3 vulnerabilidades frecuentes de las aplicaciones WEB.

-> Configuración incorrecta de seguridad:

-> Autenticación rota

-> Ataques de inyección

cómo se generan?

Configuración incorrecta de seguridad: Una aplicación web en

funcionamiento suele estar respaldada por algunos elementos complejos que
componen su infraestructura de seguridad. Esto incluye bases de datos, SO, firewalls,
servidores y otros dispositivos o software de aplicación.

causas?

Lo que la gente no se da cuenta es que todos estos elementos requieren

mantenimiento y configuración frecuentes para que la aplicación web funcione
correctamente.

características y argumente como se pueden evitar

Siempre que sea posible, programe pruebas de penetración para que las aplicaciones
web prueben su capacidad de manejar datos confidenciales.

Antes de hacer uso de una aplicación web, comuníquese con los desarrolladores para
conocer las medidas de seguridad y prioritarias que se han tomado para su desarrollo.

casos reales para cada tipo de vulnerabilidad.

Autenticación rota
cómo se generan?

Una vulnerabilidad de autenticación rota puede permitir que un atacante use métodos
manuales y / o automáticos para intentar obtener el control de cualquier cuenta que
desee en un sistema, o peor aún, para obtener un control completo sobre el sistema.

La autenticación rota generalmente se refiere a problemas lógicos que ocurren en el

mecanismo de autenticación de la aplicación, como una mala administración de
sesiones propensa a la enumeración de nombres de usuario, cuando un actor
malintencionado usa técnicas de fuerza bruta para adivinar o confirmar usuarios
válidos en un sistema.

Una aplicación web contiene una vulnerabilidad de autenticación rota si:

-Permite ataques automatizados como el relleno de credenciales, donde el atacante tiene

una lista de nombres de usuario y contraseñas válidos.

-Permite la fuerza bruta u otros ataques automatizados.

-Permite contraseñas predeterminadas, débiles o conocidas, como "Password1" o

"admin / admin".

características y argumente como se pueden evitar

Para evitar vulnerabilidades de autenticación rotas, asegúrese de que los

desarrolladores apliquen las mejores prácticas de seguridad de sitios web.

-Siempre que sea posible, implemente la autenticación multifactor para evitar ataques
automatizados, de relleno de credenciales, de fuerza bruta y de reutilización de
credenciales robadas.

-No envíe ni implemente con credenciales predeterminadas, especialmente para

usuarios administradores.

.
Ataques de inyección

cómo se generan?

son otra amenaza común a la que hay que estar atento. Estos tipos de ataques vienen
en una variedad de diferentes tipos de inyección y están preparados para atacar los
datos en aplicaciones web, ya que las aplicaciones web requieren datos para
funcionar.

causas?

método que se aprovecha de errores que existen en aplicaciones web. Son

básicamente vulnerabilidades que permiten a un posible intruso inyectar código
malicioso

Ataques de inyección SQL usualmente secuestran el control sobre la base de datos

del propietario del sitio web mediante el acto de inyección de datos en la aplicación
web. Los datos inyectados brindan instrucciones a la base de datos del propietario del
sitio web que no han sido autorizadas por el propietario del sitio.

características y argumente como se pueden evitar

Cualquier cosa que acepte parámetros como entrada puede ser potencialmente
vulnerable a un ataque de inyección de código.

La prevención de vulnerabilidades de inyección de código realmente depende de la

tecnología que esté utilizando en su sitio web.

- La opción preferida es usar una API segura, que evita el uso del intérprete por
completo o proporciona una interfaz parametrizada o migrar para usar
herramientas de mapeo relacional de objetos (ORM).

Casos reales de ataques de inyección:

ejemplo de una inyección SQL que afectó a más de medio millón de sitios web que
tenían el complemento YITH WooCommerce Wishlist para WordPress:

$sql .= “LIMIT”. $offset. “,” .$limit;

La inyección de SQL que se muestra podría causar una fuga de datos confidenciales y
comprometer una instalación completa de WordPress.