1. Introducción
2. Objetivos
2.1 General
2.2 Especificos
3. Desarrollo de la Actividad
3.1 Consecuencias de ataques exitosos a aplicaciones web vulnerables
3.2 Evaluación de riesgos
3.3 Threat modelling
4. Aplicación de las buenas practicas de owasp
4.1 Protocolos seguros y Criptografía
4.2 Autenticación de los usuarios
4.3 Protección frente a ataques de inyección
4.4 Control De Acceso
4.5 Trazabilidad
4.6 Base de Datos
4.7 Protección De Infraestructura
5. Phishing
5.1 Recomendaciones para el Phishing
6. Seguridad informática en aplicaciones web
6.1 Problemas en la programación
6.2 Usuario y Contraseña
6.3 Rastrea los datos y encriptarlos
6.4 Filtros
6.5 Escapados
7. Cuáles son los Ataques más comunes en Aplicaciones web
8. CONCLUSIONES
9. Bibliografía
1. Introducción
2.1 GENERAL
2.2 ESPECIFICOS
Asegurar y velar por que existan controles adecuados para la protección de esta
información desarrollando plataformas seguras, sin vulnerabilidades y con los
controles adecuados para la prevención de ataques más comunes.
3. DESARROLLO DE LA ACTIVIDAD
Para la aplicación web se recomienda saber que las aplicaciones bancarias son más
vulnerables ya que los usuarios prefieren acceder a sus cuentas bancarias por
medio online y hacer los trámites o consultas que necesiten. Para esto se tiene
que contar con un sistema de seguridad óptimo y saber que vulnerabilidad hay en
el sistema.
Sin embargo, en la actualidad ese objetivo cambió, ahora el objetivo es mucho más
valioso para los atacantes, ya que no solo es a nivel de reconocimiento sino también
por objetivo político, de dinero y búsqueda de afectación de los objetivos
seleccionados. Para lo cual la población de atacantes ha incrementado cada vez
más pues las motivaciones son cada vez más interesantes, ahora, uno de los
riesgos que pueden generarse en caso tal de que un atacante realice una
explotación de un ataque exitoso sobre una aplicación WEB vulnerable de una
empresa reconocida mundial o regionalmente, puede llegar a generar las siguientes
consecuencias negativas:
• Robo de información
• Perdida Financiera
• Riesgo Reputacional
• Desconfianza por parte de los clientes
• Interrupción de la operación1
3.2 EVALUACIÓN DE RIESGOS
Entendimiento de la aplicación
Entendimiento de la arquitectura de la aplicación y sus dependencias.
Identificación de amenazas
Clasificación de las amenazas
Creación de Flujo de Datos de Threat Modeling.
Creación de plan de mitigación.
S= Spoofing (Identidad)
T= Tampering (Afectación de los datos)
I= Information Disclosure (Revelar información confidencial o sensible)
D= Denial of Service (Denegación de servicio)
E= Elevation of Privilege (Elevación de Privilegios)
Los beneficios que se pueden obtener con este modelo son:
Evitar reprocesos
Ahorro de Dinero
Cumplimiento de los estándares y buenas prácticas de Seguridad.
Etapas de remediación tempranas en paralelo al desarrollo del producto.
4. APLICACIÓN DE LAS BUENAS PRACTICAS DE OWASP
OWASP (Open Web Aplication Security Project) es un proyecto sin ánimo de lucro
que tiene como objetivo ayudar a los desarrolladores y personal de seguridad
informática a desarrollar y probar aplicaciones web seguras.
El proyecto tiene como objetivo realizar un análisis de las amenazas o ataques más
comunes realizados a los aplicativos WEB, con el fin de dar los lineamientos,
buenas prácticas y recomendaciones de pruebas para las aplicaciones web en
desarrollo para prevenir y combatir los ciberataques a aplicaciones vulnerables.
Para cumplir con este ítem la aplicación WEB y plataforma que la soporta deberá
contar con:
Protocolo de transporte seguro HTTPS: Sobre todo para aplicaciones que manejen
portales transaccionales e información sensible, el uso de este protocolo garantiza
que la comunicación siempre sea segura y que la información transmitida viaje
encriptada.
El uso de protocolo inseguro como HTTP permite que la información viaje sin cifrar,
lo cual puede ser interceptada por un atacante.
Los ataques más comunes a nivel de inyección a nivel de aplicación son los ataques
de SQL Injection y Cross Site Scripting, para combatirlos hay que tener en cuenta
las siguientes recomendaciones:
Parametrizar las consultas
Escapar caracteres especiales
No mostrar información de errores de base de datos en el aplicativo WEB
Invocar procesos almacenados en las operaciones mas no invocar las
sentencias directamente.
Verificar siempre los datos que ingresan a la aplicación tanto en la URL como
en los campos.
Sanitizar el código de la aplicación.
Es de vital importancia asegurar las plataformas que soportan los aplicativos WEB,
pues la infraestructura como servidores de base de datos, servidores de front-end y
back-end son la base de las aplicaciones y si desde la base no se encuentra
correctamente asegurada, los riesgos pueden llegar a generar impactos
catastróficos, para esto es importante tener las siguientes consideraciones y
recomendaciones para la instalación de los servidores de aplicaciones y base de
datos:
5. Phishing
También tenemos que tener en cuenta. Que los ciberdelincuente pueden llegar a
clonar. Nuestra. Aplicación web manipulando visualización engañando a nuestros
clientes y sacando su información. Personal y enviándola.
5.1 Recomendaciones para el Phishing
Lo primero es informar al cliente que nunca Vaya a llenar Información personal por
medio de un correo electrónico por qué esto sería un ataque de phishing. Y
recomendar al cliente entrar en la aplicación web con la barra de Direcciones y
poder observar la cansada ala izquierda que indica que esta página es segura.
No todo ataque es por fallas del clientes toca tener en cuenta que se pueden
generar fallas por malas prácticas por los programadores. Para llegar a Tener una
aplicación web que cumpla con los objetivos que se buscan y una seguridad óptima
toca tener en cuenta los riesgos que puede correr la información en un sistema.
Los problemas principales a la hora de la programación y tener la seguridad
necesaria son debido a dos grandes casusas la entrada y la salida del
sistema.
Este con el fin de llevar una lista de acceso de usuarios con secciones registradas.
Por eso se recomida este método sencillo y necesario que llega a ser eficiente
para mitigar cualquier tipo de ataque. Y hacer menos vulnerable la aplicación
web.
6.3 Rastrea los datos y encriptarlos
Estos filtros son muy recomendados para las aplicaciones web para poder
comprobar la validez de los datos. Si los datos son filtrados se puede llegar a
afirmar que los datos maliciosos son eliminados. Ya que este proceso es una
inspección esto con listas blancas.
6.5 Escapados
Estos nos ayudan a decodificar y codificar los datos para tener un mayor nivel
de seguridad y los datos estén preservados pero tiene que cumplir con estos
pasos:
Se va a enlistar los ataques más comunes de las aplicaciones web. Para tener
un conocimientos de ellas.
También se tiene que tener en cuenta que la mayoría de las aplicaciones web
son conductos para usos de bases de datos. Toca tener en cuenta el filtrado en
las consultas de las bases de datos ya que no son confiables.
Exposición de datos
Sistemas de autentificación
SQL injection
Ataques de fuerza bruta
8. CONCLUSIONES
Toca tener en cuenta que la información envía o recibida no cumplan con las
características esperadas o predefinidas todas las entradas tiene que pasar por el
filtro todo esto lo tiene que tener claro el programador y tener un mapa de los
procesos ejecutados para tener un control y saber si está siendo atacado.