Los sitios web y aplicaciones web son sistemas empresariales de misión crítica que deben funcionar sin problemas de seguridad para procesar datos confidenciales empresariales. Por los motivos de las normas de protección de datos personales, empresas deben considerar seguridad para aplicaciones web. Existen evidencias estadísticas avaladas por empresas de seguridad de aplicaciones cual señalan que en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India; dos de cada tres empresas enfrentan riesgos y problemas de seguridad para aplicaciones web o seguridad en páginas web.
Consultores de auditoría de sitio web, clasifican los riesgos por el tipo de ataque. Usando el tipo de ataque como base es el método normalmente usado por empresas de seguridad de aplicaciones. La clasificación de riesgos de seguridad web es de excepcional valor para los desarrolladores de aplicaciones, ejecutivos de la empresa, profesionales de la seguridad o cualquier otro interesado en la auditoría de sitio web. Profesionales de TI normalmente aprenden sobre riesgos informáticos, ataques a nivel aplicación, auditoría de sitio web, seguridad web con ayuda de los cursos de seguridad web. En los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc hay varias empresas de seguridad de aplicaciones que proporcionan capacitaciones y cursos de seguridad web. Pero profesionales de las empresas deben tomar el curso de seguridad web que le enseña metodologías de revisión de seguridad independientes, guías de programación segura, normas internacionales, pruebas de seguridad web, metodologías de explotación, y ataques a nivel aplicación.
A continuación son algunos de ataques que afectan la seguridad de aplicaciones web:
Fuerza bruta
Fuerza bruta es un ataque automatizado de prueba y error, utilizado para adivinar los valores (usuarios, contraseña etc.) de los parámetros de la aplicación/pagina web. Normalmente gente usan contraseñas o claves criptográficas débiles que son fáciles de adivinar. Los hackers explotan esta vulnerabilidad de seguridad en páginas web usando un diccionario. Los hackers empiezan un bucle recorriendo el diccionario término a término, en búsqueda de la contraseña válida. Según los expertos de servicios de seguridad en aplicaciones web, el ataque de fuerza bruta es muy popular y pueden llevar a cabo horas, semanas o años en completarse. Con auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a fuerza bruta.
Autenticación incompleta y débil validación
Autenticación incompleta es un ataque cuando un hacker accede alguna funcionalidad sensible de la aplicación sin tener que autenticarse completamente. En este ataque un hacker podría descubrir URL específica de la funcionalidad sensible través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin), mensajes de error etc. Normalmente muchas aplicaciones, páginas web no tienen seguridad y usan las técnicas de seguridad para aplicaciones convencionales. En un ataque de validación débil el atacante pueda obtener, modificar o recuperar los datos, contraseñas de otros usuarios. Esto ocurre cuando los datos requeridos para validar la identidad de los usuarios, son fácilmente predecible o puedan ser falsificadas. Acuerdo con los consultores de empresas de seguridad de aplicaciones, el proceso de validación de datos es una parte importante de las aplicaciones y las empresas deben implementar soluciones de seguridad para aplicaciones. Además con la auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a autenticación incompleta y débil validación.
Autorización insuficiente
Autorización insuficiente significa que un usuario tiene acceso a los partes sensibles de la aplicación/ sitio web que deberían requerir un aumento de restricciones de control de acceso. Sin algunas medidas de seguridad para aplicaciones, el ataque de autorización insuficiente podría ser muy dañoso. En el ataque de autorización insuficiente, un usuario autenticado podría controlar todo la aplicación o contenido de la página web. Recomendaciones del curso de seguridad web dicen que las aplicaciones deben tener políticas de acceso, modificación y prudentes restricciones deben guiar la actividad de los usuarios dentro de la aplicación.
Secuestro de sesión
En el ataque de secuestro de sesión un hacker podría deducir o adivinar el valor de sesión id y después puede utilizar ese valor para secuestrar la sesión de otro usuario. Si un hacker es capaz de adivinar la ID de sesión de otro usuario, la actividad fraudulenta es posible. Esto podría permitir a un hacker usar el botón atrás del navegador para acceder las páginas accedidas anteriormente por la víctima. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Por esta razón es muy importante tener seguridad para aplicaciones.
Otro problema por seguridad para aplicaciones es la expiración de sesión incompleta, según consultores de empresas de seguridad de aplicaciones. Esto se resulte cuando una página web permite reutilización de credenciales de sesión antigua. La expiración de sesión incompleta incrementa la exposición de las páginas web para que los hackers roben o se secuestren sesión.
La fijación de sesión es otra técnica utilizada por secuestro de sesión, según consultores de empresas de seguridad de aplicaciones. Cuando fuerza un ID de sesión de usuario a un valor explícito, el hacker puede explotar esto para secuestrar la sesión. Posteriormente de que un ID de sesión de usuario ha sido fijado, el hacker esperará para usarlo. Cuando el usuario lo hace, el hacker usa el valor del ID de sesión fijado para secuestro de sesión. Las páginas web que usan las sesiones basadas en cookies sin ningún tipo de seguridad en páginas web, son las más fáciles de atacar. Normalmente la mayoría de ataques de secuestro de sesión tiene la fijación de cookie como motivo.
