Seguridad con PHP

Mauricio Alfredo González Adonis

Programación Avanzada 1

Instituto IACC

26 Septiembre 2020
 1) De acuerdo con los conocimientos previos explique lo siguiente: ¿Por qué es

importante el uso de la seguridad en las aplicaciones?

R: Ataques XSS: Los ataques XSS suceden cuando el atacante ejecuta un Script tomado de los

datos que el usuario carga al navegador en forma natural, es decir, sin encriptación, roba sesiones

y con eso puede modificar la páginas web del usuario.

Algunos formularios que se ingresan datos confidenciales, ya sea de relleno de formulario o una

inscripción de sesión y esta sesión, con datos viaja vía web a servidor donde se ejecuta PHP de lo

que recibe y esta recepción es todo lo que la entrada de teclado puede enviar lo almacena en

alguna base de datos. Para evitar esto, en cada entrara de formulario hay que restringir los

caracteres que pueden escribirse, esta restricción equivale a solamente pueda tener un formato,

ya sea sólo alfanumérico como letras mayúsculas, minúsculas y números, nada de símbolos

caracteres extraños.

Ataques CSRF : Este tipo de ataque tiene esa sigla en inglés (Cross-Site Request Forgery) es

decir, una solicitud de falsificación de sitios cruzados, o sea, una solicitud que “simula” ser una

página verdadera, por su similitud lo es, pero la verdad que es un sitio falso. En estos tiempos

donde es muy común hacer transferencias desde nuestro banco a otros bancos, entonces los

CSRF son sitios que no representan la entidad bancaria, donde los “fraudes” vienen muy común

que el usuario cometa un error fatal, por su clonación de página se llega hasta extraer parte o

todo nuestro dinero y el de otros clientes mas.

Con estos antecedentes es importante para el programador mantener los niveles de seguridad

como corresponda para que el cliente, el cual se le está diseñando una página web, no dejando al

cliente imposibilitado de hacer alguna emergencia en caso de una pérdida repentina de datos

personales importantes.
La norma principal de la seguridad es minimizar el peligro que se pueda tener frente a un ataque

de terceros, lo importante es la actuación en caso de que suela suceder, restringir los usuarios

autorizados y sus privilegios, para acceder a dichos sistemas para que no hay un ataque “interno”

que suelen suceder muy comúnmente.

En caso de sistemas internos, se debe tener claro, por parte del administrador, los accesos y un

registro de accesos y en caso de problemas mantener una bitácora de fallos para ser corregidos

guardando los códigos maestros para su corrección. Encriptación de claves y procesos.

2) Realice un cuadro comparativo entre los distintos tipos de seguridad (cliente –

servidor, aplicación y comunicación).

Cliente -Servidor Aplicación Comunicación

Comunicación entre Ejecución de Resguarda y vigila la

cliente y servidor por aplicaciones no estabilidad y entregar

Detalle medio de formularios certificadas de uso una buena

y sesiones. libre o de páginas no comunicación entre

oficiales las entidades

Herramientas Reglajes de flujo de Programas de acceso Control de flujo de

usuarios desde y a validaciones que acceso utilizando

hacia manteniendo un tiene el ingreso criptología de

control de acceso a restringido a un seguridad utilizando

sistemas. sistema específico. recursos de hardware

Cortafuegos, desde donde se

 certificados válidos, genere el acceso

normas, llaves manteniendo,

digitales de acceso también, el flujo

entregando objetivos constante de

para los cuales se les información.

creó.

3) Analice la seguridad de los datos manejados, tomando como referencia un sistema

ya establecido, para este caso deberá utilizar como ejemplo el sistema web de Rappi.

Como se puede apreciar, el sistema Rappi es un sistema vía web de compras online para

usuarios debidamente registrados, estos registros se realiza primariamente enviando un

código ingresando un número de teléfono lo cual, llegará inmediatamente como medio de

algún número existente y, obviamente este número debe estar al alcance del usuario, la

duración de este registro es de 2 minutos, si no se ingresa dentro de ese rango de tiempo, la

suscripción se negará.

