1 Followers
25 Following
sundaystore12

sundaystore12

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Seguridad de Sitios Web

2:04 pm 17 July 2020

La Seguridad web require vigilancia en todos los aspectos del diseño y empleo de un sitio web. Este artículo introductorio no te hará un gurú de la seguridad en sitios web, pero te ayudará a comprender de donde vienen las amenazas y qué puedes hacer para robustecer tu aplicación web contra los ataques más comunes.


¿Qué es la seguridad de sitios?


¡Internet es un lugar peligroso! Con mucha frecuencia escuchamos sobre sitios web que dejan de estar disponibles debido a ataques de denegación de servicio, o presentan información cambiada (y con cierta frecuencia dañada) en sus páginas de inicio. En otros casos de alto nivel, millones de contraseñas, direcciones de correo electrónico y detalles de tarjetas de crédito han sido filtrados al dominio público, exponiendo a los usuarios del sitio web tanto a bochorno personal como a peligro finaciero.


El propóisto de la seguridad web es prevenir ataques de esta (o de cualquier otra) clase. Pero formalmente,
la seguridad es la acción/práctica de resguardar sitios del acceso, empleo, modificación, destrucción o bien interrupción, no autorizados.


La seguridad de sitios web eficiente precisa de esfuerzos de diseño a lo largo de la totalidad del lugar web: en tu aplicación web, en la configuración del servidor web, en tus políticas para crear y renovar contraseñas, y en el código del lado usuario. Al mismo tiempo que todo esto suena muy inquietante, la buena nueva es que si estás usando un framework web de lado servidor, es casi seguro que habilitará por defecto mecanismos de defensa robustos y bien pensados contra gran cantidad de los ataques más comunes. Otros ataques pueden mitigarse por medio de la configuración de tu servidor web, por servirnos de un ejemplo habilitando HTTPS. Finalmente, hay herramientas de escaneado de vulnerabilidades disponibles públicamente que pueden asistirte a averiguar si has cometido algún fallo obvio.


El resto de este artículo proporciona más detalle sobre unas pocas amenazas comunes y ciertos pasos simples que puedes dar para proterger tu lugar.



Nota: Este es un tema de introducción, diseñado para asistirte a meditar sobre la seguridad de sitios web. No pretende ser pormenorizado.


Amenazas contra la seguridad de sitios web


Esta sección lista sólo ciertas pocas de las amenazas más comunes para los sitios y cómo son mitigadas. A medida que vayas leyendo, fíjate cómo las amenazas tienen éxito cuando la aplicación web, ¡o confía o bien
no es suficientemente paranoicaacerca de los datos que vienen del explorador web!


Cross-Site Scripting (XSS)


XSS es un término que se usa para describir una clase de ataques que permiten al atacante inyectar scripts de lado cliente del servicio,
a travésdel sitio web, hasta los exploradores de otros usuarios. Como el código inyectado va del servidor del lugar al explorador, se supone de confianza, y de aquí que pueda hacer cosas como mandar al atacante la cookie de autorización al lugar del usuario. Una vez que el atacante tiene la cookie pueden comenzar sesión en el lugar tal y como si fuera el verdadero usuario y hacer cualquier cosa que pueda hacer éste. En dependencia de que sitio sea, esto podría incluir acceso a los detalles de su tarjeta de crédito, ver detalles de contactos o mudar contraseñas, etc.



Nota: Las vulnerabilidades XSS han sido históricamente más comunes que las de cualquier otro tipo.


Hay desarrollo de paginas web para empresas madrid — se conocen como vulnerabilidades XSS
reflejadasy
persistentes.


  • Una vulnerabilidad XSS
    reflejadaocurre cuando contenido del usuario que se pasa al servidor se devuelve
    inmediatamente y sin modificarpar que los muestre el explorador — ¡cualquier script en el contenido original del usuario se ejecutará cuando se cargue una nueva página!

