Las Vulnerabilidades AJAX

Las Vulnerabilidades AJAX

Hay que tener en cuenta el aumento de la superficie de ataque, es decir, la parte que se ejecuta o desarrolla en la parte del cliente, y esto hace que la exposición o superficie de ataque sea mayor. La revelación de la lógica de la aplicación hace que los posibles atacantes conozcan parte del código, ya que éste reside en la parte del cliente. Esto hace que el atacante pueda analizar cierta parte de la lógica, y utilizarla para llevar a cabo acciones maliciosas sobre la lógica de la aplicación.

La dificultad de la auditoría de las aplicaciones hace que exista un problema de seguridad, ya que por un lado se debe revisar un mayor número de líneas de código y hace que haya más puntos a revisar. La parte de auditoría hay que llevarla tanto de la parte del cliente como del servidor.

Vulnerabilidades clásicas como SQLi o XSS, y nuevas posibilidades para el XSS. SQLi es una de las vulnerabilidades top de OWASP, y sigue siendo una de las principales amenazas en las nuevas tecnologías, hoy en día también con las bases de datos no relaciones, como por ejemplo Mongo Injection. Las nuevas posibilidades para los XSS surgen del almacenamiento de más datos en la parte del cliente y se pueden obtener cookies, credenciales y realizar un robo de información en profundidad. Mediante el DOM y un XSS se puede alterar el contenido de un sitio, modifica la dirección de dónde los datos o formularios de usuarios son enviados, robo de cookies y credenciales, tal y como se mencionó anteriormente.

A pesar de una serie más potente de las tecnologías, los desarrolladores deben ser conscientes de los agujeros de seguridad potenciales.

De acuerdo con Pete Lindstrom, Director de Estrategias de Seguridad con el Grupo de Hurwitz, “las aplicaciones Web son los elementos más vulnerables de hoy en día una organización de infraestructura de TI”. Un número creciente de organizaciones (tanto con fines de lucro y sin fines de lucro) dependen de aplicaciones basadas en Internet que aprovechan el poder de AJAX. Como este grupo de tecnologías se vuelve más compleja para permitir que la profundidad y la funcionalidad discutida, y, si las organizaciones no asegurar sus aplicaciones web, entonces los riesgos de seguridad sólo aumentará.

El aumento de la interactividad dentro de una aplicación web significa un aumento de XML, texto, y en general el tráfico de red HTML. Esto conduce a la exposición de aplicaciones back-end que podría no haber sido previamente vulnerable, o, si no hay suficiente protección del lado del servidor, para dar a los usuarios no autenticados la posibilidad de manipular sus configuraciones de privilegios.

Existe la idea errónea de que, en general, las aplicaciones AJAX son más seguras porque se piensa que un usuario no puede acceder al script del lado del servidor sin la interfaz de usuario prestado (la página web basada en AJAX). XML HTTP Request aplicaciones Web basadas en oscuros del lado del servidor scripts, y esta oscuridad da a los desarrolladores web y los propietarios de una falsa sensación de seguridad - oscuridad no es la seguridad. Como XML HTTP función de las solicitudes mediante el mismo protocolo que todo lo demás en la web (HTTP), técnicamente hablando, las aplicaciones basadas en AJAX

...