VULNERABILIDAD EN LA WEB
Páginas: 5 (1091 palabras)
Publicado: 28 de octubre de 2014
-851535-5187950012846059779000128524051117500129984530353000
1073785146050UNIVERSIDAD DEL VALLE DE PUEBLA
MAESTRÍA EN ADMINISTRACION DE TECNOLOGÍAS DE LA INFORMACIÓN
SEGURIDAD EN LA WEB
DR. DANIEL PÉREZ ROJAS
VULNERABILIDAD EN LA WEB
DANIEL ALEJANDRO CRUZ
JOSÉ LÁZARO GARCÍA CARAVEO
00UNIVERSIDAD DEL VALLE DE PUEBLA
MAESTRÍA EN ADMINISTRACION DE TECNOLOGÍAS DE LA INFORMACIÓN
SEGURIDADEN LA WEB
DR. DANIEL PÉREZ ROJAS
VULNERABILIDAD EN LA WEB
DANIEL ALEJANDRO CRUZ
JOSÉ LÁZARO GARCÍA CARAVEO
-3699510118427500-236601031686500-304228575755500
VULNERABILIDAD EN LA RED
Cross Site Scripting
Es un fallo de seguridad en sistemas de información web, que compromete la seguridad del usuario.
XSS es un ataque, que consiste en inyectar código, HTML y/o JavaScript en una aplicaciónweb, con el objetivo de que el usuario ejecute el código inyectado al momento de ejecutar la aplicación.
Esto se puede lograr por medio de campos de texto de formularios o por medio de la URL.
Para poder evitar este tipo de ataque en la web, se debe:
Evitar que llegue el código HTML y/o JavaScript por medio del método Get o Post, es decir, se tiene que filtrar el código.
Procurar que losdatos viajen por Post en lugar de Get para evitar ataques por URL.
Hacer uso de navegadores modernos, ya que algunos tienen la capacidad de detectar casos donde se podría presentar vulnerabilidad.
Cross Site Request ForgeryEs prácticamente igual que XSS, salvo que este ataque se basa en explotar la confianza que un usuario tiene en un sitio web. El usuario es forzado a ejecutar acciones nodeseadas en una aplicación web en la cual se encuentra autenticado.
De ser exitoso, el CSRF puede comprometer la información del usuario y el comportamiento normal del usuario en la aplicación web. Si el usuario es administrador de la aplicación, se puede llegar a comprometer por completo al sistema.
Para evitar este tipo de vulnerabilidad en aplicaciones web, el programador debe:
Hacer que lassesiones espiren en un tiempo corto, que cuente con el tiempo suficiente para que el usuario realice la transacción que requiere.
Forzar a que el usuario termine la sesión de trabajo para que se evite que la sesión quede activa y hacer mal uso de ella.
Ocultar la URL en navegadores y códigos fuente de aplicaciones para evitar el mal uso.
Hacer que la composición de la URL sea compleja, es decir,cifrar los datos que viajan a través de esta.
Inyección de Código
Consiste en insertar código que podría ser ejecutado por una aplicación. Un ejemplo podría ser, cuando se añade una cadena de caracteres en una cookie o los valores de un argumento en la URL. Este ataque hace uso de la falta de validación correcta de los datos, además que puede ser muchas veces peor que cualquier otravulnerabilidad, ya que la seguridad del sitio web y posiblemente del servidor, se ve comprometida.
Para evitarlo, basta hacer una programación ordenada, con el filtrado del código y con la inicialización de todas las variables.
SQL INJECTION
Un ataque de tipo SQL Injection, consiste en insertar una consulta SQL a través del intercambio de datos entre el usuario y la aplicación. Este ataque es ceapaz de leerdatos sensibles de la base de datos, modificar estos (Insert, Delete, Update), ejecutar operaciones como administrador, recuperar el contenido de un archivo dado que se encuentra en el Sistema de directorios del DBMS y en algunas ocasiones, ejecutar comandos en el sistema operativo.
FRAME INJECTION
Ataque que facilita la inyección de código no autorizado en un frame(ventana), de una página web.Este ataque podría permitir a un sitio malicioso, cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable.
Puede ser utilizado para la falsificación de sitios verdaderos(spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos.
