Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Programar aplicaciones web seguras no es una tarea fácil, ya que requiere por parte del
programador, no sólo cumplir con el objetivo funcional básico de la aplicación, sino una
concepción general de los riesgos que puede correr la información que allí se va a procesar.
2
Objetivos
Objetivo general
Analizar las vulnerabilidades que se pueden presentar en una aplicación web con el fin de
entender los riesgos que conlleva.
Objetivos específicos
www.sitioweb.com/
index.php?id=3;
DELETE FROM
products
Fallos de control de La vulnerabilidad de Cuando las Un usuario descubre
acceso control de acceso funcionalidades una manera de
ocurre cuando la asociadas al control establecer una
aplicación está de acceso son contraseña diferente
permitiendo que deficientes, un de usuario, entonces
un usuario lleve a atacante puede, a dicho usuario puede
cabo algo que no menudo, atacar una cuenta de
debe. comprometer la administrador y
aplicación completa, tomar el control de la
tomando el control de aplicación.
la funcionalidad de
administración y
teniendo acceso a
datos sensibles que
pertenecen a otros
usuarios
Fallos en la Deficiencias en estas Se presenta con Un usuario
administración de áreas, con mucha mayor frecuencia se autenticado puede
Autentificación y frecuencia implican presentan a través de consultar una serie de
Sesión fallas en la protección las funciones artículos de una
de credenciales y auxiliares de determinada
testigos (tokens) de autenticación como el categoría. Navegando
sesión a través de su cierre de sesión, por cada uno de los
4
hagan clic en un
enlace disfrazado.
Desbordamiento del Sucede cuando un Un cibercriminal con Estos fallos son
buffer programa informático sólidos utilizados por
excede el uso de conocimientos ciberdelincuentes
cantidad de memoria técnicos puede para lograr ejecutar
asignado por el asegurarse de que la código arbitrario en
sistema operativo, dirección de memoria un equipo, de manera
escribiendo en el sobrescrita que en muchos casos
bloque de memoria corresponda a una logran tomar control
contiguo. real, por ejemplo, una del equipo víctima o
que esté ubicada en el ejecutar un ataque de
mismo búfer. Como Denegación de
tal, al ingresar las Servicios (DoS).
instrucciones en el
búfer (el código
arbitrario), es fácil
para él ejecutar esta
instrucción.
Inyección del Código Es un método de El origen de la Si una aplicación
infiltración de código vulnerabilidad radica pasa un parámetro
intruso que se vale de en la incorrecta enviado vía petición
una vulnerabilidad comprobación o GET a una función
informática presente filtrado de las include() en PHP sin
en una aplicación en variables utilizadas verificar la entrada, el
el nivel de validación en un programa que atacante podría
de las entradas para contiene, o bien intentar ejecutar un
realizar operaciones genera, código SQL. código diferente al
sobre una base de que el desarrollador
datos. tenía en mente.
Fallas en el manejo Se produce por la Excepciones que se Un atacante puede
de errores falta de control sobre producen en el provocar de
los errores que se código del cliente, diferentes maneras
producen en su por fallos en los para que un sitio web
ejecución y el recursos mantenidos o una aplicación web
tratamiento correcto o por errores muestre posibles
de las excepciones. derivados del código errores y en algunos
programado. casos se puede
revelar información
propia del servidor en
el que está alojado o
de la aplicación
misma.
Almacenamiento Comprende la falta Combinaciones de Una aplicación cifra
inseguro de encriptar usuario/contraseña, los datos de las
información sensible, grandes cantidades de tarjetas de créditos en
6
Conclusiones
Todo programador debe estar consciente que el manejo de las peticiones, para aceptarlas
o rechazarlas. Todas las entradas del sistema deben pasar por un filtrado de los datos contenidos
para confirmar su correcta usabilidad, esto con el fin de que no se preste para que atacantes o
hackers aprovechen vulnerabilidades y saquen partido de la información que de allí se obtiene.
9
Lista de referencias
Pérez, I. (2015). Que son y cómo funcionan los Buffer Overflow. WeLiveSecurity by Eset.
Disponible en https://www.welivesecurity.com/la-es/2014/11/05/como-funcionan-buffer-
overflow/