Resultados 1 al 3 de 3

Principales fallos de seguridad de las aplicaciones web

  1. #1 Principales fallos de seguridad de las aplicaciones web 
    Medio
    Fecha de ingreso
    Sep 2002
    Ubicación
    Campana
    Mensajes
    114
    Descargas
    0
    Uploads
    0
    Open Web Application Security Project (OWASP) dio a conocer la lista de las 10 vulnerabilidades críticas de aplicaciones web en 2004, según publicó eSecurityPlanet.com.
    Los diez fallos destacados por OWASP en el referido listado son:

    - Entradas no validadas. En la práctica, los atacantes pueden emplear información no validada para alcanzar componentes secundarios.

    - Fallos en el control de acceso. Debido a que no se establecen las adecuadas restricciones en la autenticación de usuarios, los agresores pueden tener acceso a otras cuentas o acceder a funciones no autorizadas.

    - Fallos en administración de sesiones y autenticación. Credenciales de cuentas y tokens de sesión no están protegidos adecuadamente, lo que puede permitir que los atacantes comprometan contraseñas, llaves, cookies de sesión, y que asuman la identidad de otros usuarios.

    - Cross Site Scripting. En este caso, la aplicación web se emplea como mecanismo para realizar ataques contra el navegador de los usuarios finales, lo que puede posibilitar que queden al descubierto cookies de sesión, o que se utilice contenido falso para engañar al usuario.

    - Desbordamientos de buffer. Componentes de la aplicación web escritos en lenguajes que no realicen una validación de datos de entrada adecuada pueden fallar y, en algunos casos, permitir tomar el control de un proceso.

    - Fallos de inyección. Las aplicaciones web pasan parámetros cuando acceden al sistema externo o al sistema operativo. Si en los parámetros se incluyen comandos maliciosos, el sistema externo puede ejecutarlos en nombre de la aplicación web.

    - Gestión incorrecta de errores, que puede ser empleada por los atacantes para obtener información detallada del sistema o provocar denegaciones de servicio.

    - Almacenamiento inseguro. Se demostró que las aplicaciones web que utilizan funciones criptográficas para proteger la información y las credenciales no cifran adecuadamente, lo que da como resultado una protección débil.

    - Denegación de servicio. Como se mencionó anteriormente, los atacantes pueden consumir recursos de la aplicación web hasta conseguir que los usuarios legítimos no puedan acceder a ella. A su vez, los agresores podrán bloquear las cuentas de usuarios o provocar la caída de la aplicación.

    - Configuración insegura. Tener un estándar de configuración fuerte es crítico.


    http://www.esecurityplanet.com/trends/article.php/3305981
    Yo soy un loco que se dio cuenta
    que el tiempo es muy poco
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Jul 2003
    Ubicación
    Madrid
    Mensajes
    372
    Descargas
    0
    Uploads
    0
    La verdad es que es verdad, pero hay una cosa con la que no estoy de acuerdo, con la que dice que la encriptacion de la informacion es debil.....

    Pero si no hay ni cristo que encripte la informacion, vamos la gente se cree su base de datos es Fort Knox...... ojala hubiera una encriptacion debil , aunque fuera un cifrado tipo Cesar....

    Pero a la mayoria de los desarrolladores del dices, "Necesito que me desarrolles una rutina de encriptacion con comprobacion de erroes como por ejemplo codigos de Hamming" y te dice -- "LO CUALO?????"
    Citar  
     

  3. #3  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    muchos de los desarrolladores ni se preocupan, y al final casi todos caen en los mismos errores, por ejemplo uno muy comun en php, es que se crean un archivo con los datos de conexion a la base de datos (usuario, contraseña, ...) y le ponen conexion.inc o similar, solo hay que porner en el navegador http://www.servidor.com/conexion.inc y te bajas ese fichero, y bueno lo que puedas hacer con el ya es problema tuyo. La coña es que ese fallo es tan comun como que la mitad de las web hechas en php deben tenerlo. Bueno las asp eso ya es impresionante, es que las bastante seguras no creo que represente ni un tercio del total, bueno en este caso que conste que parte de la culpa es de la propia tecnologia asp. Bueno y mejor no seguir porque no podria acabar en años, sobre todo porque no mencione los fallos en los foros mas abituales (phpbb, vBolletin, phpnuke, ...), etc.
    Un Saludo
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 17-12-2013, 15:26
  2. Respuestas: 0
    Último mensaje: 30-07-2009, 00:55
  3. Respuestas: 1
    Último mensaje: 07-10-2008, 19:32
  4. Respuestas: 2
    Último mensaje: 13-05-2008, 21:41
  5. Respuestas: 0
    Último mensaje: 16-01-2008, 16:37

Marcadores

Marcadores