SEGURIDAD EN UNA APLICACIÓN WEB
Páginas: 7 (1630 palabras)
Publicado: 4 de febrero de 2015
SEGURIDAD EN UNA APLICACIÓN WEB
Riesgos inherentes al entorno Web
Se ha comprobado que en los últimos años, 75% o más de los ataques electrónicos fueron a nivel de aplicación (y no a nivel de host o de red).
Blancos atractivos.
Todo tipo de transacciones se realizan actualmente en la web, y cada vez en mayor proporción. Detalles de cuentas bancarias, tarjetas de crédito y todo tipo deinformación confidencial y de valor circulan en enormes cantidades y continuamente. Es por ende lógico que la mayoría de los esfuerzos de hackers y demás atacantes se centre en vulnerar estas aplicaciones.
Presiones de negocio
La variedad y complejidad de los requerimientos de usuarios finales continúa creciendo, y con ellos aumenta la complejidad de las aplicaciones, la cantidad de funcionalidades yfases de testeo. Esto sumado al incremento en la competencia y en la necesidad de superarla en el time-to-market, implican sacrificios importantes en los aspectos no-funcionales de la aplicación y específicamente en los aspectos de seguridad. Especialmente cuando no existe una conciencia de seguridad a nivel corporativo, se tiende a generar una alta presión para terminar el trabajo sin considerarsuficientemente las posibles vulnerabilidades.
Debilidades de HTTP.
Las aplicaciones web están en parte definidas por su uso del protocolo HTTP como medio de comunicación entre cliente y servidor. Este protocolo:
Es simple y basado en ASCII - no se requiere gran esfuerzo para generar pedidos y descifrar el contenido de las respuestas.
Utiliza un puerto TCP bien conocido – de poco sirve unfirewall para proteger una aplicación si tiene que admitir el tráfico a través del puerto 80
No mantiene por sí mismo el estado de la sesión – un atacante no tiene que emular mecanismos de mantenimiento de sesión, basta con emitir un request para lograr el cometido. Mecanismos como el uso de cookies permiten simular una sesión virtual intercambiando información adicional en cada request/response,pero no son efectivas si no se las implementa bien, e introducen problemas adicionales de seguridad y privacidad.
Existen muchas excepciones y variantes adicionales a estos elementos; en particular se utiliza ampliamente SSL como protocolo de encriptación a nivel de transporte en las comunicaciones cliente-servidor.
Mitos sobre la seguridad web
El usuario solamente enviará entradas esperadas -HTML admite el uso de tags que manipulan la entradas a la aplicación, por ejemplo si la aplicación utiliza campos ocultos para enviar información sensible estos pueden ser fácilmente manipulados desde el cliente.
La validación se puede realizarse únicamente del lado del cliente con JavaScript - si no se efectúa ninguna validación del lado del servidor, cualquier atacante que evite esta validación(para nada difícil de lograr) tendrá acceso total a toda la aplicación.
El uso de firewalls es suficiente - como explicamos anteriormente, si el firewall tiene que habilitar los puertos 80 y/o 443 para que la aplicación sea accesible al exterior, no podrá hacer nada para detectar entradas maliciosas del cliente, y por supuesto no es protección contra ataques internos.
El uso de SSL es unasolución suficiente - SSL simplemente cubre el request/response HTTP dificultando la intercepción del tráfico entre cliente y servidor, pero no agrega seguridad al servidor ni evita el envío de código malicioso desde el cliente.
Amenazas comunes
Los múltiples ataques externos a los que puede estar expuesto un sitio web son usualmente clasificados en 6 categorías principales. Indicaremos cada una ylos tipos de ataques más típicos que incluyen, y a continuación describiremos en mayor detalle cuatro de ellos.
Autenticación: son las que explotan el método de validación de la identidad de un usuario, servicio o aplicación
Fuerza Bruta
Autenticación insuficiente
Débil validación de recuperación de Password
Autorización: explotan el mecanismo de un sitio web de determinar si un usuario o...
