Seguridad aplicaciones web en Andalucia

[pic 3]

[pic 4]

Informe de divulgación

Seguridad en Aplicaciones Web

Tipo de documento:        Informe

Autor del documento:        AndalucíaCERT

Código del Documento:         CERT-IF-9831-160316

Edición:        0

Categoría         Uso Interno

Fecha de elaboración:        04/05/2016

Nº de Páginas        1 de 21

© 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.

Este documento  y, en su caso, cualquier documento anexo al mismo, contiene información de carácter confidencial exclusivamente dirigida a su destinatario o destinatarios. Queda  prohibida su divulgación, copia o distribución a terceros sin la previa autorización escrita de “Sociedad Andaluza  para el  Desarrollo  de las  Telecomunicaciones  S.A.”.  Si no es Ud. el  destinatario  del  documento le  ruego lo  destruya  sin  hacer copia digital o física, comunicando a “Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.” vía e-mail o fax la recepción del presente documento.  Toda declaración de voluntad contenida deberá ser tenida por no producida.

1        TABLA DE  CONTENIDOS

TABL A DE  CONT E NID O S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

O BJE T IVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

ALCANCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

APL I CACI O NES W E B. ESTAD O D EL ART E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Arqui tec tu ra s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Tec no l o g í a s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

I nf ra e stru c tu ra s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

APL I CACI O NES W E B. RI ES GO S Y AME NAZ AS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Proyec to OWAS P – OWAS P Top 10. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

O tros rie sg o s y c o n f i g u ra c i o n e s se g u ra s a ten e r e n c ue n ta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

APL I CACI O NES W E B. ESTR ATE GI A Y RE COM E NDACI O NE S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

De sa rrol l o se gu ro. Metod o l o g í a s y c i c l o d e vi d a d e un a a pl i ca c i ó n web se g u ra . . . . . . . . . . . . . . . . . . . . . 14

O tros a spe c tos y e stra teg i a s a ten e r en c ue n ta en e l de sa rrol l o / d e spl i e g u e de u na a pp. . . . . . . . 16

El e sl a bón ma s d é bi l . E l u su a rio  f i n a l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CONCLUS I O NE S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

GLOS ARI O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

DO C UM E NTACI O N DE REF E RENC I A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2        OBJETIVO

El objeto de este documento es dar a conocer la situación actual del mercado de aplicaciones WEB

desde el punto de vista de la seguridad de la información.

3        ALCANCE

Este documento  va dirigido tanto al personal de la Junta de Andalucía, como al público en general. Pretende aportar las nociones básicas necesarias para entender  y tener conocimiento sobre la situación actual en cuanto a las aplicaciones web se refiere: el estado del arte (estructura de una página web, princi - pales plataformas e infraestructuras web, marco de desarrollo...), los riesgos y amenazas  a las que están expuestas (sus vectores de ataque, las vulnerabilidades más comunes...), así como la forma de abordar es- tos problemas (el  desarrollo seguro, las  principales  metodologías  de desarrollo, las tecnologías usadas para combatir a los cibercriminales...).

4        APLICACIONES  WEB.  ESTADO DEL ARTE

En ingeniería del software una aplicación web es un programa que los usuarios pueden  utilizar ac - cediendo a un servidor remoto mediante un cliente ligero denominado navegador.

Las aplicaciones web siguen, por tanto, el modelo cliente-servidor. Su popularidad  y ubicuidad  resi - den en los siguientes principios:

∙        No es necesario  distribuir e instalar el software de las aplicaciones web en los clientes. Bastará con que éstos tengan un navegador web actualizado para poder acceder  y disfrutar de ellas.

∙        Son fáciles de mantener. Simplemente con modificar el código de la aplicación en el servidor, to - dos los usuarios accederán a la última versión.

∙        Independencia del sistema operativo. Las aplicaciones son multiplataforma, puesto que cualquier navegador puede ejecutarlas independientemente del sistema operativo usado por el cliente.

∙        Los clientes necesitarán  poca capacidad de cómputo para ejecutarlas. El grueso  de las operacio - nes computacionales recae sobre el servidor web, por lo que los clientes que hagan uso de estas aplicaciones únicamente necesitarán  visualizarlas en su navegador.

Algunos casos de éxito relacionados con aplicaciones web que podemos mencionar son: webmails, foros y blogs de Internet, tiendas online…

4.1        Arquitecturas web

Las aplicaciones web comenzaron su andadura en Internet siendo páginas estáticas que se entre- lazaban entre ellas (hipervínculos). Poco a poco se les fueron agregando funciones para generar contenido de forma dinámica, hasta llegar al momento actual (tecnologías como scripts ejecutados  en el lado del cliente, Flash, Ajax, HTML5…).

...