Foro 1 - Respuesta

Estando en la fase de construcción del software, ¿Qué tipos de ataques a la seguridad puede sufrir un software en plataforma Web y cómo se puede prevenir?

Existen diversos tipos de ataques de seguridad que puede sufrir un software web. Entre los cuales se encuentran ataques de autenticación, lógicos, al cliente, ejecución de comandos y robos de información. En la fase de construcción de un software el ataque de robo de información es el probable, ya que la mayoría comparten el mismo servidor con otras aplicaciones web ya en uso. Por tal motivo, a continuación nombrare algunas de las técnicas mayormente utilizadas.

Path Traversal:

Esta técnica de ataque fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” de la web. Un atacante puede manipular una URL de forma que el sitio web revelará el contenido de ficheros ubicados en cualquier lugar del servidor web. Cualquier dispositivo que expone una interfaz basada en HTTP es potencialmente vulnerable.

Al tener acceso a los directorios, es posible el robo del código fuente de cualquier software en construcción.

Comandos de sistema operativo:

El uso de comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web que ejecutan comandos de sistema operativo, a través de la manipulacion de las entradas a la aplicacion.

La mayoría de los lenguajes de script permiten a los programadores ejecutar comandos de sistema operativo durante la ejecución de la aplicación, usando varias funciones exec. Si la aplicación web permite que los datos facilitados por el usuario sean usados en las llamadas a esas funciones directamente, sin ser saneados de la forma apropiada, sería posible para un atacante ejecutar comandos de sistema operativo de forma remota.

Una aplicación web por sí misma puede ser aún vulnerable debido a un tratamiento incorrecto de los datos de entrada suministrados por el usuario. Esto es un problema común en las aplicaciones web que usan sistemas de plantillas o cargan texto estático desde ficheros. En variaciones de este ataque, el valor del parámetro de la URL original es sustituido con el nombre del fichero de uno de los scripts dinámicos de la aplicación web. Como consecuencia, el resultado puede revelar código fuente porque el fichero es interpretado como texto en lugar de un script ejecutable.

Estos ataques de seguridad pueden ser prevenidos realizando las siguientes acciones:

• Configurar permisos sobre cada recurso

• Especificación de recursos sensibles involucrados

• Procedimientos adecuados para operar y efectuar cambios.

• Es

...