Web 2.0
Páginas: 19 (4616 palabras)
Publicado: 15 de mayo de 2011
Conceptos generales de la seguridad en la WEB 2.0.
Como lo indica claramente la página WEB de OWASP[1], existen dos tipos de organizaciones (en las cuales incorporamos a las personas individuales) en relación al tema de la seguridad de TI, aquellas que no saben que sus aplicaciones son inseguras y aquellas que si lo han internalizado. Como se indica en las trasparencias de clases del ProfesorR. Monge[2] las principales razones de la existencia de riesgos en la WEB se deben a que las “máquinas conectadas a la red no se pueden defender de ataques de denegación de servicio; los programas corriendo como clientes o servidores son muy complicados para ser confiables, o sea pueden esconder código oculto y no controlable; los Hackers intentan cada día encontrar nuevas fallas, y tienen éxito;los protocolos básicos de Internet (por ejemplo DNS, SMTP y TCP/IP) fueron diseñados originalmente bajo la premisa que los computadores y los usuarios en red trabajarían en forma cooperativa en vez de actuar como adversarios; los browsers (navegadores) debido a sus requerimientos funcionales están constantemente recuperando datos de la Internet y por lo tanto actúan en base a éstos, por ejemplousan datos externos (que pueden ser maliciosos) como entrada de sus aplicaciones y adicionalmente cada día con mayor frecuencia existen empresas interesadas en usar Internet como medio para promocionar sus productos, y en función de ello algunos browsers están entregando más información de lo que el usuario tiene consciencia (salvo hasta el momento de hacerse la pregunta ¿por qué me está llegandoesta información a través de la WEB, y que yo no he solicitado?) En este aspecto es conveniente destacar a organizaciones tales como la OWASP que están intentando sensibilizar y cooperar en el tema de la seguridad de TI, pero sin ningún compromiso o presión de tipo comercial. Esta comunidad la integran empresas, organizaciones educativas y particulares de todo mundo que trabajan proponiendoartículos, metodologías, documentación, herramientas y tecnologías que pueden ser usadas gratuitamente; se estima que por esta forma de trabajo su información es imparcial, muy práctica y aterrizada a las reales necesidades del entorno y del mercado en desarrollo. Debido a que se considera de gran relevancia el trabajo de esta organización, la que está abierta a todo tipo de usuario, a continuación sedestacan los productos del ámbito de la documentación y de las aplicaciones que tienen disponibles, estimándose que son un gran aporte a la comunidad involucrada en las TI. A través de esta guía abierta se puede acceder a información y aplicaciones más específicas de seguridad. Lo actualmente disponible es:
• En cuanto a los proyectos de documentación: Guía OWASP –documento que proporciona unaguía detallada sobre la seguridad de las aplicaciones web; OWASP Top 10 – documento que se describirá en forma más detallada más adelante y que se centra sobre las vulnerabilidades actuales más críticas de las aplicaciones web; Métricas – proyecto para definir métricas aplicables de seguridad de aplicaciones web; Legal – proyecto para ayudar a los vendedores y compradores de software a negociaradecuadamente los aspectos de seguridad en sus contratos; Guía de pruebas – guía que apoya la prueba efectiva de la seguridad de aplicaciones web; ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO 17799; AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.
• En cuanto a los proyectos de aplicaciones, éstos incluyen: WebScarab –aplicación de verificación de vulnerabilidades de aplicaciones web incluyendo herramientas proxy; Filtros de validación (Stinger para J2EE, filters para PHP) – Filtros genéricos de seguridad perimetral que los desarrolladores pueden usar en sus propias aplicaciones; WebGoat –herramienta interactiva de formación para que los usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal;...
Como lo indica claramente la página WEB de OWASP[1], existen dos tipos de organizaciones (en las cuales incorporamos a las personas individuales) en relación al tema de la seguridad de TI, aquellas que no saben que sus aplicaciones son inseguras y aquellas que si lo han internalizado. Como se indica en las trasparencias de clases del ProfesorR. Monge[2] las principales razones de la existencia de riesgos en la WEB se deben a que las “máquinas conectadas a la red no se pueden defender de ataques de denegación de servicio; los programas corriendo como clientes o servidores son muy complicados para ser confiables, o sea pueden esconder código oculto y no controlable; los Hackers intentan cada día encontrar nuevas fallas, y tienen éxito;los protocolos básicos de Internet (por ejemplo DNS, SMTP y TCP/IP) fueron diseñados originalmente bajo la premisa que los computadores y los usuarios en red trabajarían en forma cooperativa en vez de actuar como adversarios; los browsers (navegadores) debido a sus requerimientos funcionales están constantemente recuperando datos de la Internet y por lo tanto actúan en base a éstos, por ejemplousan datos externos (que pueden ser maliciosos) como entrada de sus aplicaciones y adicionalmente cada día con mayor frecuencia existen empresas interesadas en usar Internet como medio para promocionar sus productos, y en función de ello algunos browsers están entregando más información de lo que el usuario tiene consciencia (salvo hasta el momento de hacerse la pregunta ¿por qué me está llegandoesta información a través de la WEB, y que yo no he solicitado?) En este aspecto es conveniente destacar a organizaciones tales como la OWASP que están intentando sensibilizar y cooperar en el tema de la seguridad de TI, pero sin ningún compromiso o presión de tipo comercial. Esta comunidad la integran empresas, organizaciones educativas y particulares de todo mundo que trabajan proponiendoartículos, metodologías, documentación, herramientas y tecnologías que pueden ser usadas gratuitamente; se estima que por esta forma de trabajo su información es imparcial, muy práctica y aterrizada a las reales necesidades del entorno y del mercado en desarrollo. Debido a que se considera de gran relevancia el trabajo de esta organización, la que está abierta a todo tipo de usuario, a continuación sedestacan los productos del ámbito de la documentación y de las aplicaciones que tienen disponibles, estimándose que son un gran aporte a la comunidad involucrada en las TI. A través de esta guía abierta se puede acceder a información y aplicaciones más específicas de seguridad. Lo actualmente disponible es:
• En cuanto a los proyectos de documentación: Guía OWASP –documento que proporciona unaguía detallada sobre la seguridad de las aplicaciones web; OWASP Top 10 – documento que se describirá en forma más detallada más adelante y que se centra sobre las vulnerabilidades actuales más críticas de las aplicaciones web; Métricas – proyecto para definir métricas aplicables de seguridad de aplicaciones web; Legal – proyecto para ayudar a los vendedores y compradores de software a negociaradecuadamente los aspectos de seguridad en sus contratos; Guía de pruebas – guía que apoya la prueba efectiva de la seguridad de aplicaciones web; ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO 17799; AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.
• En cuanto a los proyectos de aplicaciones, éstos incluyen: WebScarab –aplicación de verificación de vulnerabilidades de aplicaciones web incluyendo herramientas proxy; Filtros de validación (Stinger para J2EE, filters para PHP) – Filtros genéricos de seguridad perimetral que los desarrolladores pueden usar en sus propias aplicaciones; WebGoat –herramienta interactiva de formación para que los usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal;...
Leer documento completo
Regístrate para leer el documento completo.