Seguridad de aplicaciones web

Summary

La seguridad de aplicaciones web es una rama de la seguridad informática que se encarga específicamente de la seguridad de sitios web, aplicaciones web y servicios web.

A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones, pero aplicadas específicamente a la World Wide Web. Las aplicaciones comúnmente son desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby, ASP.NET, JSP, entre otros.

Amenazas de seguridad

editar

Con la aparición de la Web 2.0, el intercambio de información a través de redes sociales y el crecimiento de los negocios en la adopción de la Web como un medio para hacer negocios y ofrecer servicios, los sitios web son constantemente atacados. Los hackers buscan, ya sea comprometer la red de la corporación o a los usuarios finales, accediendo al sitio web y obligándolos a realizar drive-by downloading.[1][2]

Como resultado, la industria[3]​ está prestando mayor atención a la seguridad de aplicaciones web,[4]​ así como a la seguridad de las redes de computadoras y sistemas operativos.[5]

La mayoría de los ataques a aplicaciones web ocurren a través del cross-site scripting (XSS) e inyección SQL[6]​ el cual comúnmente resulta de una codificación deficiente y la falta de desinfección de las entradas y salidas de la aplicación web. Estos se encuentran en el ranking del 2009 CWE/SANS Top 25 Most Dangerous Programming Errors.[7]

El Phishing es otra amenaza común de las aplicaciones Web. "RSA, la División de Seguridad del EMC, anuncio hoy lo hallado en su reporte sobre fraude de enero de 2013, estimando las pérdidas globales debido al phishing en $1.5 billones en 2012".[8]​ Dos de los métodos de phishing más conocidos son Covert Redirect y Open Redirect.

De acuerdo con el proveedor de seguridad Cenzic, las principales vulnerabilidades durante marzo del 2012 fueron:[9]

37% Cross Site Scripting
16% Inyección SQL
5% Path disclosure
5% Ataque de denegación de servicio
4% Ejecución de código arbitrario
4% Corrupción de memoria
4% Cross Site Request Forgery
3% Violación de datos (divulgación de información)
3% Inclusión de archivos arbitraria
2% Inclusión local de archivos
1% Inclusión remota de archivos
1% Desbordamiento de búfer
15% Otros, incluyendo inyección de código (PHP/JavaScript), etc.

Estándares de seguridad

editar

OWASP es el estándar emergente para la seguridad de aplicaciones Web. Han publicado el OWASP Top 10 que describe a detalle las principales amenazas de las aplicaciones web. El Consorcio de Seguridad de Aplicaciones Web (WASC) ha creado la Base de Datos de Incidentes de Hackeo[10]​ así como mejores documentos de código abierto sobre seguridad de aplicaciones Web.

Tecnología de seguridad

editar

Mientras que la seguridad se basa fundamentalmente en las personas y los procesos, existen varias soluciones técnicas a considerar cuando se diseña, construye y prueban aplicaciones web seguras. A un alto nivel, estas soluciones incluyen:

  • Black box: herramientas de prueba tales como escáneres de seguridad de aplicaciones Web,[11]​ escáneres de vulnerabilidad y software de prueba de penetración.
  • White box: herramientas de prueba tales como analizadores estáticos de código fuente[12]
  • Fuzzing:[13]​ herramientas utilizadas para pruebas de entrada.
  • Escáner de seguridad de aplicaciones web (escáner de vulnerabilidad).
  • Firewalls de aplicación web (WAF):[14]​ utilizada para brindar protección tipo firewall en la capa de la aplicación web.
  • Cracking de contraseña: herramientas de prueba de fuerza de contraseña e implementación.

Véase también

editar
  • Arquitectura de aplicaciones de servicio (ASA)
  • w3af escáner de seguridad de aplicaciones Web de código abierto
  • OWASP Proyecto abierto de seguridad de aplicaciones web
  • Escáner de aplicaciones de seguridad Web

Referencias

editar
  1. «The Ghost in the Browser». Niels Provos et al. mayo de 2007. 
  2. «All Your iFrames Point to Us». Niels Provos et al. febrero de 2008. 
  3. «Improving Web Application Security: Threats and Countermeasures». Microsoft Corporation. junio de 2003. 
  4. «Microsoft fortifies IE8 against new XSS exploits». Dan Goodin, The Register. febrero de 2009. 
  5. Varghese, Jinson (19 de octubre de 2020). «Web Application Security Testing - A Comprehensive Guide». www.getastra.com (en inglés estadounidense). Consultado el 15 de diciembre de 2021. 
  6. «Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks». Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. diciembre de 2007. 
  7. «CWE/SANS Top 25 Most Dangerous Programming Errors». CWE/SANS. mayo de 2009. 
  8. «2012 Global Losses From Phishing Estimated At $1.5 Bn». FirstPost. 20 de febrero de 2013. Archivado desde el original el 21 de diciembre de 2014. Consultado el 21 de diciembre de 2014. 
  9. «2012 Trends Report: Application Security Risks». Cenzic, Inc. 11 de marzo de 2012. Archivado desde el original el 17 de diciembre de 2012. Consultado el 9 de julio de 2012. 
  10. «The Web Hacking Incidents Database». WASC. enero de 2010. 
  11. «Web Application Vulnerability Scanners». NIST. 
  12. «Source Code Security Analyzers». NIST. 
  13. «Fuzzing». OWASP. 
  14. «Web application firewalls for security and regulatory compliance». Secure Computing Magazine. febrero de 2008. Archivado desde el original el 13 de octubre de 2008. Consultado el 3 de febrero de 2015. 
  •   Datos: Q1509541