Seguridad En AJAX

Actividades

Trabajo: Seguridad en AJAX

Realización de un trabajo para recopilar los problemas de seguridad que presenta la tecnología WEB 2.0 AJAX y las posibles soluciones a los mismos.

Extensión máxima de la actividad (10-15 páginas, fuente Georgia 11 e interlineado 1,5).

Esta actividad sobre seguridad en APLICACIONES AJAX abarca los problemas de seguridad que tienen este tipo de aplicaciones, que caen en la categoría denominada RICH INTERNET APPLICATIONS y en las posibles soluciones a los mismos. Hay que consultar cuantas fuentes relativas al tema se considere y sintetizar la información relevante sin limitarse a copiar el contenido de alguna de ellas. Asimismo se valorará (PARA TODAS LAS ACTIVIDADES):

-CONTENIDOS. Para la realización de los trabajos se deben consultar varias fuentes para después contrastarlas, sintetizarlas y generar un trabajo y opinión personalizados aportando ejemplos gráficos.

-ESTRUCTURA DEL DOCUMENTO. Debe ser planificada previamente y tener un apartado de conclusiones y de referencias al final.

-PRESENTACIÓN acorde con la categoría del curso.

-EXTENSIÓN el trabajo tiene límite de 10-15 páginas aprox.

-REFERENCIAS. Se deben especificar en un apartado al final todas las fuentes consultadas, URL,s de INTERNET, papers, artículos o libros especificando todos los datos de la publicación disponibles.

Recalcar la obligatoriedad de la especificación de las REFERENCIAS consultadas.

¿Qué es AJAX?

Ajax (Asynchronous Javascript and XML) es una tecnología que nos permitirá realizar peticiones al servidor sin necesidad de tener que cargar una página web entera, tan solo el apartado que nos interese. Este tipo de aplicaciones se ejecutan en el apartado del cliente en un segundo plano y en el navegador.

En la anterior imagen podemos observar como es una arquitectura web clásica siendo necesaria la cargar de la página web en su totalidad en caso de querer cargar un mínimo apartado de la misma. Por otro lado tenemos la arquitectura AJAX, que realizará sincronizaciones asíncronas en función de las necesidades del momento.

Para entender bien qué es AJAX, debemos entender primero que no es una tecnología en sí misma, sino un compendio entre 5 ya existentes:

HTML/XHTML y CSS: Diseño o maquetación de la web. “Front-end” del cliente para presentar la información.

DOM o Document Object Model : Muestra e interactúa dinámicamente con la información presentada. A través del DOM, los programas pueden acceder y modificar el contenido, estructura y estilo de los documentos HTML y XML. Es una interfaz de programación de aplicaciones para acceder, añadir y cambiar dinámicamente contenido estructurado en documentos con lenguajes

XMLhttpRequest : Interfaz empleada para realizar peticiones (de forma asíncrona) HTTP y HTTPs a servidores Web.

XML : XML es una tecnología sencilla que tiene a su alrededor otras que la complementan y la hacen mucho más grande y con unas posibilidades mucho mayores. Permite la compatibilidad entre sistemas para compartir la información de una manera segura, fiable y fácil definiendo la gramática de lenguajes específicos para estructurar documentos. También da soporte a bases de datos, siendo útil cuando varias aplicaciones deben comunicarse entre sí o integrar información.

JavaScript: Es el nexo de unión entre todas ellas.

AJAX es nativo en los navegadores web y es el único RIA framework que puede ser encontrado por los diferentes motores de búsqueda.

Las principales ventajas que AJAX nos ofrece son; la optimización de recursos y la alta compatibilidad ya que es soportado por casi todas las plataformas web. Esto desemboca en una mejor experiencia del usuario ya que los tiempos de espera se optimizan notablemente. Sin embargo, esta tecnología también ofrece una serie de desventajas visibles a primera vista como el incremento del tiempo de dedicación en su implementación debido a su complejidad o el problema del SEO.

Problemas de seguridad en AJAX

Exposición: AJAX posee la característica de delegar en el cliente cierto grado de gestión ya que una porción del código se ejecuta en él. Esto conlleva a que cierta lógica de nuestro programa queda expuesta al atacante, con lo que se este podría estudiar la forma de explotar esta forma de trabajo para llevar a cabo acciones maliciosas.

SQLi o XSS: Debido a la forma de trabajo que tiene AJAX almacenando datos en la parte del cliente pueden obtenerse cookies, credenciales y hasta se puede realizar un robo de información en profundidad.

XML envenenado: El servidor debe validar todos los datos que recibe, ya que un posible XML mal formado puede causar un problema en el servidor provocando una denegación de servicio.

Código malicioso: Las llamadas que se realizan con AJAX ejecutan en background sin ninguna interacción del usuario, por lo que el usuario no es consciente de lo que se está realizando en un sitio concreto, por lo que la web puede aprovechar este hecho para realizar un robo de cookies.

XPATH inyectados en SOAP: Esta es una acción similar a una inyección SQL. El lenguaje utilizado es XPATH y el objetivo

...