Professional Documents
Culture Documents
Nota de aceptacin
______________________________
Jurado
______________________________
Jurado
AGRADECIMIENTOS
Dedicado a Dios quien es mi gua y protector, a mi esposo, a mis hijas con todo
mi amor por su apoyo y por haber soportado mi ausencia durante este tiempo y a
mis compaeros de trabajo quienes me alentaron a seguir adelante.
TABLA DE CONTENIDO
Pg.
GLOSARIO
RESUMEN
INTRODUCCIN
1.
1.1.
1.2.
1.3.
1.4.
1.5.
9
10
11
13
13
14
14
14
15
2.
2.1.
2.2.
2.2.1.
2.2.2.
2.2.3.
2.3.
LA SEGURIDAD EN INFORMTICA
RIESGOS QUE PUEDEN AFECTAR LA WEB
QUE ES CRIPTOGRAFA?
Qu uso tiene la criptografa?
Qu clases de tecnologas criptogrficas existen?
Servicios criptogrficos disponibles
IMPORTANCIA DE LAS COMPAAS ESPECIALIZADAS EN LA
SEGURIDAD DE LAS APLICACIONES WEB
18
19
20
21
22
23
3.
3.1.
3.1.1.
26
26
28
Etapa de instalacin
Etapa de mantenimiento
ARQUITECTURA PARA EL DESARROLLO DE APLICACIONES
WEB.
28
28
3.1.2.
3.1.3.
3.1.4.
3.1.5.
3.1.6.
3.1.7.
3.2.
24
28
28
28
28
29
3.3.
3.3.1
3.4.
3.4.1.
3.4.2.
3.5.
3.6.
3.6.1.
3.7.
3.8.
4.
4.1.
4.1.1.
4.1.2.
4.1.3.
4.2.
4.2.1.
4.2.2.
4.2.3.
4.3.
4.3.1.
4.3.2.
4.3.3.
4.4.
4.4.1.
4.4.1.1.
4.4.1.2.
4.4.1.3.
4.4.1.4.
4.4.1.5.
4.4.1.6.
4.4.1.7.
4.4.1.8.
4.4.1.9.
29
30
31
31
32
32
33
35
35
39
41
41
41
42
43
44
44
44
45
46
46
47
47
48
49
49
52
54
55
56
58
60
61
63
65
67
69
69
70
71
71
71
72
7.
78
8.
CONCLUSIONES Y RECOMENDACIONES
79
9.
BIBLIOGRAFA
76
LISTA DE FIGURAS
Pag.
Figura 1-
21
Figura 2-
29
Figura 3-
30
Figura 4-
33
Figura 5-
73
Figura 6-
73
Figura 7-
74
GLOSARIO
RESUMEN
Esta gua solo pretende encaminar al estudiante hacia soluciones que puedan
ayudarle a desarrollar una aplicacin web, no es el caso de copiar o mostrar como
propio lo que ya ha sido resuelto por otros, es precisamente llevarlos hacia las
pginas que han sido escritas con anterioridad y a las que se puede acceder
confiadamente con la informacin adecuada.
10
INTRODUCCIN
11
12
1.
Cada vez que miramos en nuestro entorno, vemos la cantidad de tecnologa que
existe, la comunicacin, los juegos, la televisin, la telefona, en fin, cada
negocio, cada casa y particularmente cada persona cuenta con un aparato que le
permite comunicarse y estar informado de manera inmediata. Nuestro activo
principal, tanto personal como de empresas es la informacin que se genera ante
cualquier uso de la tecnologa, y todo esto generalmente queda guardado en
nuestros aparatos electrnicos.
Lo primero que se debe tener en cuenta son algunos tips que existen para
proporcionar buenas prcticas en cualquier proyecto informtico.
13
14
EL DESARROLLO DE UN
Existe tanta literatura como medios para obtener los diferentes tips que hacen
que un proyecto informtico sea reconocido como buen proyecto, porque
cumplen con los lineamientos especficos que lo hacen sobresalir de los dems
proyectos y porque culminan satisfaciendo las necesidades por los que fueron
creados. Aqu nombro algunos de ellos:
Lo primero que se debe hacer es un acercamiento con el cliente para saber
sus necesidades, expectativas, requerimientos y viabilidad de su peticin.
