Vulnerabilidad en las aplicaciones
Las vulnerabilidadesen las aplicaciones son adecuas a la aplicación que se desea desplegar, yaque parten del código de la misma. Invariablemente de si la plataforma sobre laque deseamos desplegar la aplicación se encuentra ínfimamente fortificada, encaso de que la aplicación tenga vulnerabilidades, nos encontramos con el riesgode que se encuentren y sean atacadas.
Tabla de contenido
¿Cuáles son las vulnerabilidades en las aplicaciones?
En la actualidad, las vulnerabilidades más comunes en las aplicaciones web, son:
Cross-Site Scripting (XSS): Este conjunto de vulnerabilidades -no se propone la singularidad de vulnerabilidad-, permite que, haciendo uso de los parámetros de entrada de la aplicación, se pueda modificar y añadir un código.
Estas vulnerabilidades están situadas en elservidor, pero destinadas a atacar al cliente. Es probable que el clientellegue a seguir un enlace de aplicación en el cual se ha modificado un parámetro,de esta forma se añade un código que será ejecutado dentro del navegador delcliente.
El código inyectado posiblemente seráJavaScript o html, siendo la intención un robo de cookies, predicción del id desesión, etc.
Dicha vulnerabilidadestá focalizada en romper la confianza del cliente en la página web. Sepercatará que es el dominio de la app y que, en el momento que sigue el enlace,puede llegar al sitio web deseado sin existir suplantación del mismo.
Los XSS pueden agruparse en dos grupos: Lospersistentes -que es un código modificado que queda almacenado en la web- yreflejados -que es el código modificado que se elimina al cargar la páginanuevamente. Este último está basado en la URL, por lo que, al recargar lapágina se tiende a eliminar.
Cómo corregir la vulnerabilidad más común de las apps.
La manera más óptima de corregir dicha vulnerabilidad consisteen filtrar y validar las distintas entradas de la aplicación. No se debe hacerjamás uso de una variable que es recibida desde el cliente, procurando,posiblemente, en que supondrá un valor adecuado.
En los lenguajes de programación sepresentan distintas funciones que brindan la posibilidad de filtrar elcontenido de las variables según el uso que se le proporcionará. Jamás debehacerse uso de una variable que es recibida desde el cliente, esperando quetenga un valor adecuado. Los lenguajes de programación poseen distintasfunciones que le brindan la posibilidad de que se filtre el contenido de lasvariables, tomando en consideración el uso que se le proporcionará.
Cross Site Request/Reference Forgery(CSRF): Esta es una evolución de la vulnerabilidad presentada en los XSS.Frente a este hecho, se planifica explotar la confianza en el servidor sobre elcliente. Es decir, nos convertiremos en un cliente legítimo que hará uso dedatos parciales.
Dicha vulnerabilidadse encuentra presente en formularios. En el momento que son enviados alservidor, es fundamental que se asegure de que la petición es legítima y nosencontramos en la obligación de cerciorarnos que el cliente ha efectuado lapetición, tratando con los pasos que sean necesarios.
La manera más optima de eliminar estavulerabilidad, o, por lo menos, mitigarla, está focalizada en la inclusión delos tockens dinámicos. Hay FrameWorks dondde se incluyen mecaismos que prmitenañadir dicha protección a formularios de la manera más sencilla. En ciertoscasos, como Laravel -quese usa para desarrollar apps en PHP- solo bastará conqu se adjudique una etiqueta a la plantilla de formulario, y éste, al final,terminará haciendo el tocken anti-csrf.
¿Qué es el phishing?
En qué consiste el ataque de día cero
Qué es el sistema de prevención de intrusos
Deja una respuesta
Artículos que te pueden interesar