Riesgos inherentes al entorno Web
Se ha comprobado que en los últimos años, 75% o más de los ataques electrónicos fueron a nivel de aplicación (y no a nivel de host o de red).
Blancos atractivos.
Todo tipo de transacciones se realizan actualmente en la web, y cada vez en mayor proporción. Detalles de cuentas bancarias, tarjetas de crédito y todo tipo deinformación confidencial y de valor circulan en enormes cantidades y continuamente. Es por ende lógico que la mayoría de los esfuerzos de hackers y demás atacantes se centre en vulnerar estas aplicaciones.
Presiones de negocio
La variedad y complejidad de los requerimientos de usuarios finales continúa creciendo, y con ellos aumenta la complejidad de las aplicaciones, la cantidad de funcionalidades yfases de testeo. Esto sumado al incremento en la competencia y en la necesidad de superarla en el time-to-market, implican sacrificios importantes en los aspectos no-funcionales de la aplicación y específicamente en los aspectos de seguridad. Especialmente cuando no existe una conciencia de seguridad a nivel corporativo, se tiende a generar una alta presión para terminar el trabajo sin considerarsuficientemente las posibles vulnerabilidades.
Debilidades de HTTP.
Las aplicaciones web están en parte definidas por su uso del protocolo HTTP como medio de comunicación entre cliente y servidor. Este protocolo:
Es simple y basado en ASCII - no se requiere gran esfuerzo para generar pedidos y descifrar el contenido de las respuestas.
Utiliza un puerto TCP bien conocido – de poco sirve unfirewall para proteger una aplicación si tiene que admitir el tráfico a través del puerto 80
No mantiene por sí mismo el estado de la sesión – un atacante no tiene que emular mecanismos de mantenimiento de sesión, basta con emitir un request para lograr el cometido. Mecanismos como el uso de cookies permiten simular una sesión virtual intercambiando información adicional en cada request/response,pero no son efectivas si no se las implementa bien, e introducen problemas adicionales de seguridad y privacidad.
Existen muchas excepciones y variantes adicionales a estos elementos; en particular se utiliza ampliamente SSL como protocolo de encriptación a nivel de transporte en las comunicaciones cliente-servidor.
Mitos sobre la seguridad web
El usuario solamente enviará entradas esperadas -HTML admite el uso de tags que manipulan la entradas a la aplicación, por ejemplo si la aplicación utiliza campos ocultos para enviar información sensible estos pueden ser fácilmente manipulados desde el cliente.
La validación se puede realizarse únicamente del lado del cliente con JavaScript - si no se efectúa ninguna validación del lado del servidor, cualquier atacante que evite esta validación(para nada difícil de lograr) tendrá acceso total a toda la aplicación.
El uso de firewalls es suficiente - como explicamos anteriormente, si el firewall tiene que habilitar los puertos 80 y/o 443 para que la aplicación sea accesible al exterior, no podrá hacer nada para detectar entradas maliciosas del cliente, y por supuesto no es protección contra ataques internos.
El uso de SSL es unasolución suficiente - SSL simplemente cubre el request/response HTTP dificultando la intercepción del tráfico entre cliente y servidor, pero no agrega seguridad al servidor ni evita el envío de código malicioso desde el cliente.
Amenazas comunes
Los múltiples ataques externos a los que puede estar expuesto un sitio web son usualmente clasificados en 6 categorías principales. Indicaremos cada una ylos tipos de ataques más típicos que incluyen, y a continuación describiremos en mayor detalle cuatro de ellos.
Autenticación: son las que explotan el método de validación de la identidad de un usuario, servicio o aplicación
Fuerza Bruta
Autenticación insuficiente
Débil validación de recuperación de Password
Autorización: explotan el mecanismo de un sitio web de determinar si un usuario o...
Leer documento completo
Regístrate para leer el documento completo.