Introducción

En la actualidad el crecimiento de internet ha impactado directamente en la seguridad de

la información manejada cotidianamente. Sitios de comercio electrónico, servicios, bancos e
incluso redes sociales contienen información sensible que en la mayoría de los casos resulta ser
muy importante. Se puede decir que uno de los puntos más críticos de la seguridad en Internet
son las herramientas que interactúan de forma directa con los usuarios, en este caso los
servidores web.

Programar aplicaciones web seguras no es una tarea fácil, ya que requiere por parte del
programador, no sólo cumplir con el objetivo funcional básico de la aplicación, sino una
concepción general de los riesgos que puede correr la información que allí se va a procesar.
 2

Objetivos

Objetivo general

Analizar las vulnerabilidades que se pueden presentar en una aplicación web con el fin de
entender los riesgos que conlleva.

Objetivos específicos

 Identificar las principales vulnerabilidades y estrategias de ataque en servidores web.

 Describir mediante un cuadro comparativo las vulnerabilidades identificadas con un
ejemplo real de cada una de ellas.
 3

Mecanismo de Ejemplo real de

Nombre de la Descripción de la
explotación de la ataque debido a la
vulnerabilidad vulnerabilidad
vulnerabilidad vulnerabilidad
Entradas invalidadas Los campos de Los ataques de Un ejemplo puede ser
entrada no se validan inyección de SQL los Stacked-queries
y no se diferencian muy comunes en que funcionan en
las palabras clave que aplicaciones web aquellos casos en los
forman parte de la aprovechan la que la aplicación web
consulta SQL de lo vulnerabilidad de permite la ejecución
que son solo datos de entradas invalidadas múltiple de consultas
entrada. y consiguen extraer o (separadas por ‘;’), y
incluso borrar aprovecha esta
información de la funcionalidad para
base de datos añadir todo tipo de
alterando la sentencia consultas de ataque
de la consulta. después de la
consulta válida
enviada.

www.sitioweb.com/
index.php?id=3;
DELETE FROM
products
Fallos de control de La vulnerabilidad de Cuando las Un usuario descubre
acceso control de acceso funcionalidades una manera de
ocurre cuando la asociadas al control establecer una
aplicación está de acceso son contraseña diferente
permitiendo que deficientes, un de usuario, entonces
un usuario lleve a atacante puede, a dicho usuario puede
cabo algo que no menudo, atacar una cuenta de
debe. comprometer la administrador y
aplicación completa, tomar el control de la
tomando el control de aplicación.
la funcionalidad de
administración y
teniendo acceso a
datos sensibles que
pertenecen a otros
usuarios
Fallos en la Deficiencias en estas Se presenta con Un usuario
administración de áreas, con mucha mayor frecuencia se autenticado puede
Autentificación y frecuencia implican presentan a través de consultar una serie de
Sesión fallas en la protección las funciones artículos de una
de credenciales y auxiliares de determinada
testigos (tokens) de autenticación como el categoría. Navegando
sesión a través de su cierre de sesión, por cada uno de los
 4

ciclo de vida. Estos gestión de artículos accede a

defectos pueden contraseñas, uno que le interesa y
conducir a un robo de expiración de sesión,que quiere compartir
usuarios o cuentas de recuérdame, pregunta con sus amigos, por
administración, secreta y lo que accede a la
sabotaje de los actualización de URL que tiene en su
controles de cuenta. navegador. cierra su
autorización y navegador y postea
registro, causando en una red social este
violaciones a la enlace para que todos
privacidad. puedan acceder a este
curioso artículo.
Como el servidor en
el que se encuentra el
artículo no cierra la
sesión del usuario
salvo que sea por
petición de éste,
cualquiera de sus
amigos que acceda a
dicho enlace
aparecerá registrado
en la aplicación como
el usuario autenticado
con el consecuente
acceso a sus datos.
Fallos de Cross-Site Es un tipo de XSS es un vector de Un clásico ejemplo
Scripting (XSS) vulnerabilidad ataque que puede ser de esto es hacer que a
informática o agujero utilizado para robar través de un buscador
de seguridad típico de información delicada, se ejecute un mensaje
las aplicaciones Web, secuestrar sesiones de de alerta en
que puede permitir a usuario, y JavaScript. Con XSS
una tercera persona comprometer el reflejado, el atacante
inyectar en páginas navegador, podría robar las
web visitadas por el subyugando la cookies para luego
usuario código integridad del robar la identidad,
JavaScript o en otro sistema. pero para esto, debe
lenguaje similar lograr que su víctima
ejecute un
determinado
comando dentro de su
dirección web que
suelen estar en
correos engañosos
para que sus víctimas
 5

