consiste en el diseño de medidas de
seguridad, si no que debe existir una
implicación total de los responsables
de seguridad dentro del desarrollo de
pseudocódigo:
Serían, por ejemplo, lastípicas notas
de prensa dinámicas, y el código
anterior el que aparece al pulsar sobre
uno de los resúmenes para mostrar la
noticia completa.
En principio no parece que el programa
sea muy problemático. Ningún
analizador de vulnerabilidades de los
más conocidos va a detectar ningún
problema, ya que tanto el servidor de
web, como los elementos intermedios
(cortafuegos, routers) se hayan...
Leer documento completo
Regístrate para leer el documento completo.