Actividad eje 3

Vulnerabilidades en aplicaciones WEB

Realizado por

JAVIER FRANCISCO MELO GUTIÉRREZ

Docente
ALEX YAHILTON TOVAR GONZALEZ

Fundación universitaria del área andina

Ingeniería de sistemas
Marzo 2022
Bogotá
OBJETIVO DE APRENDIZAJE:

Analizar y argumentar sobre por qué fracasan las estrategias en las organizaciones,

vinculando aspectos tratados en el curso y los puntuales del referente.

INSTRUCCIONES:

1. Analice las posibles vulnerabilidades que pueden llegar a afectar el funcionamiento de

una aplicación WEB:

✓ Entradas invalidadas.

✓ Fallos de control de Acceso.

✓ Fallos en la administración de Autentificación y Sesión.

✓ Fallos de Cross Site Scripting (XSS).

✓ Desbordamiento del Búffer.

✓ Inyección de código.

✓ Fallas en el manejo de errores.

✓ Almacenamiento inseguro.

✓ Denegación de servicio.

✓ Fallas en la administración de Configuración.

2. Con base en las 10 vulnerabilidades mencionadas, desarrolle un cuadro comparativo, en

el que incluya:

✓ Nombre de la vulnerabilidad.

✓ Descripción de la vulnerabilidad.

✓ Mecanismo de explotación de la vulnerabilidad.

✓ Ejemplo real de ataque debido a la vulnerabilidad.

3. Entregar un documento y evidencia del trabajo desarrollado, incluyendo portada,

introducción, objetivos, cuerpo del trabajo, conclusiones y referencias bibliográficas.

 INTRODUCCIÓN

El constante avance tecnológico, la globalización de mercados, la alta demanda de

aplicaciones web y el afán de las organizaciones por ser competentes exige que los

profesionales de TI desarrollen a diario aplicaciones web donde exigen que éstas garanticen

la seguridad de la información, es por esto, que es de vital relevancia que conozcamos de

temas tan importantes como: vulnerabilidades de las aplicaciones web,

autenticación/autorización, anatomía de un ataque a una aplicación web, OWASP,

clasificación de amenazas, herramientas de intrusión, técnicas de ataque directo al usuario,

debilidades de las aplicaciones web, análisis de técnicas de defensa directa y prevención de

ataques, estos conocimientos le permitirán generar estrategias para desarrollar aplicaciones

web más confiables.

Con el desarrollo de la presente tarea, se busca identificar las posibles

vulnerabilidades que pueden llegar a afectar el funcionamiento de una aplicación WEB.

Nombre de la Descripción de la Mecanismo de explotación de la Ejemplo real de ataque debido a la
vulnerabilidad vulnerabilidad vulnerabilidad vulnerabilidad
Entradas La debilidad de seguridad -Vulnerabilidad de la integridad de JavaScript, no proporciona ninguna
invalidadas más común en los datos: El atacante manipula los protección para el código de servidor.
aplicaciones web es la datos introduciendo Un atacante puede simplemente
falta de validación intencionadamente datos erróneos desactivar JavaScript, utilizar telnet, o
apropiada de las entradas que manipulan la función de utilizar un proxy de pruebas de
del cliente o del entorno. negocio. seguridad, tales como WebScarab para
Esta debilidad lleva a casi omitir la validación del lado del
Violación del formato de los datos: cliente.
todas las principales
Un atacante consigue introducir
vulnerabilidades en las Debido a que sólo los usuarios
datos sin la sintaxis correcta, fuera
aplicaciones, tales como prevalidados de entrada deben llegar
de los límites de longitud, que
intérprete de inyección, a una aplicación (suponiendo
contenga caracteres no permitidos,
ataques locale/Unicode, que JavaScript está activado), se
con signo incorrecto o fuera de los
ataques al sistema de puede suponer que cualquier mala
límites del rango. Esto provoca un
archivos y entrada representa un ataque. La
mal funcionamiento de la
desbordamientos de aplicación puede responder
aplicación.
memoria. con mucha más dureza si se sabe que
Incumplimiento de las reglas de está bajo ataque. Algunas respuestas
negocio: Se introducen datos que podrían ser la invalidación de la
no cumplen con las reglas de sesión, el registro o la notificación a
negocio. Lo que provoca un un administrador.
comportamiento no esperado de la
aplicación.
Fallos de control de Estas vulnerabilidades
Acceso permiten el acceso no
autorizado de los
atacantes a funciones del
sistema. Las funciones
administrativas son un
objetivo clave de este
tipo de ataques.
- La configuración correcta de En 2012, hackers maliciosos
CORS permite el acceso no obtuvieron acceso a los servidores de
autorizado a una API IRS (el SII estadounidense) en
- Acceder a una API sin control Carolina del Sur a través de una
de acceso mediante el uso de contraseña de administrador
verbos POST, PUT y DELETE. predeterminada, robando 3.6 millones
- Forzar la navegación a páginas de números de seguridad social
autenticadas como un usuario
no autenticado o a páginas
privilegiadas como
usuario estándar
- Permitir que la clave primaria
se cambie a la de otro usuario,
pudiendo ver o editar la cuenta
de otra persona