hagan clic en un
enlace disfrazado.
Desbordamiento del Sucede cuando un Un cibercriminal con Estos fallos son
buffer programa informático sólidos utilizados por
excede el uso de conocimientos ciberdelincuentes
cantidad de memoria técnicos puede para lograr ejecutar
asignado por el asegurarse de que la código arbitrario en
sistema operativo, dirección de memoria un equipo, de manera
escribiendo en el sobrescrita que en muchos casos
bloque de memoria corresponda a una logran tomar control
contiguo. real, por ejemplo, una del equipo víctima o
que esté ubicada en el ejecutar un ataque de
mismo búfer. Como Denegación de
tal, al ingresar las Servicios (DoS).
instrucciones en el
búfer (el código
arbitrario), es fácil
para él ejecutar esta
instrucción.
Inyección del Código Es un método de El origen de la Si una aplicación
infiltración de código vulnerabilidad radica pasa un parámetro
intruso que se vale de en la incorrecta enviado vía petición
una vulnerabilidad comprobación o GET a una función
informática presente filtrado de las include() en PHP sin
en una aplicación en variables utilizadas verificar la entrada, el
el nivel de validación en un programa que atacante podría
de las entradas para contiene, o bien intentar ejecutar un
realizar operaciones genera, código SQL. código diferente al
sobre una base de que el desarrollador
datos. tenía en mente.
Fallas en el manejo Se produce por la Excepciones que se Un atacante puede
de errores falta de control sobre producen en el provocar de
los errores que se código del cliente, diferentes maneras
producen en su por fallos en los para que un sitio web
ejecución y el recursos mantenidos o una aplicación web
tratamiento correcto o por errores muestre posibles
de las excepciones. derivados del código errores y en algunos
programado. casos se puede
revelar información
propia del servidor en
el que está alojado o
de la aplicación
misma.
Almacenamiento Comprende la falta Combinaciones de Una aplicación cifra
inseguro de encriptar usuario/contraseña, los datos de las
información sensible, grandes cantidades de tarjetas de créditos en
 6

el uso de un método información de todo una base de datos

criptográfico débil o tipo son robados de para prevenir que los
inadecuado, el uso de diferentes bases de mismos sean
un algoritmo datos y pasa porque expuestos a usuarios
criptográfico riesgoso todo eso está finales. Sin embargo,
y la falta de uso de guardado en texto la base de datos está
sal o semilla para la plano o débilmente configurada para
generación de hashes. encriptado. descifrar
automáticamente
consultas en las
columnas de tarjetas
de crédito,
permitiendo que un
fallo de inyección por
SQL pueda listar
todas las tarjetas de
crédito en claro. El
sistema debería haber
sido configurado para
permitir que sólo las
aplicaciones de back-
end pudieran
descifrar esos datos y
no las aplicaciones
web de front-end.
Denegación de Es un ataque a un Se genera mediante la Un ejemplo de ataque
servicio sistema de saturación de los de denegación de
computadores o red puertos con flujo de servicio se dio contra
que causa que un información, los servidores web de
servicio o recurso sea haciendo que el o los la plataforma GitHub
inaccesible a los servidores se en el año 2018 en el
usuarios legítimos. sobrecarguen y no que se produjo 10
Normalmente puedan seguir minutos de
provoca la pérdida de prestando servicios. desconexión debido a
la conectividad de la un bombardeo
red por el consumo absolutamente
de la transferencia de indiscriminado de
información (ancho peticiones mediante
de banda) de la red de el cual se volcaron
la víctima. 126,9 millones de
paquetes que
alcanzaron la cifra
récord de 1,35
terabits por segundo.
 7

Fallas en la Una falla en la El problema en la Un ejemplo real está

administración de configuración del configuración hace ocurriendo con un
Configuración sistema o tener una posible que un fallo de seguridad
configuración atacante registre un afecta al módulo
obsoleta o inclusive servidor de Netweaver de SAP,
una configuración aplicaciones posibilitando que un
predeterminada le malicioso, que atacante remoto y sin
permite a un atacante comience a recibir autenticar, contando
modificar conexiones de únicamente con
configuraciones en clientes del sistema, acceso de red, sea
los servicios, alterar pretendiendo ser una capaz de acceder a
la información o parte de los los sistemas SAP sin
desviarla a un servidores de restricción alguna,
servidor remoto o, aplicaciones de esto debido a que las
por qué no, causar confianza de una empresas que lo
una interrupción en el organización. implementan
servicio que afecte a mantienen una
importantes áreas de configuración por
cualquier empresa. defecto.
 8

Conclusiones

La seguridad en aplicaciones Web involucra principalmente al desarrollador, aunque con

gran frecuencia se encuentran defectos que pueden ser aprovechados por atacantes en las
tecnologías en que se basan los sistemas web.

