POSIBLES VULNERABILIDADES

MATERIA:
Seguridad en aplicaciones

DOCENTE:
RAUL BAREÑO GUTIERREZ

Oscar Eduardo Mayor Jaramillo

Septiembre 2022
Fundación Universitaria del Área Andina
Ingeniería de Sistemas
 INTRODUCCION

El constante avance tecnológico, la globalización de mercados, la alta demanda de aplicaciones web y

el afán de las organizaciones por ser competentes exige que los profesionales de TI desarrollen a diario

aplicaciones web donde exigen que éstas garanticen la seguridad de la información, es por esto, que es

de vital relevancia que conozcamos de temas tan importantes como: vulnerabilidades de las aplicaciones

web, autenticación/autorización, anatomía de un ataque a una aplicación web, OWASP, clasificación de

amenazas, herramientas de intrusión, técnicas de ataque directo al usuario, debilidades de las

aplicaciones web, análisis de técnicas de defensa directa y prevención de ataques, estos conocimientos

le permitirán generar estrategias para desarrollar aplicaciones web más confiables. Con el desarrollo de

la presente tarea, se busca identificar las posibles vulnerabilidades que pueden llegar a afectar el

funcionamiento de una aplicación WEB.

 Requisitos para la tarea

Para resolver la actividad el estudiante debe:

• Realizar las lecturas del referente de pensamiento del Eje 3

• Desarrollar las actividades propuestas.
• Presentar la actividad dentro de las fechas establecidas

Instrucciones:

1- Analice las posibles vulnerabilidades que pueden llegar a afectar el

funcionamiento de una aplicación WEB:
• Entradas invalidadas.
• Fallos de control de Acceso.
• Fallos en la administración de Autentificación y Sesión.
• Fallos de Cross Site Scripting (XSS).
• Desbordamiento del Búffer.
• Inyección de código.
• Fallas en el manejo de errores.
• Almacenamiento inseguro.
• Denegación de servicio.
• Fallas en la administración de Configuración.

2- Con base en las 10 vulnerabilidades mencionadas, desarrolle un cuadro

comparativo, en el que incluya:

• Nombre de la vulnerabilidad.
• Descripción de la vulnerabilidad.
• mecanismo de explotación de la vulnerabilidad.
• Ejemplo real de ataque debido a la vulnerabilidad.

3- Entregar un documento y evidencia del trabajo desarrollado, incluyendo

portada, introducción, objetivos, cuerpo del trabajo, conclusiones y referencias
bibliográficas.
 Fallos en la administración de autenticación
PO Entradas invalidadas Fallos de control de acceso
y sesión

En esta vulnerabilidad las restricciones de control de

La información de entrada
utilizada en la invocación a
componentes web no es
validada antes de ser usada
por la aplicación web, por lo
DESCRIPCION
que puede manipularse la
entrada para incluir
contenido sintáctico, más
específicamente código
malicioso
acceso existen para delimitar las acciones de los
usuarios autenticados, pero éstas no siempre se aplican
correctamente. Una de las habilidades esenciales de los
atacantes es la explotación del control de acceso. De Es cuando no se realiza una autenticación
lograrlo, pueden acceder, de forma no autorizada, a segura o directamente no existe mecanismo
funcionalidades o datos, cuentas de otros usuarios, ver alguno de autenticación. Las credenciales de las
archivos sensibles, modificar datos, cambiar derechos cuentas de usuario y las contraseñas de inicio de
de acceso y permisos, y otras acciones relacionadas con sesión no están propiamente protegidas o no son
la divulgación, modificación o incluso, destrucción de almacenadas de manera encriptada.
datos o del mismo sistema. Las debilidades del control
de acceso son comunes debido a la falta de detección
automática y a la falta de pruebas funcionales efectivas
por parte de los desarrolladores de aplicaciones.