    Por ejemplo, considera una función de búsqueda en un lugar donde los términos de búsqueda están codificados como parámetros URL y estos términos se presentan junto con los resultados. Un atacante puede edificar un link de búsqueda que contenga un script malicioso como parámetro (ej.
    ?q=beer<script por cien 20src="/tricky.js"></script>) y mandarlo como enlace en un correo electrónico a otro usuario: Si el receptor pincha en este "enlace interesante", el script se ejecutará cuando se muestren en pantalla los resultados de la búsqueda. Como discutimos arriba, ésto da al atacante toda la información que necesita para entrar en el sitio como si fuera el usuario destinatario — realizando compras potencialmente tal y como si fuera el usuario o bien compartiendo su información de contactos.
  • Una vulnerabilidad
    XSS persistentees aquella en la que el script malicioso se
    almacenaen el sitio y luego más tarde se vuelve a presentar en pantalla sin modificar a fin de que otros usuarios lo ejecuten de manera involuntaria. Por servirnos de un ejemplo, un foro de discusión que accepta comentarios que contengan HTML sin alterar, podría almacenar un script malicioso de un atacante. Cuando se muestren los comentarios se ejecutará el script y enviará al atacante la información requerida para acceder a la cuenta del usuario. Esta clase de ataque es extremadamente popular y muy potente, pues el atacante no tiene que tener ninguna relación directa con las víctimas.

    Si bien los datos
    POSTo
    GETson las fuentes más comunes de vulnerabilidades, cualquier dato del explorador es frágil potencialmente (incluyendo los datos de cookies renderizados por el explorador, o los ficheros de los usuarios que éste sube o que se muestran).



Si bien los datos
POSTo
GETson las fuentes más comunes de vulnerabilidades, cualquier dato del explorador es frágil potencialmente (incluyendo los datos de cookies renderizados por el explorador, o bien los ficheros de los usuarios que éste sube o que se muestran).


La mejor defensa contra las vulnerabilidades XSS es quitar o bien deshabilitar cualquier etiqueta que pueda contener instrucciones para ejecutar código. En el caso del HTML ésto incluye etiquetas como
<script>,
<object>,
<embed>, y
<link>.


El proceso de modificar los datos del usuario de forma que no puedan emplearse para ejecutar scripts o que afecten de otra manera la ejecución del código del servidor, se conoce como "desinfección de entrada" (input sanitization). Muchos frameworks web desinfectan automáticamente la entrada del usuario desde formularios HTML, por defecto.


Inyección SQL


Las vulnerabilidades de Inyección SQL habilitan que usuarios maliciosos ejecuten código SQL arbitrario en una base de datos, dejando que se pueda acceder a los datos, se puedan alterar o bien borrar, con independencia de los permisos del usuario. Un ataque de inyección con éxito, podría falsificar identidades, crear nuevas identidades con derechos de administración, acceder a todos y cada uno de los datos en el servidor o bien destruir/modificar los datos para hacerlos inutilizables.


Esta vulnerabilidad está presente si la entrada del usuario que se pasa a la sentencia SQL latente puede cambiar el significado de exactamente la misma. Por ejemplo, considera el código de abajo, que pretende listar todos y cada uno de los usuarios con un nombre en particular (
userName) que ha sido suministrado en un formulario HTML:


Si el usuario introduce su nombre real, la cosa funciona como se pretende. Sin embargo un usuario malicioso podría cambiar totalmente el comportamiento de esta sentencia SQL a la nueva sentencia de abajo, sencillamente especificando para
userNameel texto de abajo en "
negrilla". diseño web corporativo oviedo sentencia modificada crea una sentencia SQL válida que borra la tabla
usersy selecciona todos los datos de la tabla
userinfo(revelando la información de todos los usuarios). Esto marcha por que la primera parte del texto inyectado (
a';) completa la sentencia original (' es el símbolo para señalar una cadena textual en SQL).


La forma de eludir esta clase de ataque es asegurar que cualquier dato de usuario que se pasa a un query SQL no puede cambiar la naturaleza del mismo. Una forma de hacer ésto estodos los caracteres en la entrada de usuario que tengan un significado singular en SQL.



Nota: La sentencia SQL trata el caracer ' como el principio y el final de una cadena de texto. Colocando el caracter barra invertida delante, "eludimos" el símbolo ('), y le decimos a SQL que lo trate como un carácter de texto (como una parte de exactamente la misma cadena).


