Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Uno de los puntos más críticos de la seguridad en Internet son las herramientas que interactúan
de forma directa con los usuarios, en este caso los servidores web. La mayoría de los problemas
detectados en servicios web no son provocados por fallas de ninguna de estas partes, si no que
los problemas se generan por malas prácticas de parte de los programadores.
Programar aplicaciones web seguras no es una tarea fácil, ya que requiere por parte del
programador, no sólo cumplir con el objetivo funcional básico de la aplicación, sino una
concepción general de los riesgos que puede correr la información procesada por el sistema.
Gran parte de los problemas de seguridad en las aplicaciones web son causados por la falta de
seguimiento en dos rubros muy importantes de los que depende cualquier aplicación, las entradas
y salidas del sistema.
También es importante considerar la exposición accidental de datos que pueden ser empleados
en un posible ataque sobre el sistema. Los mensajes de error enviados por el servidor, que suelen
ser de gran utilidad durante el proceso de desarrollo de la aplicación, pueden ser empleados
maliciosamente cuando siguen apareciendo en un entorno de producción, por lo que es necesario
deshabilitar todos estos mensajes y editar algunos otros (como los que se envían cuando el
servidor no encuentra algún archivo en particular) los cuales también pueden ser utilizados por
los atacantes para obtener información sobre nuestro sistema.
2
Por lo tanto, es conveniente emplear medidas de seguridad que sean transparentes a los usuarios
y que no resulten engorrosas en su empleo. Por ejemplo, el uso de un login que solicita el
nombre de usuario y contraseña permite controlar el acceso de los usuarios hacia secciones
restringidas de la aplicación. Este paso adicional, es una característica que impacta en la rapidez
de acceso a la información por parte del usuario, pero que proporciona un elemento adicional de
protección.
Es muy importante mantener conocimiento de los pasos que ha recorrido la información en todo
momento. Conocer de dónde vienen los datos y hacia dónde van. Normalmente existen arreglos
globales en la aplicación. Por ejemplo, en PHP los arreglos $_GET, $_POST, $_COOKIE y
$_SESSION, entre otros, que sirven para identificar de forma clara las entradas proporcionadas
por el usuario. Si esto lo combinamos con una convención estricta para el nombrado de las
variables podemos tener un control sobre el origen de los datos usados en el código.
El filtrado es una de las piedras angulares de la seguridad en aplicaciones web. Es el proceso por
el cual se prueba la validez de los datos. Si nos aseguramos de que los datos son filtrados
apropiadamente al entrar, podemos eliminar el riesgo de que datos contaminados sean usados
para provocar funcionamientos no deseados en la aplicación. Se recomienda es ver al filtrado
como un proceso de inspección, no debemos tratar de corregir los datos, es mejor forzar a los
usuarios a jugar con las reglas válidas.
Se debe estar consciente del manejo de las peticiones, para aceptarlas o rechazarlas, deben estar
los datos o variables recibidas que no cumplan con las características esperadas o predefinidas.
Todas las entradas del sistema deben pasar por el filtrado de los datos contenidos para confirmar
su usabilidad.
Por último, no descuidar el otro aspecto importante a considerar son los procesos de salida de la
información del sistema. Es importante siempre considerar el significado que pueda tener la
información enviada en su nuevo contexto, y en el caso de poder crear problemas de
interpretación de las salidas, escaparlas para preservarlas.
4
Referencias bibliográficas
Vara, Mesa, Juan Manuel, et al. Desarrollo web en entorno cliente. (Páginas. 29 - 49). RA-MA
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=30&docID=3229683&tm=1544023315772
https://es.wikipedia.org/w/index.php?title=Seguridad_de_aplicaciones_web&oldid=105290057
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=26&docID=3214795&tm=1544023398179
Recuperado de https://www.seguridad.unam.mx/historico/documento/index.html-id=17
5
Shenoy, A., & Sossou, U. (2014). Learning Bootstrap. Birmingham [England]: Packt Publishing.
url=http://search.ebscohost.com/login.aspx?
direct=true&db=nlebk&AN=933023&lang=es&site=eds-live