La explotación del control de acceso es una habilidad

esencial de los atacantes. Las herramientas SAST y
DAST pueden detectar la ausencia de controles de
Entre los ataques para acceso, pero, en el caso de estar presentes, no pueden
explotar dicha vulnerabilidad verificar si son correctos. Es detectable utilizando
están los de inyección y los medios manuales o de forma automática en algunos Los atacantes pueden detectar la autenticación
de XSS. La principal frameworks que carecen de controles de acceso. La defectuosa utilizando medios manuales y
MECANISMO
diferencia entre ambos Herramienta SAST (Static application security testing) es explotarlos utilizando herramientas
DE
ataques es que el primero un conjunto de tecnologías diseñadas para analizar automatizadas con listas de
EXPLOTACION
tiene como objetivo final la códigosfuentes,byte code y binarios con el fin de obtener contraseñas, ataques de diccionario o con
aplicación, mientras que el un indicativo del nivel de ingeniería social.
segundo apunta a otros seguridad del aplicativo. La Herramienta DAST (Pruebas
usuarios de esta. de seguridad de aplicaciones dinámicas) es una solución
de seguridad que se usa para descubrir vulnerabilidades
en el software durante su estado de ejecución, incluso
cuando se implementa en la producción.
 Los atacantes pueden alterar
cualquier parte de una
solicitud HTTP, incluidas la
EJEMPLO REAL url, la cadena de consulta, los
DE encabezados, cookies,
ATAQUE campos de formulario y
campos ocultos, para tratar
de eludir los mecanismos de
seguridad del sitio
En 2012, hackers maliciosos obtuvieron acceso a los
servidores de IRS (el SII estadounidense) en Carolina
del Sur a través de una contraseña de administrador
predeterminada, robando 3.6 millones de números de
seguridad social.
Los agresores, al comprometer las contraseñas,
pueden vencer las restricciones de autenticación
y asumir la identidad de otros usuarios, solo
tienen que obtener el acceso a unas pocas
cuentas o a una cuenta de administrador para
comprometer el
sistema.

TIPO Fallos de Cross Site Scripting (XSS) Desbordamiento del Búffer

Es un ataque de inyección de código malicioso para su

Causado por errores/descuidos de programación este se lleva a cabo
posterior ejecución que puede realizarse a sitios web,
cuando un programa informático excede el uso de cantidad de memoria
aplicaciones locales e incluso al propio navegador. Sucede
asignado por el sistema operativo, escribiendo en el bloque de memoria
cuando un usuario mal intencionado envía código malicioso
DESCRIPCION contiguo. Estos fallos son utilizados por ciber-delincuentes para lograr
a la aplicación web y se coloca en forma de un hipervínculo
ejecutar código arbitrario en un equipo, de manera que en muchos casos
para conducir al usuario a otro sitio web, mensajería
logran tomar control del equipo víctima o ejecutar un ataque de Denegación
instantánea o un correo electrónico. Así mismo, puede
de Servicios (DoS)
provocar una negación de servicio.
 Existen 3 diferentes tipos de vulnerabilidades de desbordamiento de búfer
las cuales son: Desbordamiento de memoria heap: Cuando un búfer
basado en memoria heap es desbordado, la información de control en estas
Existen tres tipos conocidos de secuencias de comandos en
etiquetas es sobrescrita, y cuando la rutina de gestión del heap libera el
sitios cruzados: reflejado, almacenado e inyección. XSS
búfer, se produce una sobre escritura de dirección de memoria que
reflejado es el más fácil para explotar – una página reflejara
conduce a una violación de acceso. Desbordamiento de pila: Los
información suministrada por el usuario directamente de
desbordamientos de pila ocurren cuando se copian datos de tamaño
vuelta al usuario: XSS almacenado toma información hostil,
variable sobre búfers de tamaño fijo localizados en la pila del programa sin
la almacena en un fichero, una base de datos, u otro sistema
MECANISMO ninguna comprobación de límites. Las vulnerabilidades de este tipo son
de almacenamiento, y luego en una etapa posterior, muestra
DE consideradas generalmente de un nivel de gravedad alto, ya que su
dicha información sin filtrado alguno. Esto es
EXPLOTACION explotación en la mayoría de los casos permitiría la ejecución de código o
extremadamente peligroso en sistemas de administración de
provocaría una Denegación de Servicio. Cadena de formato: Es un ataque
contenidos (CMS), blogs, o foros, donde un gran número de
cibernético, el cual se produce cuando los datos enviados a través de una
usuarios accederá a la información introducida por otros
cadena de entrada de caracteres son evaluados como un comando por la
usuarios. Con ataques basados en inyección DOM, el código
aplicación o servidor al cual van dirigidos. De esta forma, el atacante podría
JavaScript del sitio Web y sus variables son manipuladas, en
ejecutar código, leer la pila o causar un error de segmentación en la
lugar de los elementos HTML.
aplicación en ejecución, lo que provocaría nuevos comportamientos que
podrían comprometer la seguridad o la estabilidad del sistema al que van
dirigidos.