En la sentencia de abajo evitamos el carácter '. SQL interpretará ahora como "nombre" la cadena de texto completa mostrada en negrilla (!un nombre rarísimo desde entonces, pero no dañino¡)


Los frameworks web con frecuencia tienen cuidado de hacer por tí la elusión de caracteres. Django, por ejemplo se asegura que cualquier dato de usuario que se pasa a los conjuntos de queries (modelo de queries) está corregido.



Nota: Esta sección se sosten aquí en la información de.


Cross Site Request Forgery (CSRF)


Los ataques de CSRF permiten que un usuario malicioso ejecute acciones utilizando las credenciales de otro usuario sin el conocimiento o permiso de éste. analizar palabras clave /p>

Este tipo de ataque se explica mejor con un ejemplo. John es un usuario malicioso que sabe que un lugar en particular deja a los usuarios que han empezado sesión mandar dinero a una cuenta específica utilizando una petición HTTP
POSTque incluye el nombre de la cuenta y una cantidad de dinero. John edifica un formulario que incluye los detalles de su banco y una cantidad de dinero como campos ocultos, y lo envía por correo electrónico a otros usuarios del lugar (con el botón de
Enviarcamuflado como enlace a un sitio "hazte rico rápidamente").


Si el usuario pincha el botón de enviar, se envía al servidor una petición HTTP
POSTque contiene los detalles de la transacción y
todos los cookies de lado-usuario que el explorador asocia con el sitio(añadir cookies asociados con el sitio es un comportamiento normal de los exploradores). El servidor comprobará los cookies, y los usará para determinar si el usuario ha iniciado sesión o bien no y si tiene permiso para hacer la transacción.


El resultado es que cualquier usuario que pinche en el botón
Enviarmientras tiene la sesión iniciada en el lugar comercial hará la transacción. ¡John se hará rico!



Nota: El truco aquí es que John no necesita tener acceso a los cookies del usuario (o bien acceso a sus credenciales) — El explorador del usuario guarda esta información, y la incluye automáticamente en todas las solicitudes al servidor asociado.


Una forma de prevenir esta clase de ataque por parte del servidor es requerir que la petción
POSTincluya una palabra secreta específica del usuario generada por el lugar (la palabra segrega podría proporcionarla el servidor cuando envía el formulario web que se usa para hacer transferencias). Esta aproximación evita que John pueda crear su formulario, por el hecho de que necesitaría conocer la palabra segrega que el servidor ha proporcionado para el usuario. Incluso si conociera esta palabra y crease un formulario para un usuario en particular, no podría usar exactamente el mismo formulario para agredir a todos y cada uno de los usuarios.


Los frameworks web incluyen habitualmente semejantes mecanismos de prevención de CSRF.


Otras amenazas


Otros ataques/vulnerabilidades incluyen:


  • . En este género de ataque, el usuario malicioso secuestra las pulsaciones de ratón dirigidas a un lugar visible por encima de los demás y las redirige a una página escondida por debajo. Esta técnica se usaría, por servirnos de un ejemplo, para presentar un lugar bancario legítimo mas capturar las credenciales de comienzo de sesión en uninvisible controlado por el atacante. Alternativamente podría emplearse para conseguir que el usuario pinchase sobre un botón en un lugar visible, mas al hacerlo realmente estuviera sin advertirlo pinchando en otro botón totalmente diferente. Como defensa, tu lugar puede protegerse de ser embebido en un iframe de otro sitio configurando las cabeceras HTTP apropiadamente.
  • , DoS). DoS se consigue generalmente anegando el sitio objetivo con solicitudes espúreas de forma que se interrumpa el acceso a los usuarios legítimos. Las solicitudes pueden simplemente ser numerosas, o bien consumir individualmente gran cantidad de recursos (ej. lecturas lentas, subidas de grandes ficheros, etc.) Las defensas contra DoS en general trabajan mediante la indentificación y el bloqueo de tráfico "malo" dejando sin embargo que atraviesen los mensajes legítimos. Estas defensas se encuentran típicamente dentro o bien ya antes del servidor (no son parte de la aplicación web misma).
  • /Revelación de Archivos. En este género de ataque un usuario malicioso procura acceder a unas partes del sistema de archivos del servidor web a los que no debería tener acceso. Esta vulnerabilidad ocurre cuando el usuario es capaz de pasar nombres de fichero que incluyen caracteres del sistema de navegación (ej.
    ../../). La solución es desinficionar la entrada ya antes de utilizarla.
  • . En este ataque un usuario es capaz de precisar, para mostrar o ejecutar, un fichero "no intencionado para ello" en los datos que le pasa al servidor. Una vez ha sido cargado este archivo podría ejecutarse en el servidor web o en el lado usuario (llevando a un ataque XSS). La solución es desinfectar la entrada ya antes de usarla.
  • . Los ataques de inyección de comandos dejan a un usuario malicioso ejecutar comandos del sistema arbitrarios en el sistema operativo del host. La solución es desinfectar la entrada de usuario antes de que pueda ser usada en llamadas al sistema.

