Seguridad en desarrollo de software
Enviado por sharkninja15 • 22 de Mayo de 2022 • Ensayos • 562 Palabras (3 Páginas) • 72 Visitas
[pic 1][pic 2][pic 3]
[pic 4]
[pic 5]
Monterrey, N.L noviembre 13 2021
XSS
El primer tema es el web scripting y las vulnerabilidades web ahora son un problema en aplicaciones móviles dado que se utiliza código inseguro, enfocadas a que el código funcione y no sea seguro. Estas vulnerabilidades de web scripting son muy fáciles de explotar ya que los atacantes usan alertas para evadir el firewall de la aplicación, también como es así de fácil que sea explotada esta vulnerabilidad.
Un atacante podría conseguir diversa información a través de este ataque como por ejemplo robarse las cookies, falsificar solicitudes, crear campos falsos en páginas, redirigir a paginas inseguras, robar información confidencial, ejecutar código malicioso, difamación y utilizar cuentas de usuario validas para enviar información falsa a otros usuarios.
Existen 3 tipos de bugs de xss los cuales son las que son basadas en DOM, el que se realiza por reflexión o tipo 1 y el xss almacenado o persistente. Este tipo de amenazas se pueden diagnosticar verificando dentro del código ejercicios donde solicitamos un input y un output las cuales nos mostraran los datos que queremos extraer y partiendo de esto existen potenciales riesgos los cuales vienen de que la aplicación no verifica los datos que se ingresan en el script y simplemente los muestra, la url puede llegar a exponer estos datos ingresando scripts desde ella, finalmente si la aplicación responde con un echo se puede decir que potencialmente hay xss.
Para poder proteger nuestras aplicaciones de este tipo de ataques, al momento de crear el código debemos tener en cuenta que asumir que todos los datos son maliciosos y que el usuario proporciona datos maliciosos. también desinfectar antes de almacenar o enviar al navegador para así evitar el xss reflect ya que esto puede traer consecuencias en un futuro.
Podemos desde un principio utilizar las buenas practicas de evitar durante la creación del código que existan este tipo de vulnerabilidades, si este punto no se realizo desde un principio y si es posible regresar y editar el código podemos restringir entradas para que solo se puedan tomar entradas validas con expresiones regulares, también podemos editar las salidas para que no se puedan ejecutar desde el browser.
Finalmente, tendríamos que verificar si todas las medidas se cumplen para así poder decir que nuestra aplicación es segura y evitar este tipo de ataques que pudiesen ser susceptibles para proteger nuestra aplicación.
SQL
Es de las técnicas mas utilizadas para las aplicaciones web y se basa en inyectar código sql malicioso con el fin de vulnerar la aplicación y conseguir información o simplemente con el hecho de que esta ya no funcione. Lo que hace este tipo de ataques es poder ejecutar acciones en bases de datos, agregar usuarios, ejecutar comandos, modificar tablas. Todo esto para hacerse pasar por identidades, alterar los datos existentes, obtener todos los datos de un sistema, eliminar datos y conviértase en administrador del servidor de bases de datos.
...