Fallos en la - Los desarrolladores a El nivel de explotación es mediano, Una aplicación web soporta la
administración de menudo crean el atacante utiliza los fallos en las reescritura de una URL y coloca los
identificadores de sesión directamente
Autentificación y esquemas propios de funciones de autenticación o de
en la URL. Un usuario autenticado
Sesión autenticación o gestión de sesiones. Si el ataque se
podría querer que sus amigos supieran
gestión de las lleva a cabo con éxito el atacante sobre una venta. Este encamina por e-
sesiones, pero podrá hacer todo como si fuera la mail la URL sin saber que el
construirlos en forma víctima, lo más buscado suelen ser identificador de la sesión acompaña ña
correcta es difícil. Por el acceso a las cuentas con URL. Cuando uno de sus amigos
ello, a menudo estos mayores privilegios. accede a la URL este no solo usara el
esquemas propios identificador de sesión sino también
contienen los datos pertenecientes a su cuenta de
vulnerabilidades en el acceso, como, por ejemplo, un número
cierre de sesión, de tarjeta de crédito asociado a la
 gestión de sesión.
contraseñas, tiempo
de
desconexión(expiració
n), función de recordar
contraseña, pregunta
secreta, actualización
de cuenta, etc.
Encontrar estas
vulnerabilidades
puede ser difícil ya
que cada
implementación es
única.
Fallos de Cross Site Son utilizadas en ataques Las fallas XSS ocurren cada vez Phishing a los usuarios de la entidad
Scripting (XSS) en donde las condiciones que una aplicación toma datos no bancaria Bancolombia, se envió un
permitan ejecutar scripts confiables y los envía al navegador correo a los usuarios de este banco en
de lenguajes como web sin una validación y el que se le informaba a los clientes
VBScript o JavaScript. codificación apropiada. XSS que por motivos de seguridad los
Es posible encontrar este permite a los atacantes servicios contratados por este habían
tipo de situaciones en ejecutar secuencia de sido suspendidos temporalmente y que
cualquier aplicación que comandos en el navegador de la para volver a hacer uso de estos
se utilice para mostrar victimas los cuales pueden canales virtuales debían hacer clic en
información en un secuestrar las sesiones de usuario, un enlace proporcionado en el cuerpo
navegador web destruir sitios web, o dirigir al del correo. Una vez el cliente
cualquiera, que no se usuario hacia un sitio malicioso. ingresaba a la página fraudulenta, se
encuentre debidamente le solicitaba que ingresara los datos
protegido contra estos correspondientes al usuario,
ataques contraseña y preguntas de seguridad
 con el fin de obtener en una base de
datos toda la información necesaria a
la hora de realizar una transferencia
de dinero.
Desbordamiento de Una aplicación no es Buffer overflow Gusano finger de Robert
Búfer capaz de controlar la T. Morris
cantidad de datos que se
copian en buffer, de
forma que si esa cantidad
es superior a la
capacidad del buffer los
bytes sobrantes se
almacenan en zonas de
memoria adyacentes,
sobrescribiendo su
contenido original
Inyección de Se producen cuando - Inyección de DLL en proceso Ciberataque SQL Injection.
código mediante alguna técnica Inyección reflectiva de DLL La técnica empleada para perpetrar el
se inserta o adjunta Process Hollowing ataque es la conocida como SQL
código SQL que no Injection, mediante la cual lograron
formaba parte de un los datos de más de 1.000.000 de
código SQL programado. usuarios, incluyendo contraseñas,
Esta técnica se utiliza direcciones de correo electrónico,
con el propósito de direcciones postales y fechas de
alterar el buen nacimiento. También han podido
funcionamiento de la acceder a detalles de la
base de datos de una administración de Sony Pictures,
aplicación, “inyectando” incluidas las contraseñas, además de
código foráneo que 75.000 “códigos de la música” y 3,5
permita el proceso de millones de “cupones de la música”.
datos que el atacante
desee.
Fallas en el manejo Las aplicaciones pueden - Errores de configuración Los password por default, password
de errores revelar, voluntariamente, débiles, usuarios con demasiados
- Errores Web
información sobre su privilegios e inclusive la utilización de
configuración, su - Errores de protocolo protocolos de encriptación obsoletos,
funcionamiento interno, o normalmente una de las cosas más
pueden violar la típicas en las organizaciones es que
privacidad a través de utilizan algún sistema de encriptación
una variedad de web, lo cual con una aplicación de