Hay muchas más. Para un lisado completo ver(Wikipedia) y(Open Web Application Security Project).


Unos cuantos mensajes clave


Casi todos y cada uno de los exploits de las secciones precedentes tienen éxito cuando la aplicación web confía en los datos que vienen del explorador. Sea lo que sea que hagas para mejorar la seguridad de tu sitio web, deberías desinficionar todos los datos producidos por el usuario antes de ser mostrados en el explorador, usados en queries SQL o bien pasados en una llamada al sistema operativo o fichero de sistema.


Importante: La lección más esencial que debes aprender acerca de la seguridad de sitios web es
nunca confíes en los datos del explorador web. Esto incluye los datos en parámetros URL de las solicitudes
GET, datos
POST, cabeceras HTTP y cookies, archivos subidos por los usuarios, etcétera Comprueba siempre y en toda circunstancia y desinficiona todos y cada uno de los datos entrantes. Siempre asume lo peor.


Otras cuantas medidas concretas que puedes tomar son:


  • Usar una gestión de contraseñas más eficaz. Promover las contraseñas fuertes y que se cambien con regularidad. Considerar para tu sitio la autenticación de dos factores, de manera que, además de la contraseña, el usuario deba introducir algún otro código de autenticación (por norma general alguno que se distribuye mediante algún hardware que sólo tiene el usuario, como un código en un mensaje de texto enviado a su teléfono móvil).
  • Configurar tu servidor web para usary(HSTS). HTTPS encripta los datos enviados entre el cliente y el servidor. Esto asegura que las credenciales de incio de sesión, cookies, datos
    POSTe información de cabecera continúan menos disponibles a los atacantes.
  • Seguir la pista a las amenazas más populares () y agredir las vulnerabilidades más comunes primero.
  • Usar herramientas depara realizar pruebas automáticas de seguridad en tu lugar (más adelante, si tu sitio llega a ser super exitoso puedes también encontrar bugs por medio de ofrecer recompensas por localizar bugs).
  • Almacena y muestra sólo los datos que necesiten serlo. Por poner un ejemplo, si tus usuarios deben almacenar información sensible como los detalles de las tarjetas de crédito, sólo muestra lo bastante del número de tarjeta de forma que pueda ser identificada por el usuario, y no suficiente para poder ser copiado por el atacante y utilizado en otro lugar. El patrón más común hoy en día es mostrar sólo los cuatro últimos dígitos del número de la tarjeta de crédito.

desarrollo de webs corporativas canarias pueden ayudar a atenuar muchas de las vulnerabilidades más comunes.


Sumario


Este artículo ha explicado el concepto de seguridad en sitios y ciertas amanazas más comunes contra las que tu lugar debería empezar a resguardarse. Lo más importante que deberías entender es que ¡una aplicación web no puede confiar en ningún dato que proceda de explorador web! Todos y cada uno de los datos de usuario deberían ser desinfectados antes de ser mostrados, o usados en queries SQL o llamadas a ficheros de sistema.


Hemos llegado al final de, tratando tus primeros pasos en la programación de lado servidor de un sitio web. Esperamos que hayas disfrutado del aprendizaje de los conceptos fundamentales y estés listo para seleccionar un framework web y comenzar a programar.


En este módulo

Powered by BookLikes © 2015 | RSS