XPATH INJECTION
Vulnerabilidad que radica en la modificación de los parámetros de búsqueda a la...
1073785146050UNIVERSIDAD DEL VALLE DE PUEBLA
MAESTRÍA EN ADMINISTRACION DE TECNOLOGÍAS DE LA INFORMACIÓN
SEGURIDAD EN LA WEB
DR. DANIEL PÉREZ ROJAS
VULNERABILIDAD EN LA WEB
DANIEL ALEJANDRO CRUZ
JOSÉ LÁZARO GARCÍA CARAVEO
00UNIVERSIDAD DEL VALLE DE PUEBLA
MAESTRÍA EN ADMINISTRACION DE TECNOLOGÍAS DE LA INFORMACIÓN
SEGURIDADEN LA WEB
DR. DANIEL PÉREZ ROJAS
VULNERABILIDAD EN LA WEB
DANIEL ALEJANDRO CRUZ
JOSÉ LÁZARO GARCÍA CARAVEO
-3699510118427500-236601031686500-304228575755500
VULNERABILIDAD EN LA RED
Cross Site Scripting
Es un fallo de seguridad en sistemas de información web, que compromete la seguridad del usuario.
XSS es un ataque, que consiste en inyectar código, HTML y/o JavaScript en una aplicaciónweb, con el objetivo de que el usuario ejecute el código inyectado al momento de ejecutar la aplicación.
Esto se puede lograr por medio de campos de texto de formularios o por medio de la URL.
Para poder evitar este tipo de ataque en la web, se debe:
Evitar que llegue el código HTML y/o JavaScript por medio del método Get o Post, es decir, se tiene que filtrar el código.
Procurar que losdatos viajen por Post en lugar de Get para evitar ataques por URL.
Hacer uso de navegadores modernos, ya que algunos tienen la capacidad de detectar casos donde se podría presentar vulnerabilidad.
Cross Site Request ForgeryEs prácticamente igual que XSS, salvo que este ataque se basa en explotar la confianza que un usuario tiene en un sitio web. El usuario es forzado a ejecutar acciones nodeseadas en una aplicación web en la cual se encuentra autenticado.
De ser exitoso, el CSRF puede comprometer la información del usuario y el comportamiento normal del usuario en la aplicación web. Si el usuario es administrador de la aplicación, se puede llegar a comprometer por completo al sistema.
Para evitar este tipo de vulnerabilidad en aplicaciones web, el programador debe:
Hacer que lassesiones espiren en un tiempo corto, que cuente con el tiempo suficiente para que el usuario realice la transacción que requiere.
Forzar a que el usuario termine la sesión de trabajo para que se evite que la sesión quede activa y hacer mal uso de ella.
Ocultar la URL en navegadores y códigos fuente de aplicaciones para evitar el mal uso.
Hacer que la composición de la URL sea compleja, es decir,cifrar los datos que viajan a través de esta.
Inyección de Código
Consiste en insertar código que podría ser ejecutado por una aplicación. Un ejemplo podría ser, cuando se añade una cadena de caracteres en una cookie o los valores de un argumento en la URL. Este ataque hace uso de la falta de validación correcta de los datos, además que puede ser muchas veces peor que cualquier otravulnerabilidad, ya que la seguridad del sitio web y posiblemente del servidor, se ve comprometida.
Para evitarlo, basta hacer una programación ordenada, con el filtrado del código y con la inicialización de todas las variables.
SQL INJECTION
Un ataque de tipo SQL Injection, consiste en insertar una consulta SQL a través del intercambio de datos entre el usuario y la aplicación. Este ataque es ceapaz de leerdatos sensibles de la base de datos, modificar estos (Insert, Delete, Update), ejecutar operaciones como administrador, recuperar el contenido de un archivo dado que se encuentra en el Sistema de directorios del DBMS y en algunas ocasiones, ejecutar comandos en el sistema operativo.
FRAME INJECTION
Ataque que facilita la inyección de código no autorizado en un frame(ventana), de una página web.Este ataque podría permitir a un sitio malicioso, cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable.
Puede ser utilizado para la falsificación de sitios verdaderos(spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos.
XPATH INJECTION
Vulnerabilidad que radica en la modificación de los parámetros de búsqueda a la...
Leer documento completo
Regístrate para leer el documento completo.