Todo programador debe estar consciente que el manejo de las peticiones, para aceptarlas
o rechazarlas. Todas las entradas del sistema deben pasar por un filtrado de los datos contenidos
para confirmar su correcta usabilidad, esto con el fin de que no se preste para que atacantes o
hackers aprovechen vulnerabilidades y saquen partido de la información que de allí se obtiene.
 9

Lista de referencias

Esteban, S. (2016). Inyección SQL: Definición y ejemplos reales. Backtrack Academy.

Disponible en https://backtrackacademy.com/articulo/inyeccion-sql-definicion-y-
ejemplos

Moreira, M. (2017). Tema 1: Vulnerabilidades y problemas de seguridad en las aplicaciones

online. Quizlet. Disponible en https://quizlet.com/202762677/tema-1-vulnerabilidades-y-
problemas-de-seguridad-en-las-aplicaciones-online-flash-cards/

OWASP Foundation (2007). Top 10 2007-Autenticación y Gestión de Sesiones Disfuncional.

Disponible en https://www.owasp.org/index.php/Top_10_2007-
Autenticaci%C3%B3n_y_Gesti%C3%B3n_de_Sesiones_Disfuncional

Monteagudo, D. (2010). OWASP TOP 10 (III): Pérdida de autenticación y Gestión de Sesiones.

Security A(r)twork. Disponible en https://www.securityartwork.es/2010/03/24/owasp-
top-10-iii-perdida-de-autenticacion-y-gestion-de-sesiones/

Wikipedia (2019). Cross-site scripting. Disponible en

https://es.wikipedia.org/wiki/Cross-site_scripting

Pérez, I. (2015). Comprendiendo la vulnerabilidad XSS (Cross-site Scripting) en sitios web.

WeLiveSecurity by Eset. Disponible en https://www.welivesecurity.com/la-
es/2015/04/29/vulnerabilidad-xss-cross-site-scripting-sitios-web/

Pérez, I. (2015). Que son y cómo funcionan los Buffer Overflow. WeLiveSecurity by Eset.
Disponible en https://www.welivesecurity.com/la-es/2014/11/05/como-funcionan-buffer-
overflow/

Wikipedia (2019). Inyección SQL. Disponible en

https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Marco de Desarrollo de la Junta de Andalucía (2013). Gestión de Errores y Excepciones.

Disponible en
http://www.juntadeandalucia.es/servicios/madeja/contenido/subsistemas/desarrollo/gestio
n-errores-y-excepciones

OWASP Foundation (2007). Top 10 2007-Almacenamiento Criptográfico Inseguro. Disponible

en https://www.owasp.org/index.php/Top_10_2007-
Almacenamiento_Criptogr%C3%A1fico_Inseguro

Geoestrategia Atlántico Sur (2018). Vulnerabilidades de aplicaciones web: almacenamiento

criptográfico inseguro. Disponible en
https://geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-
almacenamiento-criptografico-inseguro/
 10

Compuchannel (2018). ¿Qué es un ataque de denegación de servicios DDoS?. Internet ya.

Disponible en https://www.internetya.co/ataques-de-denegacion-de-servicio-ddos-un-
riesgo-real/

Sánchez, A. (2018). Vulnerabilidad crítica en SAP debida a configuraciones predeterminadas.

Proteger Mi PC. Disponible en https://protegermipc.net/2018/04/30/vulnerabilidad-
critica-en-sap/

Romaniz, S. Seguridad de aplicaciones web: vulnerabilidades en los controles de acceso.

Argentina: Grupo de Investigación en Seguridad de las Tecnologías de Información y
Comunicaciones Facultad Regional Santa Fe - Universidad Tecnológica Nacional.
Disponible en http://sedici.unlp.edu.ar/bitstream/handle/10915/21581/1927+-
+Seguridad+de+aplicaciones+web+vulnerabilidades+en+los+controles+de+acceso.pdf?s
equence=1