UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA

FACULTAD DE SISTEMAS Y TELECOMUNICACIONES

ESCUELA DE INFORMATICA


Nombre: Borbor Vera Gabriel
Nivel: Octavo Semestre
Fecha: 02-Mayo-2014
Materia: Programacin Web II
RESUMEN
Vulnerabilidades de Aplicaciones Web
6.- Exposicin de datos Sensibles
Muchas veces los desarrolladores de pginas, sitios, aplicaciones Web no
se preocupan por la debida proteccin de datos importantes y sensibles de
los usuarios dentro de estas, como por ejemplo los nmeros de una tarjeta
de crdito, cuenta bancaria, cedulas de identidad. Estos datos por ser
datos personales del usuario requieren de mtodos y recursos de
seguridad, adems tambin se deben tomar precauciones en la forma como
estos datos se envan desde el navegador.

Vulnerabilidades
Una aplicacin puede ser vulnerable para el atacante en este mbito
cuando estos datos sensibles no se encuentran encriptados en la
aplicacin, tambin si no se utiliza SSL para proteger todo el trfico
relacionado con la autenticacin, si no se establecen polticas de
seguridad y privacidad sobre quienes pueden ver la informacin
dentro de la aplicacin, si no se estandariza un mtodo de
encriptamiento.

Prevenciones
Utilizar mtodos de encriptamiento para todos los datos de inters
personal y privado de los usuarios, as como tambin encriptar todos los
datos que se envan como parmetros dentro de una url. Aplicar algoritmos
de cifrados fuertes en la aplicacin. Evitar el almacenamiento de datos
sensibles innecesarios.











9.- Uso de componentes con vulnerabilidades conocidas

Se refiere al uso de componentes como libreras, frameworks y otros
mdulos de software que en muchas ocasio9nes funcionan con todos los
privilegios. Si se ataca uno de estos componentes vulnerables el atacante podra
tener acceso al servidor e incluso ocasionar una prdida de datos.
Las aplicaciones de hoy en da sulen utilizar un montn de libreras, las cuales se
ejecutan con un privilegio total en la aplicacin. Un atacante puede obtener
informacin a travs de escaneos o anlisis manuales o utilizar la informacin
sensible expuesta para descubrir y explotar vulnerabilidades conocidas en los
componentes que utilice la aplicacin.


Ejemplos de ataques
Un ataque de estos se dio en la empresa Apache, debido a que no otorgaba un
token de identidad, los atacantes podan invocar cualquier servicio web con todos
los permisos. Apache CXF es un framework de servicio.


Prevenciones
Una manera de prevenir este ataque es no usar componentes que no se han
codificado. La mayora de los proyectos de componentes no crean parches de
vulnerabilidades de las versiones ms antiguas, la mayora de los desarrolladores
sencillamente corrige el problema en la versin siguiente. Por lo tanto, actualizar
a esta nueva versin es crtico.
Revisar la seguridad del componente en bases de datos pblicas, lista de correos
del proyecto, y lista de correo de seguridad, y mantenerlos actualizados.
Establecer polticas de seguridad para regular el uso de componentes.







7.- Redirecciones y Reenvos no validos

Las aplicaciones web muchas veces reenvan y redirigen a los usuarios
hacia otras pginas web que utilizan datos no confiables para determinar
la pgina de destino. Sin una validacin adecuada los usuarios podran ser
dirigidos hacia una pgina de pishing o malvare con intenciones
maliciosas.


Vulnerabilidades
Los atacantes se aprovechan de otras vulnerabilidades para inyectar cdigo
malicioso, o clonar la pgina, o utilizar los objetos como formularios,
botones, etiquetas de las aplicaciones para redirigir a los usuarios a
pginas maliciosas. Adems, los atacantes se valen del pishing y el scam
para realizar estos ataques.
Pishing: Delito informtico en el que el atacante se vale de la ingeniera
social para llegar al usuarios, estos se hacen pasar por personas o
empresas de confianza del usuarios para obtener informacin de la vctima
por medio de contacto a travs de e-mails, llamadas telefnicas, mensajera
instantnea e incluso a travs de llamadas telefnicas.

Scam: Estafa informtica en la cual el atacante se vale de la clonacin de
pginas de confianza del usuario para obtener informacin, o valerse de
anuncios en la web, contacto electrnico o telefnico engaado a la vctima
con temas de que este ha ganado la lotera, o donaciones, o que se ha
ganado un premio para obtener informacin del usuario.


Prevenciones

Desarrollador:
Evitar en lo que sea posible la redireccin y el reenvos otras pginas
dentro de la aplicacin, o sino revisar el cdigo y los elementos objetos de
reenvos y verificar que estos solo tengan un destino nico hacia otra
pgina o recurso vlido dentro de la aplicacin. Encriptar todos lo
parmetros que se envan a travs de la url. Cifrar los cdigos dentro de la
aplicacin.


Usuarios
Contar con un antivirus y firewall debidamente configurados y activados.
Evitar dar informacin personal a travs de la web o contacto telefnico, y
ms si se tratan de personas extraas.