Una vez se tenga reconocido el proyecto y lo que se va a hacer, se debe
empezar con la planificacin del trabajo en general, hacer un bosquejo de los
resultados y hacrselo saber al cliente para poner en marcha el proyecto; de
ah en adelante se debe tener en cuenta lo que sigue:
Involucrar al cliente en el desarrollo del proyecto. Hacer partcipe al cliente de
la evolucin del proyecto y sobretodo en la fase de requerimientos, con esto
se garantiza que lo que se hace es lo que quiere el cliente.
Valorar la importancia del sistema a implementar. El cliente debe tener claro
que lo que se est haciendo ser para beneficio de su empresa por tanto
debe instruir a sus empleados acerca de la importancia de poner en
funcionamiento el proyecto finalizado.
Concientizar al cliente y sobre todo a los empleados de que el proyecto en
mencin es un apoyo a la gestin de los empleados y que en ningn
momento sustituir al empleado quien es el responsable y decide qu, cundo
y cmo realizar el trabajo.
Tener siempre presente los objetivos del negocio.
Tener siempre una comunicacin directa con el cliente, evitar los
intermediarios.
15
16
J.C. Herazo (2010) Preparado para presentar tu proyecto de seguridad informtica ante
gerencia? Disponible en: http://liacolombia.com/2011/02/%C2%BFpreparado-para-presentar-tuproyecto-de-seguridad-informatica-ante-gerencia/
17
2.
LA SEGURIDAD EN INFORMTICA
Estos tres objetivos podran ser ms eficaces si a cada usuario que haga uso de la
informacin de la empresa se le diera permiso y tuviera que autenticarse al
momento de ingreso, esto como parte de la seguridad y para que se pueda
identificar el tipo de operaciones que realiza y la clase de informacin pueda
manipular en un caso dado. Igualmente se debe tener el control de los
movimientos que se presenten con el sistema realizando registros y auditoras,
18
esto garantiza el no repudio (verificacin que una transaccin cualquiera que sea
su naturaleza haya sido entregada y recibida) 4
Muchas de las aplicaciones que tienen que ver con transacciones comerciales son
objetivos de los delincuentes informticos que tratan de violar la seguridad para
obtener claves, contraseas, nmeros de tarjetas de crdito etc.; Estas
aplicaciones generalmente presentan vulnerabilidades porque no son
desarrolladas con el tiempo necesario para tener en cuenta la seguridad dadas las
presiones ejercidas por el cliente para la entrega y porque no se tiene la
conciencia de la importancia que la seguridad representa.
19
Otro de los objetivos son las debilidades de HTTP que existen cuando se utilizan
puertos TCP conocidos como el puerto 80 y/o 443 para la comunicacin y
aunque la funcin del Firewall es filtrar el trfico de informacin que entra y sale
de dos redes o de computadores que trabajan dentro de una misma red y que
deben cumplir con unas reglas especficas (que en caso de no cumplirse, la
informacin es bloqueada), si utiliza estos puertos para permitir la comunicacin,
de nada sirve.
Una de las formas de prevenir estos riegos es a travs de la Criptografa. Existen
variedad de herramientas que permiten detectar las vulnerabilidades de las
pginas web, sin embargo, existen mtodos que ayudan a proteger la
informacin y a mantenerla oculta en caso de ataques cibernticos. Para esto se
ha desarrollado una tcnica importante en el ocultamiento de la informacin, LA
CRIPTOGRAFA.
2.2. QU ES CRIPTOGRAFA?
20
21
La Firma digital: Tcnica que permite demostrar ante auditores, que los
documentos son propios, se realiza mediante un Hash generado al documento
original, mediante la clave pblica se realiza el hash del descifrado y se
comparan, si coincide, la informacin es veraz y la firma es autntica. Es
importante comprobar las fechas de caducidad o revoque. 9
22
10
Ibid., p. 37
23
Son muchas las compaas que ofrecen informacin gratuita para los
desarrolladores de aplicaciones WEB, especializadas en estos temas y llevan
mucho tiempo dedicadas a la investigacin y a la forma de combatir los diferentes
ataques producidos a las aplicaciones web. Su nico propsito es hacer de la
informtica un medio seguro y libre de ataques, aunque esto sea una tarea casi
que imposible dada la creciente proliferacin de delincuentes informticos.
http://recursostic.educacion.es/observatorio/web/es/component/content/article/104
0-introduccion-a-la-seguridad-informatica?start=3
IBM Bluemix es un entorno de plataforma como servicio desarrollado por IBM que
soporta varios lenguajes de programacin y servicios con metodologa
colaborativa en donde se puede crear, aportar y utilizar entre otras, aplicaciones
en
la
nube.
En
su
pgina
http://www.ibm.com/developerworks/ssa/rational/library/desktop-mobileapplication-security-design/ ofrece informacin acerca de la seguridad en las
aplicaciones Web y toma como referencia el proyecto OWASP para informar
acerca de las vulnerabilidades, algunos ejemplos de ellas y la forma de prevenir
los ataques y de combatirlos.
25
Primero que nada debemos saber que la palabra WEB (Acrnimo de World Wide
Web), es una palabra inglesa que tiene como significado red, telaraa o malla y es
utilizada en los medios informticos para referirnos a internet 11
Una aplicacin web, es una herramienta que ha sido creada mediante cdigo con
el nico propsito de interactuar con el usuario y cumplir con un propsito
especfico de realizar una orden que le ha solicitado un usuario. Es tambin una
herramienta que se ejecuta en internet y por tanto todos los datos archivos, o
historial de navegacin, quedan guardados en la web. Generalmente son
accedidas directamente (online) y no necesitan instalarse en el computador para
realizar su trabajo, un ejemplo de ello son Yahoo, Gmail o Microsoft Outlook, que
son programas que guardan la informacin en la nube y pueden ser accedidos
desde cualquier computador o dispositivo mvil en cualquier parte del mundo.
Las aplicaciones web nos ofrecen muchas ventajas como su gratuidad o sea que
se puede obtener una aplicacin que sirva para un fin especfico de manera
gratuita y no necesita descargarse en el computador para poder ejecutarla.
El auge que han tenido en los ltimos aos las TIC (Tecnologas de la Informacin
y la Comunicacin) ha hecho que no solamente las empresas se beneficien de
ellas por la necesidad en sus transacciones casi que inmediatas y la urgencia en
las comunicaciones giles y efectivas, sino que ha ingresado a los hogares
obligando a las personas a hacer uso de ellas no solamente utilizando la parte
transaccional sino utilizndolas como mtodo de investigacin y hasta de diversin
y esparcimiento.
Es as como cada da se inventan nuevos plataformas, sistemas operativos,
programas, aplicaciones etc. que son el resultado de grandes investigaciones que
11
26
permiten suplir en gran parte las necesidades de los usuarios y que hacen al
mundo entero partcipe del uso de las tecnologas.
Las aplicaciones web son programas informticos que se realizan a travs de un
computador y que son accedidas por la web por medio de una red como internet o
intranet o sea que no necesitan ser descargadas y se puede acceder a ellas desde
cualquier lugar y en mltiples plataformas.
Existen muchsimas metodologas para el desarrollo de aplicaciones web, la
variedad de estas metodologas depende de los requerimientos. Igualmente
existen tcnicas de modelado conceptual tradicional, mtodos de diseo
orientadas a objetos y tambin existen mejoras del modelo conceptual
implantando modelos de navegacin y presentacin. (Silva, 2001), (Marcos, 2002).
Las aplicaciones web tienen un proceso de desarrollo o de vida que puede
dividirse en etapas; este proceso permite visualizar el trabajo de manera
ordenada, haciendo que cualquier persona sepa observarlo y entenderlo. Estas
etapas estn divididas as:
12
Etapa de anlisis
Etapa de diseo
Etapa de codificacin,
Etapa de Pruebas
Etapa de instalacin
Etapa de mantenimiento.12
27
28
Web es un sitio dentro de internet que ha sido creada para contener informacin a
la que puede acceder desde un motor de bsqueda con un tema especfico,
permitiendo a los usuarios obtener informacin rpidamente con una gama amplia
de alternativas de uso.
Fuente: http://www.n4designlab.com.mx/blog/index.php/119-aspectos-basicos-de-las-aplicaciones-web
Un cliente realiza una peticin desde un buscador, esta peticin viaja usando una
conexin de red usando el protocolo HTTP y llega hasta un servidor web que se
encarga de buscar entre su sistema de archivos la solicitud y entrega la respuesta
correspondiente, una vez entregada la solicitud, se rompe el proceso. 13
29
TOMADO DE http://blog.norihost.com/
Tener claro para que necesitas registrar un hosting (Para mostrar un blog
personal, para publicar la imagen de una empresa y sus productos o para
manejar un nicho de mercado).
Tener en cuenta el tamao y el uso que queramos darle a nuestra pgina web.
30
14
31
3.4.2. Qu diferencia existe entre los gratuitos y los que tienen costo?. Los
servidores Web gratuitos son los que ofrecen servicio de alojamiento sin ningn
costo pero que se sostiene a partir de la publicidad que se ofrece en las pginas
alojadas, mientras que los Servidores Web con costo ofrecen mayores niveles de
seguridad, mayores utilidades, mayor capacidad de memoria, mayor amplitud de
almacenaje y soporte. 17
16
32
Antes de iniciar con la seguridad en aplicaciones, todos los que de alguna manera
deben trabajar con la parte de la seguridad informtica, deben conocer acerca de
lo que significa OWASP (Open Web, Application Security Proyect o en espaol
Proyecto abierto de seguridad de aplicaciones Web), ya que es una organizacin
de personas voluntarias que trabajan en pro de la comunidad, proporcionando
recursos gratuitos, apoyo a empresas para utilizar documentos, herramientas
18
Consulta
realizada
el
12
de
noviembre
gdl.com/servicios/dominios/que-es-un-dominio/
33
de
2015.
Disponible
en:
http://web-
Investigaciones de vanguardia.
34
Listas de correo19
35
21
36
<html>
<body>
<p> Hola mundo </p>
</body>
</html>22
Servidor local (No es necesario).
Editor de pgina web (opcional), ofrecen alternativas. Algunos editores entre
los cuales podemos mencionar algunos como:
22
37
Sistema operativo, programas, aplicaciones etc., los datos (la informacin que
se produce mediante el uso del software y del hardware) y los otros que son
los que se necesitan para el desarrollo de una aplicacin web como el recurso
humano, la infraestructura, papelera etc.
23
38
La seguridad que se debe aplicar al crear una aplicacin web es un tema muy
amplio dados los puntos de vulnerabilidades que lo contienen y las amenazas
constantes a las que se est expuesta, es importante tener un conocimiento muy
amplio de la manera de prevenirlos, lo importante en la creacin de una aplicacin
web dinmica es que se puede actualizar constantemente.
Aunque las amenazas que rodean las aplicaciones web estn latentes, es
importante tener en cuenta algunas recomendaciones para minimizar el riesgo,
algunas de ellas seran:
39
25
J. Lpez.(2010) Monogrfico: Seguridad en Internet Consejos para minimizar los riesgos en la navegacin
por internet, disponible en: http://recursostic.educacion.es/observatorio/web/en/listadomonograficos?start=4
40
4.
Si bien es cierto que existen innumerables de fallas que se pueden producir para
mantener protegido los sistemas de informacin, tambin es cierto que la mayora
de ellos ocurren desde el momento mismo del levantamiento de requerimientos ya
que generalmente no se tiene en cuenta la cantidad de riesgos a que se est
expuesto dada la complejidad de la infraestructura de TI que maneja todo lo
relacionado con la informacin la comunicaciones que viaja a travs de internet.
26
(https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf
27
Garavito L.M. (2013) Prototipo de una aplicacin Web para la gestin en el procesos de trabajos de grado
de la facultad de Ingeniera de la Universidad EAN. Disponible en:
http://repository.ean.edu.co/bitstream/handle/10882/3916/GaravitoLeidy2013.pdf?sequence=5
41
Ibid. Pag. 29
42
contraseas impropias.
Medidas insuficientes de proteccin en las redes.
4.1.3. Prevencin: En esta etapa es importante tener en cuenta estos pasos para
evitar malos entendidos en el futuro de la aplicacin.
Vigilar (permisos) que las personas que accedan a la pgina, no puedan
vulnerarla.
Establecer polticas de seguridad fsica (sistemas anti-incendios, protecciones
elctricas, vigilancias.
Establecer polticas procedimentales (manuales
obligaciones, responsabilidades, sanciones etc.)
de
procedimientos,
43
Actualizaciones peridicas.
Monitoreo constantes e improvisados en hardware y software.
Usar tecnologas protectoras (Antivirus, Firewall, antispyware, llaves de
proteccin de software, eliminador de huellas de internet, monitoreador de
puertos, etc.)
Escoger un buen hosting con costo porque ofrecen mayor seguridad, soporte,
capacidad, garantas, rendimiento velocidad etc.
Una vez analizadas las necesidades, en esta etapa se concretan los implementos,
las instalaciones, roles, las contingencias y cubrimientos. 29
44
4.2.3. Prevencin: En esta etapa es importante tener en cuenta estos pasos para
evitar malos entendidos en el futuro de la aplicacin.
Convenios con aseguradoras de bienes muebles.
Copias de seguridad - Backups continuos, seguro (cifrado), remoto (lejos de la
empresa), recuperaciones anteriores.
Reglamentos con penalizaciones y sanciones para los intrusos responsables.
Revisin peridica de seguros.
Creacin y puesta en prctica de manuales y procedimientos claros y
apropiados de acuerdo al nivel de seguridad necesario.
Establecer programas de formacin en seguridad para el personal interno y
para los usuarios.
Mantener informado al personal acerca de las nuevas estrategias de los
atacantes y la forma de evitarlos o combatirlos. 31
30
45
amigable
grata
visualmente,
con
espacios
Asegurar que el diseo debe estar evaluado constantemente por usuarios con
el fin de corregir errores en la marcha.
Determinar un balance entre lo que puede ofrecer el cliente y lo que quiere el
usuario.
32
Arencibia J., Toll Y. y otros (212) Gua prctica de arquitectura de informacin para aplicaciones
multimedia educativas. Disponible en http://www.nosolousabilidad.com/articulos/guia_ai.htm
46
33
Fuzi C. (2013) Metodologa gil para el diseo de aplicaciones multimedia de dispositivos mviles.
Disponible en: http://es.slideshare.net/cristopherf/metodologia-agil-para-el-diseo-de-aplicacionesmultimedias-moviles
34
Ibid Pag 16
47
Interfaz amigable.
El cliente no debe dar ms de 4 clic para encontrar la informacin.
Pgina con la informacin necesaria.
Compra de software garantizado y recomendable por su trayectoria.
Validaciones y monitoreo por parte del cliente y de los usuarios durante la
ejecucin del proyecto.
Los documentos originales estn creados en el idioma Ingls, pero ya han sido
traducido algunos de ellos a varios idiomas incluyendo el espaol, Podemos
35
48
utilizar los documentos y herramientas que ofrecen, OWASP tiene catalogado los
proyectos en categoras, los proyectos de desarrollo y los de documentacin. En la
ejecucin de proyectos de aplicaciones web, OWASP ofrece una gua para la
construccin de aplicaciones y servicios Web seguros. Est disponible en:
https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.
pdf y est escrita en idioma espaol, para la fcil comprensin de los
hispanohablantes.
La pgina de OWASP Top 10-213 Contiene los pasos a seguir para la
programacin de una aplicacin Web segura; en esta pgina se ofrece un estudio
detallado de los diez riesgos o vulnerabilidades ms crticas en Aplicaciones Web,
explicando que son, cmo prevenirlas, ejemplos y referencias bibliogrficas como
documentos de apoyo para los programadores documentarse. Esta pgina est
Disponible
en:
https://www.owasp.org/images/5/5f/OWASP_Top_10__2013_Final_-_Espa%C3%B1ol.pdf
Para tener una idea de lo que ofrece OWASP de acuerdo con estudios realizados,
citaremos algunas de las vulnerabilidades ms conocidas, frecuentes y
peligrosas:36
36
OWASP Top 10 2013- Los diez riesgos ms crticos en Aplicaciones Web, Disponible en:
https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf
49
4.4.1.1.
A1: inyeccin: Es un ataque producido mediante insercin de
cdigo malicioso dentro de una consulta en SQL, OS y LDAP, aprovechando la
vulnerabilidad en el nivel de validacin de entradas de operaciones generalmente
en una base de datos.
Igualmente en la Pgina http://pressroom.hostalia.com/white-papers/ataquesinyeccion-sql, explica claramente cmo se produce un ataque por inyeccin y
algunos consejos de cmo evitarlos.
Cmo prevenirlos.
50
51
4.4.1.2.
A2: Prdida de autenticacin y gestin de sesiones: Cuando las
claves o informacin sensible no es protegida adecuadamente, el atacante
aprovecha estas vulnerabilidades que generalmente son ofrecidas en el cierre de
sesin, en la gestin de las contraseas, en el tiempo de desconexin, en la
funcin de recordar contrasea, para robar la informacin sensible, incluyendo un
script en una pgina web que se ejecuta cuando el usuario la utiliza.
Generalmente se presentan cuando se gestionan las contraseas, cuando expiran
las sesiones, cuando se recuperan valores automticamente, cuando el usuario
solicita recordar contrasea etc.37
En la pgina de OWASP tambin se encuentra informacin como:
Identifica la vulnerabilidad si:
Forma de prevenirlos;
37
Ibid, pag. 8
52
Trucos
en
el
manejo
de
sesin.
Disponible
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
53
en:
4.4.1.3.
A3: secuencia de comandos en sitios cruzados (xss) o cross site
scripting (XSS): Generalmente utilizada mediante correos engaosos en los que
los atacantes utilizan un buscador insertando un mensaje de alerta en JavaScript o
mensaje en HTML, que hace que la vctima ejecute un comando dentro de su
direccin web para luego robar las cookies y por consiguiente la identidad. 38
Identifica la vulnerabilidad si:
Forma de prevenirlos
38
Separar los datos no confiables basados en HTML del contenido activo del
navegador, para ello OWASP ofrece algunos de trucos o cheat Sheets
para aplicar las tcnicas en las rutinas de programacin de una aplicacin
WEB. En la siguiente pgina encontraremos las tcnicas de prevencin:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_
Cheat_Sheet.
Ibid, pag. 9
54
4.4.1.4.
A4 referencia directa insegura a objetos: Esta vulnerabilidad se
da cuando los accesos a recursos no cuentan con el debido control y cualquier
usuario puede manipular la informacin. Un desarrollador expone una referencia
un objeto de implementacin interno (fichero, base de datos o directorio) sin la
debida proteccin.39
39
Ibid, pag 10
55
56
cuando existen pginas sin uso, fallas sin el parche correspondiente, archivos y
directorios sin proteccin.40
Identificar la vulnerabilidad: verificar que las aplicaciones cuenten con
actualizaciones, vigilar que no estn habilitados caractersticas innecesarias
como puertos, servicios, pginas, cuentas etc., vigilara el cambio de
contrasea peridico, configurar las libreras a valores seguros.
Como prevenirlos:
40
Ibid, pag 11
57
4.4.1.6.
A6 Exposicin de datos sensibles: Ocurre cuando el atacante
puede acceder fcilmente a los datos sensibles almacenados en la aplicacin o
cuando se envan datos a travs del correo. Esto generalmente ocurre con fraude
en tarjetas de crdito o robos de identidad. 41
Identificar la vulnerabilidad: Una vez se tienen identificados los datos sensibles
como contraseas, nmeros de tarjetas de crdito informacin personal, se
identifica la vulnerabilidad si estos datos se almacenan en texto claro, o son
trasmitidos por internet textualmente, o se generan claves dbiles.
Como prevenirlos:
41
Ibid, pag 12
58
Trucos
para
almacenamiento
criptogrfico.
Disponible
en:
https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet
59
en:
4.4.1.7.
A7 Ausencia de control de acceso a funciones: Esta
vulnerabilidad se da por la falta de validacin en el procesamiento de URLs con
las que se puede invocar recursos sin los derechos apropiados o pginas
ocultas.42
Identificar la vulnerabilidad: Verificar cada funcionalidad de la aplicacin.
Realiza pruebas de proxies con un rol privilegiado y luego con un rol menos
privilegiado?
Como prevenirlos:
42
El acceso debe ser restringido y negar el acceso por defecto con permisos
especfico a cada funcionalidad.
Ibid, pag 13
60
En esta pgina se ofrece una gua con la que se asegura que el usuario
autenticado tiene los privilegios adecuados para acceder a los recursos de
acuerdo
con
el
rol
correspondiente.
Disponible
en:
https://www.owasp.org/index.php/Guide_to_Authorization
4.4.1.8.
A8 - Falsificacin de peticiones en sitios cruzados (CSRF) Un
ataque CSRF obliga al navegador de una vctima autenticada a enviar una peticin
HTTP falsificado, incluyendo la sesin del usuario y cualquier otra informacin de
autenticacin incluida automticamente, a una aplicacin web vulnerable. Esto
permite al atacante forzar al navegador de la vctima para generar pedidos que la
aplicacin vulnerable piensa son peticiones legtimas provenientes de la vctima. 43
43
Ibid, pag. 14
61
Como prevenirlos:
62
4.4.1.9.
A9 - Utilizacin de componentes con vulnerabilidades conocida:
Es una vulnerabilidad a travs de la cual el atacante identifica o conoce mediante
escaneos o anlisis manuales, los componentes dbiles de una aplicacin web
como los frameworks y ejecuta el ataque.44
Identificar la vulnerabilidad: Esta vulnerabilidad es difcil de identificar dadas las
versiones de los componentes, solo se puede verificar buscando en las bases
44
Ibid Pag. 15
63
45
64
https://es.opensuse.org/Software_libre_y_de_c%C3%B3digo_abierto
4.4.1.10.
A10 Redirecciones y reenvos no validados: Vulnerabilidad
producida por la necesidad propia de la aplicacin de redireccionar al usuario a
una pgina no segura, el atacante crea enlaces para que la vctima haga clic que
65
luego son llevados a una aplicacin de confianza y all los atacantes instalan el
cdigo malicioso.46
Identificar la vulnerabilidad:
Como prevenirlos:
46
Ibid Pag. 16
66
67
Application Security Guide For CISOs. Documento en ingls que trata sobre
ayudar a los jefes de los servicios informticos, a gestionar los programas de
seguridad
de
las
aplicaciones.
Disponible
en:
https://www.owasp.org/images/d/d6/Owasp-ciso-guide.pdf
OWASP Cheat Sheet: Trucos para identificar las vulnerabilidades y su
defensa Disponible en: https://translate.google.com.co/translate?hl=es419&sl=en&u=https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sh
eet&prev=search
OWASP Categora de las Vulnerabilidades: Lista de las vulnerabilidades, que
son, como se utilizan y como combatirlas. Disponible en:
https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=sea
rch&rurl=translate.google.com.co&sl=en&u=https://www.owasp.org/index.php/
Category:Vulnerability&usg=ALkJrhiPJIJCJW34BetOpiykG70P5dMKVw
Gua de pruebas OWASP: Muestra los procedimientos y herramientas para
probar la seguridad de las aplicaciones y est dedicada para desarrolladores
de software, Testers de software y especialista de seguridad especialmente.
Disponible
en:
https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_
ver_3.0.pdf
Gua de revisin de cdigo OWASPO: ofrece verificacin de cdigo de las
aplicaciones, an no est publicado en espaol, solo en ingls. Disponible en:
https://www.owasp.org/images/2/2e/OWASP_Code_Review_Guide-V1_1.pdf
Lista de preguntas frecuentes con sus respuestas (en Ingls), disponible en:
https://www.owasp.org/index.php/OWASP_AppSec_FAQ
OWASP Top 10-213 Los diez riesgos o vulnerabilidades ms crticas en
Aplicaciones Web, Es un documento en donde se relacionan los riesgos y
vulnerabilidades ms crticas de las aplicaciones Web, explicando que son,
como prevenirlas, ejemplos y referencias bibliogrficas para documentarse.
Disponible en:
https://www.owasp.org/images/5/5f/OWASP_Top_10__2013_Final_-_Espa%C3%B1ol.pdf
68
5.
Nessus por Tenable Network Security: Solucin usada para las evaluaciones de
vulnerabilidad, configuracin y compatibilidad, previene ataques a la red mediante
la identificacin de vulnerabilidades y problemas de configuracin que los
delincuentes informticos utilizan para ingresar a la red
69
47
70
6.
51
Consulta realizada el 25 de octubre de 2015, ADM TOOLS. Acunetix Web Vulnerability Scaner. Disponible
en: http://www.adm-tools.com/portfolio/acunetixwebvulnerabilityscanner/
71
72
73
ALTO: 0
MEDIO: 56
BAJO: 2
INFORMACIN: 37
Igualmente se encuentra la siguiente informacin.
Lista de directorios
html desde afuera proteccin CSRF
Cdigo fuente divulgacin
Credenciales de usuario se envan en texto claro
Cookie de sesin sin httponly pabelln conjunto
Enlaces rotos
74
77
7.
Dado que para los estudiantes es ms cmodo ver una pgina Web, se ha creado
una pgina en la que puedan consultar la gua.
http://liliseguridadinformatica.webnode.es/
78
8.
CONCLUSIONES Y RECOMENDACIONES
La gua logr el objetivo de identificar las mejores prcticas con las herramientas
de prueba asociadas, para la construccin de aplicaciones Web seguras mediante
la consulta de estndares de la industria.
79
9.
BIBLIOGRAFA
80
81
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/
915/A5.pdf?sequence=1 2-3-4-5-6-7- etc
82