Vulnerabilidad en las aplicaciones

vulnerabilidad en aplicaciones

Las vulnerabilidades en las aplicaciones son adecuas a la aplicación que se desea desplegar, ya que parten del código de la misma. Invariablemente de si la plataforma sobre la que deseamos desplegar la aplicación se encuentra ínfimamente fortificada, en caso de que la aplicación tenga vulnerabilidades, nos encontramos con el riesgo de que se encuentren y sean atacadas.

¿Cuáles son las vulnerabilidades en las aplicaciones?

En la actualidad, las vulnerabilidades más comunes en las aplicaciones web, son:

Cross-Site Scripting (XSS): Este conjunto de vulnerabilidades -no se propone la singularidad de vulnerabilidad-, permite que, haciendo uso de los parámetros de entrada de la aplicación, se pueda modificar y añadir un código.

Estas vulnerabilidades están situadas en el servidor, pero destinadas a atacar al cliente. Es probable que el cliente llegue a seguir un enlace de aplicación en el cual se ha modificado un parámetro, de esta forma se añade un código que será ejecutado dentro del navegador del cliente.

El código inyectado posiblemente será JavaScript o html, siendo la intención un robo de cookies, predicción del id de sesión, etc.

Dicha vulnerabilidad está focalizada en romper la confianza del cliente en la página web. Se percatará que es el dominio de la app y que, en el momento que sigue el enlace, puede llegar al sitio web deseado sin existir suplantación del mismo.

Los XSS pueden agruparse en dos grupos: Los persistentes -que es un código modificado que queda almacenado en la web- y reflejados -que es el código modificado que se elimina al cargar la página nuevamente. Este último está basado en la URL, por lo que, al recargar la página se tiende a eliminar.

Cómo corregir la vulnerabilidad más común de las apps.

La manera más óptima de corregir dicha vulnerabilidad consiste en filtrar y validar las distintas entradas de la aplicación. No se debe hacer jamás uso de una variable que es recibida desde el cliente, procurando, posiblemente, en que supondrá un valor adecuado.

En los lenguajes de programación se presentan distintas funciones que brindan la posibilidad de filtrar el contenido de las variables según el uso que se le proporcionará. Jamás debe hacerse uso de una variable que es recibida desde el cliente, esperando que tenga un valor adecuado. Los lenguajes de programación poseen distintas funciones que le brindan la posibilidad de que se filtre el contenido de las variables, tomando en consideración el uso que se le proporcionará.

Cross Site Request/Reference Forgery (CSRF): Esta es una evolución de la vulnerabilidad presentada en los XSS. Frente a este hecho, se planifica explotar la confianza en el servidor sobre el cliente. Es decir, nos convertiremos en un cliente legítimo que hará uso de datos parciales.

Dicha vulnerabilidad se encuentra presente en formularios. En el momento que son enviados al servidor, es fundamental que se asegure de que la petición es legítima y nos encontramos en la obligación de cerciorarnos que el cliente ha efectuado la petición, tratando con los pasos que sean necesarios.

La manera más optima de eliminar esta vulerabilidad, o, por lo menos, mitigarla, está focalizada en la inclusión de los tockens dinámicos. Hay FrameWorks dondde se incluyen mecaismos que prmiten añadir dicha protección a formularios de la manera más sencilla. En ciertos casos, como Laravel -quese usa para desarrollar apps en PHP- solo bastará con qu se adjudique una etiqueta a la plantilla de formulario, y éste, al final, terminará haciendo el tocken anti-csrf.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir