.
Cómo hacer apps a prueba de hackers
Hace unas semanas publicamos un post sobre el valor de los datos personales para un hacker, y el riesgo de las aplicaciones web para la protección de dichos datos. A continuación explicaremos cómo hacer aplicaciones web seguras frente a este compromiso de información.
Conocer los puntos débiles para prevenir problemas
Para proteger nuestras aplicaciones, es necesario conocer los vectores de entrada utilizados por un hacker, o lo que es lo mismo, las vulnerabilidades que exponen nuestras Webs y que podrían ser explotadas.
Para esta tarea existen metodologías como el proyecto OWASP, que elabora un TOP 10 de amenazas basadas en el impacto producido según estudios estadísticos mundiales de tendencia de ataques.
Con el fin de que desarrollar aplicaciones web seguras, podemos aplicar un análisis OWASP a nuestra Web, de forma que nos permita identificar y solventar problemas como:
1) Volcado de datos ejecutados a través de inyección de sentencias.
Por ejemplo, obtener todos los correos electrónicos de nuestros clientes.
2) Gestión incorrecta de datos de sesión.
Por ejemplo, que un visitante modificando sus datos de sesión pueda suplantar al administrador.
3) Ejecución de código a través de dominios.
Por ejemplo, un código que permita tomar el control del navegador del visitante.
4) Evasión de sistemas de control de acceso por usuario.
Por ejemplo, un usuario que accede a información para la que tendría que haber realizado una contratación.
5) Configuración incorrecta de plataformas.
Por ejemplo, un servidor Web configurado con parámetros por defecto que permitan a un atacante tomar el control del servidor.
6) Exposición de datos sensibles.
Por ejemplo, formularios de autenticación donde los datos no navegan utilizando cifrado, permitiendo así ser capturados.
7) Falta de funciones de control de acceso.
Por ejemplo, un usuario al que no se le muestra una opción porque no la ha contratado, pero que conociéndola a través de otros medios le permita alcanzarla.
8) Construcción de peticiones a través de dominios.
Por ejemplo, un usuario que pueda ejecutar una función para la que no tiene permiso a través de otro usuario que sí lo tenga.
9) Uso de componentes con vulnerabilidades reconocidas.
Por ejemplo mantener una versión de un servidor Web sin actualizar, con el paso del tiempo se habrán detectado fallos que será necesario corregir.
10) Redirecciones inválidas.
Por ejemplo, alterar el enrutado de una Web para acceder a una zona donde no se está autorizado o redirigir a un usuario a una página específica.
Ventajas
Aplicar una metodología exhaustiva como lo es OWASP fortificará nuestras aplicaciones Web y nos permitirá proveer un servicio seguro donde nuestros usuarios y nuestra organización no vea comprometida su información, que es al final el objetivo que perseguimos en Seguridad de la Información.
Latest posts by El Blog de IMF Business School (see all)
- Los proyectos y sus características principales - 02/01/2023
- Consejos para elaborar el currículum - 29/12/2022
- 10 razones para estudiar un MBA - 22/08/2022