Luego de aceptar el código se procede la registro natural del usuario, simplemente con datos

escuetos como nombres apellidos, correo electrónico, posterior a una dirección de residencia

actual.

Para salir de la sesión, simplemente se escoge en el menú colgante donde se encuentra la

sesión actual, y se selecciona cerrar. Luego, para volver a entrar, nuevamente se escoge

ingresar por código de whatsapp y aparecerá, previo ingreso con nuestra cuenta de datos en

forma automática.
Dificultad de lo anterior, los datos que podemos ingresar, al sistema no permite una

verificación de los datos ingresados, excepto que sea un correo electrónico y algún número

de teléfono, la cual no obliga a que dichos datos estén articulados con los nombres y

apellidos que nosotros podamos ingresar como usuario.

En el Artículo 1º inciso 1.1 demuestra que se registra usuario con “número de cédula de

identidad o rol único tributario”, estos es falso ya que no muestra campo de llenado de RUT,

por lo tanto no necesariamente los datos sean de alguna persona existente.

Fig.- 1 – Artículo 1 de privacidad.

Lo otro preocupante que dice en sus políticas de seguridad y privacidad que se puede “modificar,

rectificar y eliminar datos” es decir los datos al principio los podemos modificar como los

nombres, teléfono, fecha de nacimiento y sexo, excepto correo electrónico, y, la verdad que

vulnera mucho los tema de identificación personal, ya que, en el momento de pago se puede

ingresar tarjeta de crédito o débito con la serial que corresponde con nombre de titular, por lo

tanto no debería permitir este tipo de modificación.

Cuando se va a la sección de modificación de datos, no realiza una verificación de mayoría de

edad, simplemente, se ha ingresado fecha de nacimiento y al actualizar, e ingresar nuevamente la

fecha no se actualiza, por lo tanto se encuentra fuera de lugar la inscripción si lo manipularan

menores de edad, para compra algún producto como alcohol y otros productos permitidos por la

ley, para menores.

Fig.- 2 – Actualización de datos.
 Fig.- 3 – Actualizar fecha de nacimiento y género.

Al completar actualización de datos de fecha de nacimiento y género no se actualizar los datos.

Método de pago, también tiene una falencia, que no es una compra con verificación, sino que

simplemente muestra una formulario de llenado de datos de tarjeta de crédito o débito de un

tercero, lo cual puede llevar a fraudes de tarjetas que pide un cobro mínimo de $1.200 pesos para

ver si tarjeta posee algún crédito o dinero, esto es inseguro ya que Rappi pide una base de dinero
que no se saber a donde llega ese dinero, vulnera la privacidad de los datos de la titularidad de la

tarjeta.

Fig.- 4 – Métodos de pago.

 Fig.- 5 – Formulario de ingreso de datos.

Se ve claramente un formulario y esto es para los 5 métodos de pago.

Sección de deudas.

Como hemos dicho anteriormente lo datos pueden ser fidedignos o no, por lo tanto podemos

dejar una deuda a un usuario “fantasma” y volver a realizar otra con otras cuentas para seguir

fomentando la misma práctica, creando nuevas cuentas inexactas cometiendo los mismos

fraudes.
Certificado: posee un certificado de uso público,

Fig.- 6 – Certificado público de Rappi.

 bliografía

Seguridad de Aplicaciones Web Basado en la programación PHP

.Aspectos de Seguridad en Desarrollos de Aplicaciones Web

Pág 20

http://sedici.unlp.edu.ar/bitstream/handle/10915/4006/Tesis.%20J.%20Seguridad%20en

%20aplicaciones%20Web.%20Basado%20en%20la%20programaci%C3%B3n%20en

%20PHP.pdf-PDFA.pdf?sequence=2&isAllowed=y

Rappi

Políticas de Privacidad Rappi Chile Spa

https://legal.rappi.com/chile/politica-de-privacidad/?_ga=2.174560930.1458788455.1601856936-

2059287497.1601856936&_gac=1.81316581.1601856937.Cj0KCQjw5eX7BRDQARIsAMhYLP9OsNVe

ksTnSkd5XBjPJFs6dqPk94wgP6bqNdmc7D7yOJcQ46dcpE4aAlo7EALw_wcB