Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Heredia - Adrian - Riesgos de Seguridad - 5tosoftware - AplicacionesAutono

    Cargado por

    Jonathan Quezada
    24 vistas5 páginas
    Este documento resume los principales riesgos de seguridad como inyección, autenticación rota, exposición de datos sensibles, entidades XML externas, control de acceso incorrecto, configuración de seguridad incorrecta, scripting entre sitios y deserialización insegura, y proporciona formas de prevenir cada uno.

    Descripción original:

    Título original

    Heredia_Adrian_Riesgos de seguridad_5toSoftware_AplicacionesAutono

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento resume los principales riesgos de seguridad como inyección, autenticación rota, exposición de datos sensibles, entidades XML externas, control de acceso incorrecto, configuración de seguridad incorrecta, scripting entre sitios y deserialización insegura, y proporciona formas de prevenir cada uno.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    24 vistas5 páginas

    Heredia - Adrian - Riesgos de Seguridad - 5tosoftware - AplicacionesAutono

    Cargado por

    Jonathan Quezada
    Este documento resume los principales riesgos de seguridad como inyección, autenticación rota, exposición de datos sensibles, entidades XML externas, control de acceso incorrecto, configuración de seguridad incorrecta, scripting entre sitios y deserialización insegura, y proporciona formas de prevenir cada uno.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    INSTITUTO TECNOLÓGICO SUPERIOR

    SUDAMERICANO

    NOMBRE:

    ADRIÁN HEREDIA.

    CARRERA:

    DESARROLLO DE SOFTWARE QUINTO CICLO.

    MATERIA:

    APLICACIONES TECNOLÓGICAS AUTÓNOMAS

    PROFESOR:

    MGS. JONATHAN QUEZADA

    TEMA:

    RIESGOS DE SEGURIDAD

    PERIODO:

    MARZO – SEPTIEMBRE 2020

    FECHA:

    13 DE JULIO DEL 2020


    Injection. –

    Es una manera de franqueo en la seguridad de una base de datos mediante códigos SQL,

    NoSQL, OS y LDAP. El atacante según los privilegios del usuario a quien franqueo, podría

    acceder no sólo a las tablas relacionadas con la aplicación, sino también a otras tablas

    pertenecientes a otras bases de datos alojadas en ese mismo servidor.

    Forma de prevenir. -

    Realizar un escape de caracteres, es decir que, añadimos a la barra invertida “\” delante

    de las cadenas utilizadas en las consultas SQL para evitar que estas corrompan la consulta.

    Broken authentication. –

    Cuando la clave o información sensible no es protegida adecuadamente, el atacante

    aprovecha estas vulnerabilidades que generalmente son ofrecidas en el cierre de sesión, en

    la gestión de las contraseñas, en el tiempo de desconexión, en la función de recordar

    contraseña, para robar la información sensible, incluyendo un script en una página web que

    se ejecuta cuando el usuario la utiliza.

    Forma de prevenir. -

    Tener una interfaz para desarrolladores y ofrece páginas con ejemplos de muestra.

    Recomienda la necesidad de evitar vulnerabilidades de XSS. Se recomienda cerrar sesión

    Sensitive Data Exposure. –

    Muchas de las ocasiones los usuarios tienden a crear sus cuentas en sitios web con

    información muy fácil de franquear teniendo claves en físico pegadas en los mismos

    computadores
    Forma de prevenir. -

    Bloquear y proteger datos confidenciales de clientes, pacientes o empleados,

    restringiendo el acceso de los empleados a los datos sensibles

    XML External Entities (XXE). –

    El ataque de XML viene a crear documentación dinámicamente en el momento del

    procesamiento. Esto genera algunas denegaciones de servicios dentro del sistema.

    Forma de prevenir. -

    No utilice métodos desordenados que procesen una fuente XML directamente como

    Java.io.File. Analice el documento con un analizador configurado de forma segura y utilice

    un método desordenado que tome el analizador seguro

    Broken Access Control. –

    Los atacantes pueden elevar sus privilegios, manipular metadatos que permita la

    elevación de privilegios, o forzar la navegación a páginas autenticadas como un usuario no

    autenticado o a páginas privilegiadas como usuario estándar.

    Forma de prevenir. -

    Comprobar los permisos de los archivos individuales, no solo los directorios. Restringir

    el almacenamiento en caché. El almacenamiento en caché del lado del cliente ayuda a

    acelerar los sitios web, pero otros pueden volver a acceder a esta información. Use

    encabezados http y metaetiquetas para evitar que se recarguen las páginas restringidas

    Security Misconfiguration. –

    Se puede causar al generar permisos de carpeta incorrectos, generación de un acceso por

    usar cuentas o contraseñas predeterminadas. Configuración habilitada.


    Forma de prevenir. -

    Deshabilitar las interfaces de administración. Inhabilitar depuración. Desactiva el uso de

    cuentas / contraseñas predeterminadas.

    Cross-Site Scripting XSS. –

    Es un tipo de vulnerabilidad informática muy común en las aplicaciones web que

    permite a los atacantes colocar secuencias de comandos maliciosas en páginas web y, a su

    vez, instalan malware en los navegadores web de los usuarios.

    Forma de prevenir. -

    Utilizar frameworks seguros que, por diseño, automáticamente codifican el contenido

    para prevenir XSS, como en Ruby 3.0o React JS. Codificar los datos de requerimientos

    HTTP no confiables en los campos de salida HTML (cuerpo, atributos, JavaScript, CSS, o

    URL) resuelve los XSS Reflejado y XSS Almacenado. La hoja de trucos OWASP para

    evitar XSS tiene detalles de las técnicas de codificación de datos requeridas.

    Insecure Deserialization. –

    Es una vulnerabilidad que se produce cuando se usan datos no confiables para abusar de

    la lógica de una aplicación, infligir un ataque de denegación de servicio (DoS).

    Forma de prevenir. -

    Aplicar restricciones de tipo estrictas durante la deserialización antes de la creación de

    objetos, ya que el código generalmente espera un conjunto de clases definible. Se han

    demostrado los desvíos a esta técnica, por lo que no es recomendable confiar únicamente en

    esto.
    Using Components with Known Vulnerabilities. -

    Algunos componentes vulnerables se pueden identificar y explotar con herramientas

    automatizadas, ampliando el conjunto de agentes de amenazas más allá de los atacantes

    específicos para incluir actores caóticos.

    Forma de prevenir. -

    Supervise las bibliotecas y los componentes que no están mantenidos o que no crean

    parches de seguridad para versiones anteriores. Si no es posible aplicar parches, considere

    implementar un parche virtual para monitorear, detectar o proteger contra el problema

    descubierto.

    Insufficient Logging & Monitoring. –

    Es la base de casi todos los incidentes importantes. Los atacantes confían en la falta de

    monitoreo y respuesta oportuna para lograr sus objetivos sin ser detectados

    Forma de prevenir. -

    Asegúrese de que todas las fallas de inicio de sesión, control de acceso y validación de

    entrada del lado del servidor puedan registrarse con suficiente contexto de usuario para

    identificar cuentas sospechosas o maliciosas, y retenerse durante el tiempo suficiente para

    permitir un análisis forense retrasado.

    También podría gustarte