Download Vulnerabilidades de Aplicaciones web and more Thesis Computer Science in PDF only on Docsity!
Desarrollo de Aplicaciones Web Agosto-Diciembre 202 3
Seguridad de Aplicaciones Web
Pérez Sánchez Víctor Abraham, Ramos Gutiérrez José de Jesús, Reyes Solís
Eduardo, Valtierra Retana Iván Darío, Vázquez Duarte Georgina, Solís Téllez
Marcos Miguel, Zaragoza Rodríguez José Martín
Instituto Tecnológico superior de Irapuato, Irapuato, México Abstract The constant advancements being made today render concepts obsolete that seemed established just yesterday. Hence, this research is conducted with the aim of shedding light on various aspects of web security, both in terms of how vulnerabilities are exploited and, in contrast, how data loss is prevented in web applications. Los incesantes avances que se realizan hoy en día hacen que se queden obsoletos conceptos que ayer parecían quedar establecidos por ello se realiza esta investigación con el afán de dar a conocer diversos aspectos de la seguridad web en la forma en que se llega a vulnerar y en oposición el cómo se previenen la perdida de los datos en las aplicaciones web Palabras claves: Vulnerabilidades Informáticas, ciberataques, cibercriminales, seguridad de software, aplicaciones web, mitigación, seguridad, ataques, técnicas, herramientas, dteccion de culnerabilidades. Introducción En el vertiginoso mundo de la tecnología, la constante evolución en el campo del desarrollo web exige una reevaluación continua de los conceptos establecidos. Esta investigación se adentra en la dinámica de las aplicaciones web, explorando su concepción en medio de una amalgama de avances y desafíos. En este contexto, se analiza la creciente vulnerabilidad que enfrentan las aplicaciones web en su proceso de desarrollo. La agilidad con la que las tecnologías avanzan a menudo resulta en la subestimación de riesgos cibernéticos. Este estudio examina los puntos críticos de vulnerabilidad en la creación de aplicaciones web y su impacto en la seguridad digital. Se destacan áreas de preocupación, como las amenazas de inyección de código y las vulnerabilidades de autenticación, ofreciendo una panorámica esencial para los desarrolladores y responsables de seguridad. . 1.1. Definición de seguridad de aplicaciones web. La seguridad de aplicaciones web se refiere a la práctica de proteger las aplicaciones basadas en la web contra amenazas y vulnerabilidades que podrían comprometer la confidencialidad, integridad y disponibilidad de los datos y servicios proporcionados por esas aplicaciones. Esta disciplina se centra en identificar, mitigar y prevenir diversos riesgos y ataques que pueden afectar a las aplicaciones web y a sus usuarios. El objetivo principal es garantizar que las aplicaciones funcionen de manera segura y confiable, brindando una experiencia positiva, protegiendo tanto los datos de los usuarios como los recursos de las organizaciones.
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 2 Figura 1. Importancia de la seguridad. En la figura se ejemplifica la importancia de la seguridad en un contexto de actualidad sobre como las aplicaciones web deben contar con ello para evitar las Perdidas de los datos 1.2. Análisis del problema El crecimiento acelerado de la tecnología en los últimos años ha permitido que las organizaciones migren sus aplicaciones tradicionales hacia servicios enfocados a la internet, aplicaciones y últimamente a la computación en la nube, como se ve representado en la Figura 2 , a consecuencia de este vertiginoso cambio ocurrido se ha vuelto la información un activo de importantísimo valor y un profundo cuidado para las empresas, puesto que el procesamiento de los datos y su interpretación son utilizados de forma efectiva para la toma de decisiones, reducir incertidumbre y la previsión de distintos escenarios a futuro.
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 4 Figura 3. Uso de las vulnerabilidades para robar información. La Figura 3 nos permite observar de manera sencilla como actúa un delincuente informático encontrando las vulnerabilidades de un sistema de aplicación web y explotando, en este caso el vector más vulnerable para poder acceder y sustraer la información que se pretende que es confidencial. 1.3.1. Inyecciones. Este tipo de fallo de seguridad ocurre cuando datos no confidenciales son enviados como parte de una consulta o comandos al sistema y el intérprete puede emitir una respuesta concediéndole acceso a información no autorizada engañándolo de esta manera para realizar acciones no deseadas o contempladas por el sistema, estas inyecciones pueden ser tipo SQL en su gran mayoría. Las inyecciones pueden producir pérdidas de información, falla de integridad en los datos, por lo que debemos considerar el valor de los datos que son afectados por estas vulnerabilidades, a continuación, se detalla más ampliamente estas debilidades. Las inyecciones SQL radican en enviar códigos SQL modificados por medio de formularios, con el fin de alterar las búsquedas hacia la base de datos generando así posibilidades de conseguir o alterar la información. 1.3.2. Autenticación y gestión de sesiones. Este tipo de vulnerabilidad en las aplicaciones web radican en que las credenciales de acceso de los usuarios pueden estar almacenados en textos claros, es decir sin ningún tipo de cifrado o hash además de que esta información puede trasmitirse por canales que no son seguros o no tienen ningún tipo de seguridad. De la misma manera las sesiones pueden ser atacadas puesto que existen brechas o fallos de seguridad por las cuales
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 5 los identificadores, contraseñas de sesiones son expuestas por las URL, de la misma manera se pueden establecer sesiones sin expiración o caducidad dejando así un acceso a otros individuos capaces de usar la misma sesión para realizar cualquier tipo de actividad no autorizada. 1.3.3. Exposición de datos sensibles. La exposición de datos sensibles hace referencia a que dentro de las aplicaciones web la mayoría de los desarrolladores al programar dejan en texto claro datos relevantes para la organización como puede ser tarjetas de crédito, información de proveedores, datos personales, credenciales de autenticación, entre otros, además no sólo se hace mención al almacenamiento en las bases de datos sino también a los canales de trasmisión de los datos y la utilización de técnicas de cifrado débiles u obsoletas que representan un considerable riesgo. 1.3.4. Control de acceso. El control de acceso de las aplicaciones web es un mecanismo que en gran parte se ha basado en la creación y utilización de roles para brindar una significativa seguridad a los procesos del sistema pero lo cual no lo hace completo, puesto que las vulnerabilidades que se presentan también están a nivel de las funcionalidades, es decir existen problemas puesto que pueden visualizarse navegaciones no autorizadas en la dirección URL del sistema, concediéndoles de esta manera a usuarios que puedan ser auténticos paso a funciones que no están autorizados o que llegan a provocar alteración de esa información en el cambio de alguna función o modificación de parámetros en la dirección web. 1.3.5. Secuencias de comandos en sitios cruzados. Los ataques Cross-site scripting (XSS) facultan la inserción de scripts que se pueden ejecutar en el lado del cliente en páginas o aplicaciones web que son accesibles por otros usuarios, popularmente son usados para el hurto de sesiones. Este tipo de vulnerabilidades permiten a los atacantes incrustar Código generalmente JavaScript en variables de tipo Get o Post, un ejemplo de este tipo es donde el dato a consultar aparece después como resultado de esta búsqueda.