Phishing a los usuarios de la entidad bancaria Bancolombia,

se envió un correo a los usuarios de este banco en el que se
le informaba a los clientes que por motivos de seguridad los
servicios contratados por este habían sido suspendidos Para explotar un desbordamiento de búfer en pila, el atacante debe
temporalmente y que para volver a hacer uso de estos identificar una vulnerabilidad de desbordamiento de buffer en un programa
EJEMPLO
canales virtuales debían hacer clic en un enlace (inspección/auditoría del código, traza de ejecución en de bugger,” probar”
REAL DE
proporcionado en el cuerpo del correo. Una vez el cliente entradas inesperadas fuzzing), conocer cómo se organiza el buffer y la pila
ATAQUE
ingresaba a la página fraudulenta, se le solicitaba que en memoria para llevar a cabo la explotación, luego de esto se ejecuta el
ingresara los datos correspondientes al usuario, contraseña código arbitrario aportado por atacante.
y preguntas de seguridad con el fin de obtener en una base
de datos toda la información necesaria a la hora de realizar
una transferencia de dinero.
 Tipo Inyección de código
La inyección de comandos es un
método de ataque en el que un
hacker busca vulnerabilidades de
seguridad en aplicaciones web para
explotarlas y ejecutar comandos
DESCRIPCION
específicos (por ejemplo: modificar
un formulario de inicio de sesión o
inyectar código malicioso, entre
otros) y así poder acceder a
información confidencial.
Una aplicación es vulnerable a este
tipo de ataque cuando los datos
suministrados por el usuario no son
MECANISMO válidos o filtrados por la aplicación,
DE cuando se invocan consultas
EXPLOTACION dinámicas no parametrizadas, las
inyecciones más comunes son en
SQL, NoSQL, comandos de SO,
LDAP.
Fallas en el manejo de errores Almacenamiento inseguro
Las aplicaciones pueden revelar,
involuntariamente, información sobre su
configuración, su funcionamiento interno, o
pueden violar la privacidad a través de una
variedad de problemas. También pueden revelar Muchas aplicaciones web no protegen
su estado interno dependiendo de cuánto tardan adecuadamente los datos sensibles,
en procesar ciertas operaciones u ofreciendo tales como tarjetas de crédito y
diferentes respuestas a diferentes entradas, credenciales a autenticación con
como, por ejemplo, mostrando el mismo mecanismos de cifrado o hashing. Los
mensaje de error con distintos números de error. atacantes pueden modificar o robar
Las aplicaciones Web suelen revelar tales datos protegidos
información sobre su estado interno a través de inadecuadamente.
mensajes de error detallados o de depuración.
Esta información, a menudo, puede ser utilizada
para lanzar, o incluso automatizar, ataques muy
potentes.
Todos los años millones y millones de
combinaciones de usuario/contraseña,
grandes cantidades de información
financiera, médica y de otro tipo son
• Errores de configuración.
robados de diferentes bases de datos y
• Errores Web
sorprendentemente muchas veces todo
• Errores de protocolo -Errores de configuración
eso está guardado en texto plano o
• Errores Web
débilmente encriptado. Los datos de
tarjetas de crédito se venden en los
circuitos criminales a valores
irrisoriamente bajos.

