1

1. Seguridad de aplicativos del lado del cliente en JavaScript y HTML

La seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones, pero
aplicadas específicamente a la World Wide Web. Las aplicaciones, comúnmente son
desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby,
ASP.NET, JSP, entre otros.

Uno de los puntos más críticos de la seguridad en Internet son las herramientas que interactúan
de forma directa con los usuarios, en este caso los servidores web. La mayoría de los problemas
detectados en servicios web no son provocados por fallas de ninguna de estas partes, si no que
los problemas se generan por malas prácticas de parte de los programadores.

Programar aplicaciones web seguras no es una tarea fácil, ya que requiere por parte del
programador, no sólo cumplir con el objetivo funcional básico de la aplicación, sino una
concepción general de los riesgos que puede correr la información procesada por el sistema.
Gran parte de los problemas de seguridad en las aplicaciones web son causados por la falta de
seguimiento en dos rubros muy importantes de los que depende cualquier aplicación, las entradas
y salidas del sistema.

También es importante considerar la exposición accidental de datos que pueden ser empleados
en un posible ataque sobre el sistema. Los mensajes de error enviados por el servidor, que suelen
ser de gran utilidad durante el proceso de desarrollo de la aplicación, pueden ser empleados
maliciosamente cuando siguen apareciendo en un entorno de producción, por lo que es necesario
deshabilitar todos estos mensajes y editar algunos otros (como los que se envían cuando el
servidor no encuentra algún archivo en particular) los cuales también pueden ser utilizados por
los atacantes para obtener información sobre nuestro sistema.
 2

Por lo tanto, es conveniente emplear medidas de seguridad que sean transparentes a los usuarios
y que no resulten engorrosas en su empleo. Por ejemplo, el uso de un login que solicita el
nombre de usuario y contraseña permite controlar el acceso de los usuarios hacia secciones
restringidas de la aplicación. Este paso adicional, es una característica que impacta en la rapidez
de acceso a la información por parte del usuario, pero que proporciona un elemento adicional de
protección.

Es muy importante mantener conocimiento de los pasos que ha recorrido la información en todo
momento. Conocer de dónde vienen los datos y hacia dónde van. Normalmente existen arreglos
globales en la aplicación. Por ejemplo, en PHP los arreglos $_GET, $_POST, $_COOKIE y
$_SESSION, entre otros, que sirven para identificar de forma clara las entradas proporcionadas
por el usuario. Si esto lo combinamos con una convención estricta para el nombrado de las
variables podemos tener un control sobre el origen de los datos usados en el código.

El filtrado es una de las piedras angulares de la seguridad en aplicaciones web. Es el proceso por
el cual se prueba la validez de los datos. Si nos aseguramos de que los datos son filtrados
apropiadamente al entrar, podemos eliminar el riesgo de que datos contaminados sean usados
para provocar funcionamientos no deseados en la aplicación. Se recomienda es ver al filtrado
como un proceso de inspección, no debemos tratar de corregir los datos, es mejor forzar a los
usuarios a jugar con las reglas válidas.

Es importante en la seguridad de aplicaciones web, el proceso de escapado y su contraparte para

codificar o decodificar caracteres especiales de tal forma que su significado original sea
preservado. Si llegamos a utilizar una codificación en particular es necesario conocer los
caracteres reservados los cuales serán necesarios escapar. El proceso de escapado debe adecuarse
al tipo de salida de que se trate, si es al cliente, a la base de datos, etc. Para la mayoría de los
destinatarios, existen funciones nativas en los lenguajes de programación para esta finalidad. En
alguno de los casos como podría ser el de base de datos es importante incluso observar la
codificación en la que son enviados.
 3

Por lo tanto, en la seguridad de aplicaciones Web involucra principalmente al desarrollador,

aunque con gran frecuencia se encuentran defectos que pueden ser aprovechados por atacantes
en las tecnologías en que se basan los sistemas web, Sistemas Operativos, Servidores Web,
Servidor de Base de Datos, etc. La atención principal debe dirigirse a los defectos propios al
desarrollo nuestras aplicaciones.

Se debe estar consciente del manejo de las peticiones, para aceptarlas o rechazarlas, deben estar
los datos o variables recibidas que no cumplan con las características esperadas o predefinidas.
Todas las entradas del sistema deben pasar por el filtrado de los datos contenidos para confirmar
su usabilidad.

Por último, no descuidar el otro aspecto importante a considerar son los procesos de salida de la
información del sistema. Es importante siempre considerar el significado que pueda tener la
información enviada en su nuevo contexto, y en el caso de poder crear problemas de
interpretación de las salidas, escaparlas para preservarlas.
 4

Referencias bibliográficas

Vara, Mesa, Juan Manuel, et al. Desarrollo web en entorno cliente. (Páginas. 29 - 49). RA-MA

Editorial, 2014. ProQuest Ebook Central. Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=30&docID=3229683&tm=1544023315772

colaboradores de Wikipedia. (2018). Seguridad de aplicaciones web. Recuperado de

https://es.wikipedia.org/w/index.php?title=Seguridad_de_aplicaciones_web&oldid=105290057

Mohedano, Jorge, et al. Iniciación a javascript, Ministerio de Educación de España, 2012.

(Páginas. 25 - 61) ProQuest Ebook Central. Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=26&docID=3214795&tm=1544023398179

Romero, A. Vásquez, M. (2016). Aspectos Básicos de la Seguridad en Aplicaciones Web.

Recuperado de https://www.seguridad.unam.mx/historico/documento/index.html-id=17
 5

Shenoy, A., & Sossou, U. (2014). Learning Bootstrap. Birmingham [England]: Packt Publishing.

Recuperado de: http://bibliotecavirtual.unad.edu.co/login?

url=http://search.ebscohost.com/login.aspx?

direct=true&db=nlebk&AN=933023&lang=es&site=eds-live