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 7
- Análisis estático de Código (auditoria del Código Fuente): es un método en el que no se requiere ejecutar el programa, este realiza un análisis de Código Fuente directo para determinar huecos en la seguridad.
- Análisis dinámico de Código: Se comunica con la aplicación web a través de front-end de la aplicación en orden de identificar vulnerabilidades de seguridad potenciales y debilidades en la arquitectura de la aplicación web.
- Pruebas de penetración: consiste en la simulación de un ataque de los maliciosos outsiders (que no tienen un medio autorizado de acceder a los sistemas de la organización) y de maliciosos insiders (que tienen algún nivel de acceso autorizado). El proceso implica un análisis activo del sistema en busca de posibles vulnerabilidades que podrían resultar de configuración deficiente o inadecuada del sistema, fallos de hardware o software, ya sea conocidos y desconocidos, o fallos operativos en proceso o contramedidas técnicas.
- Pruebas pasivas: Las pruebas pasivas están diseñadas para el análisis del tráfico de telecomunicaciones. Permite detectar fallas y defectos de seguridad mediante el examen de los paquetes capturados (live trafficor log files).
- Pruebas activas: utiliza un programador de subprocesos asignados al azar para verificar si las advertencias comunicadas por un análisis predictivo de programa son errores reales.
- Fuzz testing (pruebas de caja negra): consiste en estimular el sistema bajo prueba, utilizando datos aleatorios o mutados queridos, con el fin de detectar comportamientos no deseados como violación de confidencialidad. 1.5. Herramientas de mitigación. La seguridad de la información para cualquier organización ya sea de carácter pública, privada o de cualquier otra índole es fundamental, puesto que los datos son los elementos informáticos más valiosos que ésta posee y los cuales deben ser salvaguardados ante posibles amenazas externas o internas, es por esto que se hace ineludible el uso de tecnologías, programas y procesos para controlar y reducir las vulnerabilidades con el objetivo de minimizar los riesgos en la alteración o pérdida de información como en la Figura 5 se ve reflejado existen varios métodos de encriptación y protocolos de transferencia aportando mayor seguridad.
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 8 Figura 5. Seguridad en aplicaciones web. La importancia de la seguridad de las aplicaciones web es que a menudo estas manejan información sensible de los usuarios, como datos personales, contraseñas, información financiera y más. Como Podemos ver en la imagen es necesario el uso de la seguridad porque nos permite tener de la mejor manera nuestra información en el caso de querer acceder desde alguna aplicación web a los servidores, para solicitar algún tipo de información. Ya que sin una adecuada seguridad nuestros datos pueden ser vulnerables. 1.5.1. QualysGuard web Application Scanning WAS. Es una herramienta en la nube que permite realizar pruebas funcionales con selenium para aplicaciones web, además de pruebas de penetración. Permite encontrar vulnerabilidades del top 10 de OWASP. 1.5.2. WebSite Security Audit- WSSA. Permite examinar páginas web, aplicaciones y servidores web para encontrar vulnerabilidades de seguridad. Realiza pruebas de vulnerabilidades de código conocidas como: SQL injection, XSS (Cross Site Scripting), entre otras.
Georgina, Solís Téllez Marcos Miguel, Zaragoza Rodríguez José Martín / Seguridad de Aplicaciones Web ( 2023 ) 10 Cova, M., Felmetsger, V., & Vigna, G. (2007). Vulnerability analysis of web-based applications. En Springer (Ed.). Recuperado el 24 de Agosto de 2023 Feuerlicht, G., & Tran, H. (2014). Enterprise application management in cloud computing context. En Proceedings of the 16th International Conference on Information Integration and Web-based Applications & Service (Vol. 16, págs. 5 17 - 523). Association for Computing Machinery. Recuperado el 25 de Agosto de 2023 Lee, H., Malkin, T., & Nahum, E. (2007). Cryptographic strength of ssl/tls servers: current and recent practices. En Proceedings of the 7th ACM SIGCOMM conference on Internet measurement (págs. 83-92). Recuperado el 23 de Agosto de 2023 Sarhan, A., Farhan, S., & Al-Harby, F. (2018). Understanding and discovering SQL injection vulnerabilities. Springer International Publishing. Recuperado el 24 de Agosto de 2023 Zachara, M. (2016). Identification of possible attack attempts against web applications utilizing collective assessment of suspicious requests. Springer Berlin Heidelberg.