problemas. También teléfono celular se puede crackear en
pueden revelar su estado menos de 10 o 15 segundos o inclusive
interno dependiendo de con una laptop
cuánto tardan en
procesar ciertas
operaciones u ofreciendo
diferentes respuestas a
diferentes entradas,
como, por ejemplo,
mostrando el mismo
mensaje de error con
distintos números de
error. Las aplicaciones
Web suelen revelar
información sobre su
estado interno a través
de mensajes de error
detallados o de
depuración. Está
información, a menudo,
puede ser utilizada para
lanzar, o incluso
automatizar, ataques muy
potentes.
Almacenamiento La falta de encripta
inseguro miento de información
sensible, el uso de un
método criptográfico
débil o inadecuado, el
uso de un algoritmo
criptográfico riesgoso y
la falta de uso de sal o
semilla (salt) para la
generación de hashes son
algunas de las
vulnerabilidades
puntuales englobadas en
esta categoría.
Denegación de La técnica de denegación
servicio de servicio se utiliza con
el propósito de que los
usuarios no puedan
utilizar un servicio,
aplicación o recurso.
Básicamente lo que
produce un ataque de
denegación de servicio es
la pérdida de la
conectividad de la red de
la víctima del ataque por
el excesivo consumo del
ancho de banda de la red
Todos los años millones y millones
de combinaciones de
usuario/contraseña, grandes
cantidades de información
financiera, médica y de otro tipo
son robados de diferentes bases de
datos y sorprendentemente muchas
veces todo eso está guardado en
texto plano o débilmente
encriptado. Los datos de tarjetas
de crédito se venden en los
circuitos criminales a valores
irrisoriamente bajos
SYN Flood, que consiste en enviar
mensajes TCP de petición de
conexión por parte del cliente, pero
sin enviar su confirmación lo cual
provoca colapsos en equipos y
consumo de recursos en forma
desproporcionada.
Inundación ICMP
- Agota el ancho de banda
enviando solicitudes de ICMP
con tamaños
Vulnerabilidad en las
aplicaciones móviles financieras
Un pirata informático invirtió 30
aplicaciones financieras móviles y
encontró datos confidenciales
ocultos en el código subyacente de
casi todas las aplicaciones
examinadas. Con esta información, un
pirata informático podría, por
ejemplo, recuperar las claves de la
interfaz de programación de
aplicaciones (API), usarlas para
atacar a los servidores backend del
proveedor y comprender los datos del
usuario.
Ocurrió el miércoles 28 de febrero,
cuando GitHub quedó fuera de
servicio desde las 17:21 a las 17:26
(UTC) y fuera de servicio, pero de
manera intermitente, desde las
17.26 a las 17:30 horas, explicó la
empresa en una publicación realizada
en su página web.
En el caso de GitHub, el atentado
implicó engañar la dirección IP de los
servicios y enviar pequeñas yrepetidas
solicitudes a un número de servidores;
los cuales respondieron debidamente,
 o de los recursos
conectados al sistema
informático.
Fallas en la Configuraciones
administración de incorrectas de seguridad
Configuración pueden ocurrir en
cualquier nivel del stack
tecnológico, incluidos
los servicios de red, la
plataforma, el servidor
web, el servidor de
aplicaciones, la base de
datos, frameworks, el
código personalizado y
máquinas virtuales
preinstaladas,
contenedores, etc. Los
escáneres automatizados
son útiles para
detectar configuraciones
erróneas, el uso de
cuentas o Spectre y Foreshadow, permiten el
configuraciones
predeterminadas,
servicios innecesarios,
opciones heredadas, etc
excepto por el hecho de que
provocaron respuestas inmensamente
desproporcionadas
El servidor no envía directrices o 70 millones de registros de buckets S3
cabeceras de seguridad a los robados debido a configuraciones
clientes o se encuentran incorrectas. La configuración
configurados con valores incorrecta de una sola carga de
inseguros. trabajo en la nube o instancia de
unidad de almacenamiento
puede costar millones a una
El software se encuentra empresa o dificultar el cumplimiento
desactualizado o posee de las normas.En 2018, se robaron o
vulnerabilidades se filtraron más de 70 millones de
registros de buckets S3 que estaban
configurados de forma incorrecta.
Ciertas herramientas básicas
disponibles en Internet permiten a los
atacantes identificar recursos en la
nube configurados incorrectamente.
Las vulnerabilidades de chip de
hardware, por ejemplo, Meltdown,
acceso no autorizado a espacios de
memoria protegidos de servicios en la
nube que se alojan en el mismo
servidor físico
 CONCLUSIONES

