Nombre: Borbor Vera Gabriel Nivel: Octavo Semestre Fecha: 02-Mayo-2014 Materia: Programacin Web II RESUMEN Vulnerabilidades de Aplicaciones Web 6.- Exposicin de datos Sensibles Muchas veces los desarrolladores de pginas, sitios, aplicaciones Web no se preocupan por la debida proteccin de datos importantes y sensibles de los usuarios dentro de estas, como por ejemplo los nmeros de una tarjeta de crdito, cuenta bancaria, cedulas de identidad. Estos datos por ser datos personales del usuario requieren de mtodos y recursos de seguridad, adems tambin se deben tomar precauciones en la forma como estos datos se envan desde el navegador.
Vulnerabilidades Una aplicacin puede ser vulnerable para el atacante en este mbito cuando estos datos sensibles no se encuentran encriptados en la aplicacin, tambin si no se utiliza SSL para proteger todo el trfico relacionado con la autenticacin, si no se establecen polticas de seguridad y privacidad sobre quienes pueden ver la informacin dentro de la aplicacin, si no se estandariza un mtodo de encriptamiento.
Prevenciones Utilizar mtodos de encriptamiento para todos los datos de inters personal y privado de los usuarios, as como tambin encriptar todos los datos que se envan como parmetros dentro de una url. Aplicar algoritmos de cifrados fuertes en la aplicacin. Evitar el almacenamiento de datos sensibles innecesarios.
9.- Uso de componentes con vulnerabilidades conocidas
Se refiere al uso de componentes como libreras, frameworks y otros mdulos de software que en muchas ocasio9nes funcionan con todos los privilegios. Si se ataca uno de estos componentes vulnerables el atacante podra tener acceso al servidor e incluso ocasionar una prdida de datos. Las aplicaciones de hoy en da sulen utilizar un montn de libreras, las cuales se ejecutan con un privilegio total en la aplicacin. Un atacante puede obtener informacin a travs de escaneos o anlisis manuales o utilizar la informacin sensible expuesta para descubrir y explotar vulnerabilidades conocidas en los componentes que utilice la aplicacin.
Ejemplos de ataques Un ataque de estos se dio en la empresa Apache, debido a que no otorgaba un token de identidad, los atacantes podan invocar cualquier servicio web con todos los permisos. Apache CXF es un framework de servicio.
Prevenciones Una manera de prevenir este ataque es no usar componentes que no se han codificado. La mayora de los proyectos de componentes no crean parches de vulnerabilidades de las versiones ms antiguas, la mayora de los desarrolladores sencillamente corrige el problema en la versin siguiente. Por lo tanto, actualizar a esta nueva versin es crtico. Revisar la seguridad del componente en bases de datos pblicas, lista de correos del proyecto, y lista de correo de seguridad, y mantenerlos actualizados. Establecer polticas de seguridad para regular el uso de componentes.
7.- Redirecciones y Reenvos no validos
Las aplicaciones web muchas veces reenvan y redirigen a los usuarios hacia otras pginas web que utilizan datos no confiables para determinar la pgina de destino. Sin una validacin adecuada los usuarios podran ser dirigidos hacia una pgina de pishing o malvare con intenciones maliciosas.
Vulnerabilidades Los atacantes se aprovechan de otras vulnerabilidades para inyectar cdigo malicioso, o clonar la pgina, o utilizar los objetos como formularios, botones, etiquetas de las aplicaciones para redirigir a los usuarios a pginas maliciosas. Adems, los atacantes se valen del pishing y el scam para realizar estos ataques. Pishing: Delito informtico en el que el atacante se vale de la ingeniera social para llegar al usuarios, estos se hacen pasar por personas o empresas de confianza del usuarios para obtener informacin de la vctima por medio de contacto a travs de e-mails, llamadas telefnicas, mensajera instantnea e incluso a travs de llamadas telefnicas.
Scam: Estafa informtica en la cual el atacante se vale de la clonacin de pginas de confianza del usuario para obtener informacin, o valerse de anuncios en la web, contacto electrnico o telefnico engaado a la vctima con temas de que este ha ganado la lotera, o donaciones, o que se ha ganado un premio para obtener informacin del usuario.
Prevenciones
Desarrollador: Evitar en lo que sea posible la redireccin y el reenvos otras pginas dentro de la aplicacin, o sino revisar el cdigo y los elementos objetos de reenvos y verificar que estos solo tengan un destino nico hacia otra pgina o recurso vlido dentro de la aplicacin. Encriptar todos lo parmetros que se envan a travs de la url. Cifrar los cdigos dentro de la aplicacin.
Usuarios Contar con un antivirus y firewall debidamente configurados y activados. Evitar dar informacin personal a travs de la web o contacto telefnico, y ms si se tratan de personas extraas.