Seguridad en la web
Páginas: 9 (2215 palabras)
Publicado: 4 de junio de 2011
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security BERNARDO Hola, bienvenido a intypedia. Seguramente hayas podido leer recientemente en algún medio de comunicación que un atacante ha sido capaz de robar los datos de los clientes de una empresa através de su página web y te hayas preguntado cómo lo han hecho. En esta lección vamos a intentar explicar brevemente cómo puede ser esto posible. ¡Acompáñanos!
ESCENA 1. ARQUITECTURA BÁSICA DE UNA APLICACIÓN WEB. INCIDENTES DE SEGURIDAD ALICIA
Muchos internautas se preguntarán cómo es posible que un atacante pueda tener acceso a información sensible de una empresa, que no está publicada enInternet, a través de su página web, por ejemplo su base de datos o modificar los valores mostrados en ella. La respuesta técnica es mucho más sencilla de lo que se puede suponer a priori.
BERNARDO
Efectivamente. Aunque el servidor de bases de datos donde se almacena la información de la empresa se encuentre detrás de una serie de firewalls u otros mecanismos de protección, existe un canal decomunicaciones entre el servidor web y el servidor de bases de datos que es
Guión intypedia007es 1
lo que el atacante utiliza para llegar hasta los datos guardados. Alicia, ¿nos describes un poco la arquitectura básica de una aplicación web que utiliza una base de datos?
ALICIA
Por supuesto, vamos a ello. Aunque una aplicación web puede ser tan compleja como necesite el sistema, lasaplicaciones típicas tienen la siguiente estructura. En ella se puede ver que hay tres niveles claramente diferenciados por sus funciones. El primero de ellos es el encargado del interfaz de usuario, es decir, la parte que gestiona la interacción Humano-Sistema, y que en una aplicación web típica es el navegador de Internet. El segundo de los niveles es donde reside la lógica de la aplicación. Estacorrerá sobre los servidores web y los servidores de aplicaciones, que haciendo uso de diferentes tecnologías podrán generar conocimiento o procesar información con un fin concreto. Por último tendríamos el almacén de datos, es decir, el repositorio de la información donde se guarda el conocimiento de una organización. Este repositorio puede estar implementado por un árbol LDAP, una base de datosrelacional, un almacén con datos en XML o un simple fichero de datos. Existe una conexión entre cada uno de los niveles adyacentes. El usuario, a través de la información que envía por el navegador de Internet, interactúa con el servidor web y, a su vez, la lógica de la aplicación interactúa con el almacén de datos para leer y escribir información en el sistema. Por supuesto, cada interacción tienesus conjuntos de protocolos y lenguajes. Así, entre el nivel de interfaz y el nivel de lógica de aplicación se pueden utilizar protocolos como http o https para enviar la información, mientras que entre el servidor web y los repositorios de datos se lanzarán consultas en lenguajes propios sobre protocolos de red creados específicamente para esta función. Por ejemplo, si el repositorio es un árbolLDAP, la lógica de la aplicación lanzará consultas LDAP con filtros de búsqueda LDAP. Si fuera una base de datos relacional se utilizará consultas en lenguaje SQL sobre protocolos como Tabular Data Stream u Oracle Net, y en el caso de un repositorio en formato XML se utilizarán consultas XPath.
BERNARDO
¡Qué interesante! Por tanto, ante la pregunta ¿cómo es posible que un atacante extraigainformación de un sistema informático con una aplicación web?, la respuesta parece bastante clara. Lo más probable es que haya un fallo de seguridad en el código de esa aplicación web. Actualmente, según la conocida organización OWASP (Open Web Application Security Project) los 10 vectores de ataque más probables a estas aplicaciones son: A1: Injection, A2: Cross-Site Scripting (XSS), A3: Broken...
ESCENA 1. ARQUITECTURA BÁSICA DE UNA APLICACIÓN WEB. INCIDENTES DE SEGURIDAD ALICIA
Muchos internautas se preguntarán cómo es posible que un atacante pueda tener acceso a información sensible de una empresa, que no está publicada enInternet, a través de su página web, por ejemplo su base de datos o modificar los valores mostrados en ella. La respuesta técnica es mucho más sencilla de lo que se puede suponer a priori.
BERNARDO
Efectivamente. Aunque el servidor de bases de datos donde se almacena la información de la empresa se encuentre detrás de una serie de firewalls u otros mecanismos de protección, existe un canal decomunicaciones entre el servidor web y el servidor de bases de datos que es
Guión intypedia007es 1
lo que el atacante utiliza para llegar hasta los datos guardados. Alicia, ¿nos describes un poco la arquitectura básica de una aplicación web que utiliza una base de datos?
ALICIA
Por supuesto, vamos a ello. Aunque una aplicación web puede ser tan compleja como necesite el sistema, lasaplicaciones típicas tienen la siguiente estructura. En ella se puede ver que hay tres niveles claramente diferenciados por sus funciones. El primero de ellos es el encargado del interfaz de usuario, es decir, la parte que gestiona la interacción Humano-Sistema, y que en una aplicación web típica es el navegador de Internet. El segundo de los niveles es donde reside la lógica de la aplicación. Estacorrerá sobre los servidores web y los servidores de aplicaciones, que haciendo uso de diferentes tecnologías podrán generar conocimiento o procesar información con un fin concreto. Por último tendríamos el almacén de datos, es decir, el repositorio de la información donde se guarda el conocimiento de una organización. Este repositorio puede estar implementado por un árbol LDAP, una base de datosrelacional, un almacén con datos en XML o un simple fichero de datos. Existe una conexión entre cada uno de los niveles adyacentes. El usuario, a través de la información que envía por el navegador de Internet, interactúa con el servidor web y, a su vez, la lógica de la aplicación interactúa con el almacén de datos para leer y escribir información en el sistema. Por supuesto, cada interacción tienesus conjuntos de protocolos y lenguajes. Así, entre el nivel de interfaz y el nivel de lógica de aplicación se pueden utilizar protocolos como http o https para enviar la información, mientras que entre el servidor web y los repositorios de datos se lanzarán consultas en lenguajes propios sobre protocolos de red creados específicamente para esta función. Por ejemplo, si el repositorio es un árbolLDAP, la lógica de la aplicación lanzará consultas LDAP con filtros de búsqueda LDAP. Si fuera una base de datos relacional se utilizará consultas en lenguaje SQL sobre protocolos como Tabular Data Stream u Oracle Net, y en el caso de un repositorio en formato XML se utilizarán consultas XPath.
BERNARDO
¡Qué interesante! Por tanto, ante la pregunta ¿cómo es posible que un atacante extraigainformación de un sistema informático con una aplicación web?, la respuesta parece bastante clara. Lo más probable es que haya un fallo de seguridad en el código de esa aplicación web. Actualmente, según la conocida organización OWASP (Open Web Application Security Project) los 10 vectores de ataque más probables a estas aplicaciones son: A1: Injection, A2: Cross-Site Scripting (XSS), A3: Broken...
Leer documento completo
Regístrate para leer el documento completo.