• Se encuentra que los cibercriminales han encontrado técnicas variadas para explotar las

vulnerabilidades en las diferentes infraestructuras, las empresas deben estar preparadas

para cualquier eventualidad, ya que de acuerdo al análisis estos ataques podrían tener

consecuencias que afectan la operatividaden una compañía.

• Debido a que se han conocido los diferentes métodos para explotar vulnerabilidades las

empresas pueden tener en cuenta las recomendacionesde seguridad con el fin de blindar

sus sistemas y evitar que se materialicen.

• Con el paso del tiempo se van encontrando cada vez más vulnerabilidades que atentan

contra los servicios de tecnología, y así se van conociendo noticias enlas cuales

mencionan que afectaciones que causan en las compañías y las técnicas sofisticadas que

crean los cibercriminales para evadir la seguridad.

 REFERENCIAS BIBLIOGRAFICAS

Tecnología&Informática. (2019). Vulnerabilidades informáticas. 18/05/2019, Sitio web:

https://tecnologia-informatica.com/vulnerabilidades-informaticas/

Yolman Ernesto Pérez Contreras. (2017). Un caso de phishing más en Colombia. 18/05/2019, de
Universidad Cooperativa de Colombia Sitio web: https://www.ucc.edu.co/prensa/2016/Paginas/un-
caso-de-phishing-mas-en-colombia.aspx

OACENA. (2016). Ataques de SQL Injection contra Sony. 19/05/2019, de Escuela de Organización
Industrial Sitio web: https://www.eoi.es/blogs/ciberseguridad/2016/04/18/597/

NIVEL4 Seguridad. (2018). Buenas prácticas de desarrollo seguro: A5-Pérdida de Control de

Acceso. 20/05/2019, de Nivel4 Sitio web: https://blog.nivel4.com/hacking/buenas-practicas-de-
desarrollo-seguro-a5-perdida-de-control-de-acceso/

The OWASP Foundation. (2007). Top 10 2007-Revelación de Información y Gestión

Incorrecta de Errores. 20/05/2019, de OWASP Sitio web:
https://www.owasp.org/index.php/Top_10_2007-Revelaci%C3%B3n_de_Informaci
%C3%B3n_y_Gesti%C3%B3n_Incorrecta_de_Errores

Geoestrategia. (2018). VULNERABILIDADES DE APLICACIONES WEB: ALMACENAMIENTO

CRIPTOGRÁFICO INSEGURO. 20/05/2019, de Geoestrategia Sitio web:
https://geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-almacenamiento-
criptografico-inseguro/

Diarleth. (2019). Riesgo de vulnerabilidad en las aplicaciones móviles financieras. 20/05/2019, de

El Wachiman Sitio web: https://elwachiman.com/riesgo-de-vulnerabilidad-en-las-aplicaciones-
moviles-financieras/

Symantec. (2019). 70 millones de registros de buckets S3 robados debido a configuraciones

incorrectas. 20/05/2019, de Symantec Corporation Sitio web:
https://www.symantec.com/es/mx/security-center/threat-report/