FACULTAD DE SISTEMAS Y TELECOMUNICACIONES ESCUELA DE INFORMATICA

NOMBRE: Flor Rodrguez Baln FACILITADOR: Ing. Karla Abad Sacoto ASIGNATURA: Programacin III TEMA: Amenazas en aplicaciones web

FECHA: 23/11/2012 PARALELO: 4/2 Informtica

RESUMEN AMENAZAS EN APLICACIONES WEB

A1: INYECCION SQL Este tipo de amenaza se basa principalmente en el ataque orientado a consultas SQL de base de datos a travs de la insercin de cdigo malicioso, afecta a las pginas o sitios web vulnerables. Una pgina es vctima de estos ataques porque no se ha hecho las debidas validaciones de entrada. Como se vio en el ejemplo expuesto el cdigo malicioso se puede insertar en una consulta en el ID del usuario ' or '1'='1 cambiando as la consulta y obteniendo todos los datos del cliente, pues no solo eso sino que tambin podra el atacante hacer procedimientos y obtener la base de datos o el mismo servidor. Esto nos causara muchos problemas porque perderamos nuestros datos, o los mismos pueden ser manipulados por los atacantes o hasta eliminados, existen maneras de poder evitarlo como no usar los iD, validar los campos de entrada, no usar paginas dinmicas entre otras y hay que seguir esas recomendaciones tanto para el desarrollador como para el usuario o cliente que hace usos de los sitios web.

A2: CROSS-SITE SCRIPTING (XSS) Este tipo de amenaza consiste en la insercin de cdigo malicioso en HTML, JAVASCRIPT Y VBSCRIPT. Igual que la amenaza anterior se produce por las debilidades que tiene una pgina de internet cuando no se han hechos las debidas validaciones en campos de entrada. Se expuso tambin que existen dos tipos de XSS la indirecta y directa; la primera que se daba por ejemplo cuando el atacante ha verificado que la pagina es vulnerable entonces es donde manda un enlace a la cuenta del usuario para dar clic en el mismo y es ah donde le redirecciona a pginas que no son las verdaderas y la segunda ya no solo afecta al usuario sino que afecta a un gran nmero de usuarios que entran a la pgina que ha sido inyectada por cdigo HTML como puede decirse en los foros donde muchas personas acceden constantemente. Este tipo de amenaza puede dejar daos como robos de identidad; manipulando datos que pueden ser personales o hasta confidenciales, por eso para el creador de pginas web

deber evitar usar etiquetas html que puedan ser vulnerables a la insercin de estos cdigos y seguir recomendaciones porque as los usuarios estaran ms seguros al momento de insertar sus datos en los inicios de sesiones o enlaces redireccionales.

A3: BROKEN AUTHENTICATION Y SESSION MANAGEMENT Esto es Prdida de Autenticacin y Gestin de Sesiones basado en los ID de los usuarios y sus contraseas. Se explic que se pueden robar los inicios de sesin por medio del URL este es enviado para otra persona y contiene su sesin lo cual es muy grave y sin saber el usuario que lo que est haciendo puede causarle daos en el futuro. Tambin estn los inicios de sesin en un sitio pues hay algunas personas que tienen abiertas sus sesiones mientras que trabajan en otras aplicaciones y cuando se van no se acuerdan de cerrar sus sesiones y solo cierran los navegadores pues es perjudicial dejarlos abiertos ya que podra venir otra persona y abre y ve su sesin abierta y puede manipular sus datos o cualquier otra informacin confidencial. Por todo esto se recomienda que se controle el nmero de intentos porque puede que una persona no conozca clave o usuario y se comienza a adivinar despus de tantos intentos puede lograr su objetivo. Se explic que se debe tener en cuenta que las contraseas se deben cambiar constantemente y tambin estar cifradas, los nombres de usuarios deben ser largos o complicados de dar con ellos.

A4: INSECURE DIRECT OBJECT REFERENCES o REFERENCIA DIRECTA INSEGURA A OBJETOS Se da cuando no se verifica que el usuario es o no propietario de los objetos es decir si est autorizado al acceso de esos recursos por eso se da la vulnerabilidad de esta amenaza. En el ejemplo que se explic de la lista de documentos, el atacante se hace pasar por autorizado y es entonces donde puede modificar cualquiera de esos documentos por medio de parmetros para que aparezca referenciado a otro objeto es decir que lo va a desautorizar a ese usuario. Se dijo que en una pgina web el usuario tiene clave en BD y puede escoger clave y manipularlas como l quiera pues existen programas como el que se vio Souce Code Viewer y tambin complementos para verificar cdigo lnea por lnea y poder ver las vulnerabilidades de sus claves sin son seguras o no para usarlas. Escuchando las formas de prevenir esto sera muy necesario para no ser vctimas de este tipo de amenaza eliminando todo tipo de referencia de los objetos y por lo tanto tambin que se verifique las autorizaciones de acceso de los usuarios hacia los recursos.

A5: CROSS-SITE REQUEST FORGERY O FALSIFICACIN DE PETICIONES EN SITIOS CRUZADOS (CSRF) Este tipo de ataque se da cuando en usuario recibe un mensaje como puede ser correo electrnico entre otros con el fin de realizar acciones extraas en su sitio en el que est navegando para que quede autenticado y as poder atacar ya que ahora si la pgina esta vulnerable a este ataque. Se dijo que mediante un enlace que enva el atacante a la vctima le redirecciona al sitio no confiable y esto puede suceder por medio de transferencia bancaria, email, el hacker tambin puede acceder mientras una cuenta est abierta. Por eso el inicio de sesin debe estar abierto por un tiempo determinado y despus cerrarse automticamente si no se esta usando para evitar estos ataques. Se dijo que en las redes sociales se da este tipo de amenazas de falsificacin de peticiones, como por medio de imgenes que le pueden direccionar a otra que no es, o por medio de cookies de usuario. El expuesto One time passwords es una recomendacin pero no es muy aplicable para sitios pequeos ya que se refera a establecer una contrasea por cada inicio de sesin y esto trae problemas al servidor hacindola lenta. Existen otras recomendaciones que se expuso con el nico fin que cada dia vallamos teniendo en cuenta cada una de ellas y evitando que haya gran nmeros de victimas nosotros como desarrolladores debemos usar estos mecanismos para que el usuario este seguro en su sitio web y este no sea vulnerable.