NOMBRE: Flor Rodrguez Baln FACILITADOR: Ing. Karla Abad Sacoto ASIGNATURA: Programacin III TEMA: Amenazas en aplicaciones web
A2: CROSS-SITE SCRIPTING (XSS) Este tipo de amenaza consiste en la insercin de cdigo malicioso en HTML, JAVASCRIPT Y VBSCRIPT. Igual que la amenaza anterior se produce por las debilidades que tiene una pgina de internet cuando no se han hechos las debidas validaciones en campos de entrada. Se expuso tambin que existen dos tipos de XSS la indirecta y directa; la primera que se daba por ejemplo cuando el atacante ha verificado que la pagina es vulnerable entonces es donde manda un enlace a la cuenta del usuario para dar clic en el mismo y es ah donde le redirecciona a pginas que no son las verdaderas y la segunda ya no solo afecta al usuario sino que afecta a un gran nmero de usuarios que entran a la pgina que ha sido inyectada por cdigo HTML como puede decirse en los foros donde muchas personas acceden constantemente. Este tipo de amenaza puede dejar daos como robos de identidad; manipulando datos que pueden ser personales o hasta confidenciales, por eso para el creador de pginas web
deber evitar usar etiquetas html que puedan ser vulnerables a la insercin de estos cdigos y seguir recomendaciones porque as los usuarios estaran ms seguros al momento de insertar sus datos en los inicios de sesiones o enlaces redireccionales.
A3: BROKEN AUTHENTICATION Y SESSION MANAGEMENT Esto es Prdida de Autenticacin y Gestin de Sesiones basado en los ID de los usuarios y sus contraseas. Se explic que se pueden robar los inicios de sesin por medio del URL este es enviado para otra persona y contiene su sesin lo cual es muy grave y sin saber el usuario que lo que est haciendo puede causarle daos en el futuro. Tambin estn los inicios de sesin en un sitio pues hay algunas personas que tienen abiertas sus sesiones mientras que trabajan en otras aplicaciones y cuando se van no se acuerdan de cerrar sus sesiones y solo cierran los navegadores pues es perjudicial dejarlos abiertos ya que podra venir otra persona y abre y ve su sesin abierta y puede manipular sus datos o cualquier otra informacin confidencial. Por todo esto se recomienda que se controle el nmero de intentos porque puede que una persona no conozca clave o usuario y se comienza a adivinar despus de tantos intentos puede lograr su objetivo. Se explic que se debe tener en cuenta que las contraseas se deben cambiar constantemente y tambin estar cifradas, los nombres de usuarios deben ser largos o complicados de dar con ellos.
A4: INSECURE DIRECT OBJECT REFERENCES o REFERENCIA DIRECTA INSEGURA A OBJETOS Se da cuando no se verifica que el usuario es o no propietario de los objetos es decir si est autorizado al acceso de esos recursos por eso se da la vulnerabilidad de esta amenaza. En el ejemplo que se explic de la lista de documentos, el atacante se hace pasar por autorizado y es entonces donde puede modificar cualquiera de esos documentos por medio de parmetros para que aparezca referenciado a otro objeto es decir que lo va a desautorizar a ese usuario. Se dijo que en una pgina web el usuario tiene clave en BD y puede escoger clave y manipularlas como l quiera pues existen programas como el que se vio Souce Code Viewer y tambin complementos para verificar cdigo lnea por lnea y poder ver las vulnerabilidades de sus claves sin son seguras o no para usarlas. Escuchando las formas de prevenir esto sera muy necesario para no ser vctimas de este tipo de amenaza eliminando todo tipo de referencia de los objetos y por lo tanto tambin que se verifique las autorizaciones de acceso de los usuarios hacia los recursos.
A5: CROSS-SITE REQUEST FORGERY O FALSIFICACIN DE PETICIONES EN SITIOS CRUZADOS (CSRF) Este tipo de ataque se da cuando en usuario recibe un mensaje como puede ser correo electrnico entre otros con el fin de realizar acciones extraas en su sitio en el que est navegando para que quede autenticado y as poder atacar ya que ahora si la pgina esta vulnerable a este ataque. Se dijo que mediante un enlace que enva el atacante a la vctima le redirecciona al sitio no confiable y esto puede suceder por medio de transferencia bancaria, email, el hacker tambin puede acceder mientras una cuenta est abierta. Por eso el inicio de sesin debe estar abierto por un tiempo determinado y despus cerrarse automticamente si no se esta usando para evitar estos ataques. Se dijo que en las redes sociales se da este tipo de amenazas de falsificacin de peticiones, como por medio de imgenes que le pueden direccionar a otra que no es, o por medio de cookies de usuario. El expuesto One time passwords es una recomendacin pero no es muy aplicable para sitios pequeos ya que se refera a establecer una contrasea por cada inicio de sesin y esto trae problemas al servidor hacindola lenta. Existen otras recomendaciones que se expuso con el nico fin que cada dia vallamos teniendo en cuenta cada una de ellas y evitando que haya gran nmeros de victimas nosotros como desarrolladores debemos usar estos mecanismos para que el usuario este seguro en su sitio web y este no sea vulnerable.