Sin servicios de seguridad en aplicaciones web contra la fijación de sesión, el hacker puede hacer mucho daño y robar datos confidenciales. Según recomendaciones del curso de seguridad web, el lógico para generar sesión ID, cookie y cada sesión ID deben ser mantenidos confidenciales. Empresas pueden aprender fácilmente durante el curso de seguridad web, mejores prácticas por prevenir secuestro de sesión y hacer programación segura de las aplicaciones.
Cross-site Scripting
Cuando un usuario visita una página web, el usuario espera que haber seguridad en página web y la página web le entregue contenido válido. Cross-site Scripting (XSS) es un ataque donde la víctima es el usuario. En el ataque de XSS, el hacker fuerza una página web a ejecutar un código suministrado en el navegador del usuario. Con este código el hacker tiene la habilidad de leer, modificar y transmitir datos sensibles accesibles por el navegador. Sin ningún tipo de seguridad en páginas web, un hacker podría robar cookie, secuestrar sesiones, abrir páginas de phishing, bajar malware y mucho más utilizando el ataque de XSS. Según expertos de servicios de seguridad en aplicaciones web, hay dos tipos de ataques XSS, persistentes y no persistentes. Ambos ataques pueden causar mucho daño a la reputación de la página web. Con ayuda de soluciones como auditoría de sitio web o cursos de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a cross-site scripting (XSS).
Desbordamiento de buffer
El desbordamiento de buffer es una vulnerabilidad común en muchos programas, que resulta cuando los datos escritos en la memoria exceden el tamaño reservado en el buffer. Los expertos de empresas de seguridad de aplicaciones, mencionan que durante un ataque de desbordamiento de buffer el atacante explota la vulnerabilidad para alterar el flujo de una aplicación y redirigir el programa para ejecutar código malicioso. Acuerdo con los profesores de cursos de seguridad web esta vulnerabilidad es muy común a nivel a sistema operativo del servidor de la aplicación y empresas pueden detectar durante la auditoría de sitio web y servidor web.
Inyección de código SQL
La inyección de código SQL, también conocido como SQL Injection es un ataque muy común y peligroso. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Este ataque explota las páginas web que usan SQL como base de datos y construyen sentencias SQL de datos facilitados por el usuario. En el ataque de inyección de código SQL, el hacker puede modificar una sentencia SQL. Con la explotación de la vulnerabilidad, el hacker puede obtener control total sobre la base de datos o también ejecutar comandos en el sistema. Acuerdo con la experiencia de los expertos de servicios de seguridad en aplicaciones web, las empresas pueden prevenir inyección de código SQL con ayuda de saneamiento de los datos facilitados por el usuario. Además empresas pueden detectar y resolver esta vulnerabilidad con la ayuda de auditoría de sitio web.
Indexación de directorio
En el ataque de indexación de directorio, un atacante puede acceder todos los ficheros del directorio en el servidor. Sin seguridad en páginas web, esto es equivalente a ejecutar un comando “ls” o “dir”, mostrando los resultados en formato HTML. La información de un directorio podría contener información que no se espera ser vista de forma pública. Además un hacker puede encontrar la información sensible en comentarios HTML, mensajes de error y en código fuente. Acuerdo con la experiencia de consultores de empresa de seguridad de aplicaciones, la indexación de directorio puede permitir una fuga de datos que proporcione a un hacker los datos para lanzar un ataque avanzado.
Path Traversal
En el ataque de Path Traversal, un hacker accede los ficheros, directorios y comandos que residen fuera del directorio “root” de la web. Muchos sitios empresariales sin seguridad en páginas web son susceptibles a este ataque. Con acceso a estos directorios, un atacante puede tener accesos a los ejecutables necesarios para realizar la funcionalidad de la aplicación web e información confidencial de usuarios. En el ataque de path traversal un hacker puede manipular una URL de forma que la página web ejecutará o revelará el contenido de ficheros ubicados en cualquier lugar del servidor web. Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a Path Traversal.
Denegación de servicio
En un ataque de denegación de servicio (DoS), el motivo es impedir que una página web/ aplicación puede funcionar normalmente y sirva la actividad habitual a los usuarios. Los ataques DoS intentan dilapidar todos los recursos disponibles tales como: CPU, memoria, espacio de disco, ancho de banda etc. Cuando estos recursos lleguen un consumo máximo, la aplicación web pasará a estar inaccesible. Según los expertos de servicios de seguridad en aplicaciones web hay diferentes tipos de ataques DoS, como a nivel red, nivel dispositivo, nivel aplicación y de diferentes fuentes (DDoS). Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente los riesgos relacionados a denegación de servicio.
Estos son algunos de los ataques cibernéticos sobre aplicaciones web. Los servicios de seguridad en aplicaciones web y los cursos de seguridad web deben permitir identificar, resolver los riesgos asociados a las aplicaciones web de su organización. La metodología de seguridad para páginas web/ aplicaciones web debe ser muy diferente de metodología tradicional de empresas de seguridad de aplicaciones. La metodología de seguridad para páginas web/ aplicaciones web debe estar basada en un proceso de pruebas manual y automatizadas por medio de scripts propias, revisión de códigos, herramientas propietarias, comerciales y de código abierto que identifica todos los tipos de vulnerabilidades.
Fuente:https://www.iicybersecurity.com/seguridad-para-aplicaciones-web.html
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
