Aplicaciones web seguras, a prueba de hackers

Aplicaciones web seguras, a prueba de hackers

.

Cómo hacer apps a prueba de hackers

Hace unas semanas publicamos un post sobre el valor de los datos personales para un hacker, y el riesgo de las aplicaciones web para la protección de dichos datos. A continuación explicaremos cómo hacer aplicaciones web seguras frente a este compromiso de información.

 

Conocer los puntos débiles para prevenir problemas

Para proteger nuestras aplicaciones, es necesario conocer los vectores de entrada utilizados por un hacker, o lo que es lo mismo, las vulnerabilidades que exponen nuestras Webs y que podrían ser explotadas.

Para esta tarea existen metodologías como el proyecto OWASP, que elabora un TOP 10 de amenazas basadas en el impacto producido según estudios estadísticos mundiales de tendencia de ataques.

Con el fin de que desarrollar aplicaciones web seguras, podemos aplicar un análisis OWASP a nuestra Web, de forma que nos permita identificar y solventar problemas como:

1) Volcado de datos ejecutados a través de inyección de sentencias.

Por ejemplo, obtener todos los correos electrónicos de nuestros clientes.

2) Gestión incorrecta de datos de sesión.

Por ejemplo, que un visitante modificando sus datos de sesión pueda suplantar al administrador.

3) Ejecución de código a través de dominios.

Por ejemplo, un código que permita tomar el control del navegador del visitante.

4) Evasión de sistemas de control de acceso por usuario.

Por ejemplo, un usuario que accede a información para la que tendría que haber realizado una contratación.

5) Configuración incorrecta de plataformas.

Por ejemplo, un servidor Web configurado con parámetros por defecto que permitan a un atacante tomar el control del servidor.

6) Exposición de datos sensibles.

Por ejemplo, formularios de autenticación donde los datos no navegan utilizando cifrado, permitiendo así ser capturados.

7) Falta de funciones de control de acceso.

Por ejemplo, un usuario al que no se le muestra una opción porque no la ha contratado, pero que conociéndola a través de otros medios le permita alcanzarla.

8) Construcción de peticiones a través de dominios.

Por ejemplo, un usuario que pueda ejecutar una función para la que no tiene permiso a través de otro usuario que sí lo tenga.

9) Uso de componentes con vulnerabilidades reconocidas.

Por ejemplo mantener una versión de un servidor Web sin actualizar, con el paso del tiempo se habrán detectado fallos que será necesario corregir.

10) Redirecciones inválidas.

Por ejemplo, alterar el enrutado de una Web para acceder a una zona donde no se está autorizado o redirigir a un usuario a una página específica.

Ventajas 

Aplicar una metodología exhaustiva como lo es OWASP fortificará nuestras aplicaciones Web y nos permitirá proveer un servicio seguro donde nuestros usuarios y nuestra organización no vea comprometida su información, que es al final el objetivo que perseguimos en Seguridad de la Información.

LEE:  #FoodShareFilter, una app solidaria

 

The following two tabs change content below.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education pertenece a la AACSB, a la AMBA, a la AEEN y a ANCED, entre otras organizaciones. Sus programas cuentan con el aval de ANECA, Cambridge y Oxford y la alta valoración de sus más de 150.000 alumnos. Está incluida en el Ranking The Best Global MBA y reconocida como Emagister Cum Laude desde 2015. Cuenta con los sellos de calidad EFQM 5star, Excelencia Europea, Madrid Excelente, ISO 9001 e ISO 14001. Escuela de Negocios Nº1 del mundo en el EFQM Global Index.

Latest posts by El Blog de IMF Business School (see all)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *