El peligro de un uploader mal desarrollado

- Seguridad en la subida de archivos –

FRASE:
Permitir la subida de archivos en una aplicación web abre muchas posibilidades a ataques
mediante la inclusión de archivos maliciosos

Durante los desarrollos web, es probable encontrarnos con la necesidad de que nuestros lectores
o nuestra audiencia deba subir archivos a nuestro servidor.

Cabe resaltar, que la Subida de archivos está disponible tanto en redes sociales como en cualquier
aplicación con perfiles de usuario, blogs, foros, sitios bancarios, etc. Los usuarios pueden subir
imágenes, vídeos y muchos otros tipos de archivos más. Cuanta más libertad se deja al usuario
más aumentan los riesgos.

Si no implementamos las medidas de seguridad necesarias para dicha funcionalidad podríamos

tener en peligro la disponibilidad, la integridad y la confidencialidad de los datos alojados en dicho
servidor.

CASO DE USO
(Desde la perspectiva de un atacante)

A continuación, lograremos apreciar un sistema de información que permite la subida de archivos

de formato PDF.

Vamos a validar los formatos de archivos aceptados por el aplicativo, para luego desarrollar un
archivo malicioso que nos permitirá ejecutar comandos sobre el servidor.

Una vez que tenemos subida la Shell en el servidor podemos realizar cualquier cambio sobre el
aplicativo web, para esta demostración vamos a realizar un deface.

CASO DE USO
(¿Como protegerse desde la perspectiva del cliente?)

 Generar nombres aleatorios a los archivos subidos.

 Limitar el archivo a un máximo de tamaño.
 Renombrar la extensión de los archivos subidos.
 Evitar la visualización de los archivos subidos desde el servidor.
 Restringir los tipos de archivo del lado del cliente y del servidor
 10 consejos para generar una contraseña segura en Internet

1. Las contraseñas deben tener una longitud de entre ocho y diez caracteres como mínimo.

2. Se debe combinar el uso de mayúsculas y minúsculas, incluir algún número y un símbolo.

3. Se recomienda no repetir contraseñas para diferentes servicios o, en todo caso, tener variantes
con pequeños cambios.

4. No se deben utilizar como contraseña palabras de diccionario porque hacen más vulnerable el
sistema.

5. Evitar el uso de contraseñas que hagan referencia a datos fácilmente deducibles como son las
fechas de cumpleaños.

6. Se puede construir una contraseña a partir de las primeras letras de las palabras que componen
el título de una canción favorita.

7. Si se escriben las contraseñas en un papel hay que ser prudente y no dejarlo en un lugar visible
ni cerca del ordenador.

8. Se pueden guardar las contraseñas para recordar en un documento de Word que esté cifrado o
también en servicios online que ofrezcan la posibilidad de cifrar el contenido.

9. A las preguntas planteadas en el proceso de recuperación de contraseñas se debe evitar dar

información personal conocida por muchas personas.

10. Hay que evitar el uso de contramedidas forzadas y ampliamente utilizadas como cambiar
algunas letras por números similares. El hecho de utilizar simbología similar hace las contraseñas
más vulnerables.

CASO DE USO
- Realizando un ataque de fuerza bruta sobre keepass -