Inyección de código malicioso a
través de formularios web para
EJEMPLO REAL
ejecutar un comando no autorizado o
DE ATAQUE
eludir el proceso de inicio de sesión y
acceder a información confidencial.
Por ejemplo, una aplicación cifra las
tarjetas de crédito en la base de datos
para prevenir que los datos sean
Los password por default o débiles, usuarios con
expuestos a los usuarios finales. Sin
demasiados privilegios e inclusive la utilización
embargo, la base de datos descifra
de protocolos de encriptación obsoletos,
automáticamente las columnas de las
normalmente una de las cosas más típicas en
tarjetas de crédito, permitiendo que una
las organizaciones es que utilizan algún sistema
vulnerabilidad de inyección de SQL
de encriptación web, lo cual con una aplicación
pueda extraer las tarjetas de crédito en
de teléfono celular se puede crackear en menos
texto plano. El sistema debería haberse
de 10 o 15 segundos o
configurado de manera que solo las
inclusive con una laptop.
aplicaciones del back-end pudieran
descifrar los datos, no la capa frontal de
la aplicación web.
 Tipo Denegación de servicio
Tienen la finalidad de provocar que un servicio o recurso
sea inaccesible para los usuarios legítimos. Este tipo de
ataques pueden provocar la parada de todos los servicios
DESCRIPCION
de una máquina, o que la máquina sólo puede dar
determinados servicios o que no puede dar servicio a
determinados usuarios.
Los ataques DoS se pueden llevar a cabo de diferentes
MECANISMO formas y cubren infinidad de servicios. Existen tres tipos
DE básicos de ataque, el consumo de recursos limitados, la
EXPLOTACION destrucción o alteración de datos, y la destrucción o
alteración física de componentes de la red.
Fallas en la administración de Configuración
Configuraciones incorrectas de seguridad pueden ocurrir en
cualquier nivel del stack tecnológico, incluidos los servicios de red,
la plataforma, el servidor web, el servidor de aplicaciones, la base
de datos, frameworks, el código personalizado y máquinas virtuales
preinstaladas, contenedores, Configuraciones incorrectas de
seguridad pueden ocurrir en cualquier nivel del stack tecnológico,
incluidos los servicios de red, la plataforma, el servidor web, el
servidor de aplicaciones, la base de datos, frameworks, el código
personalizado y máquinas virtuales preinstaladas, contenedores,
etc. Los escáneres automatizados son útiles para detectar
configuraciones erróneas, el uso de cuentas o configuraciones
predeterminadas, servicios innecesarios, opciones heredadas, etc.
• El manejo de errores revela a los usuarios trazas de la aplicación
u otros mensajes demasiado informativos. • Para los sistemas
actualizados, las nuevas funciones de seguridad se encuentran
desactivadas o no se encuentran configuradas de forma adecuada
o segura. • Las configuraciones de seguridad en el servidor de
aplicaciones, en el framework de aplicación (ej., Struts, Spring,
ASP.NET), bibliotecas o bases de datos no se encuentran
especificados con valores seguros.
• El servidor no envía directrices o cabeceras de seguridad a los
clientes o se encuentran configurados con valores inseguros.
• El software se encuentra desactualizado o posee vulnerabilidades
 Uno de los ataques más comunes son los de consumo de
ancho de banda, estos pueden ser: Smurf Attack: Este
ataque se basa en mandar un gran número de peticiones
EJEMPLO echo (ICMP) a direcciones de Broadcast usando una IP de
REAL DE origen falsa. Esto provoca que la IP de origen sea
ATAQUE inundada con multitud de respuestas. ICMP Ping Flood: En
este ataque se inunda a la víctima con paquetes ICMP
Echo Request. Fraggle Attack: Es similar al ataque Smurf
pero en este caso se envía tráfico UDP en lugar de ICMP.
La configuración incorrecta de una sola carga de trabajo en la
nube o instancia de unidad de almacenamiento puede costar
millones a una empresa o dificultar el cumplimiento de las normas.
Las vulnerabilidades de chip de hardware, por ejemplo, Meltdown,
Spectre y Foreshadow, permiten el acceso no autorizado a
espacios de memoria protegidos de servicios en la nube que se
alojan en el mismo servidor físico.
 CONCLUSIONES

Después de evidenciar las diferentes vulnerabilidades a las que pueden estar expuestas las aplicaciones

que diariamente utilizamos concluimos que es imperativo el estudio y aplicación de diferentes normas

y métodos que mitiguen dichos riesgos. Hoy en día la seguridad de software es algo muy importante y

que día a día aumenta el impacto de los riesgos que se generan a partir de las vulnerabilidades, es por

esto por lo que el correcto estudio de las guías propuestas por OWASP (Open Web Application Security

Project) se vuelve fundamental, ya que no solo son útiles para poder detectar estas vulnerabilidades,

sino que fue desarrollado por una comunidad de expertos en el área con el fin de también poder

mitigarlas. En conclusión, vemos que es nuestra responsabilidad como profesionales de TI el velar por

la seguridad, no solo de la empresa en que laboremos sino también de nuestro hogar e inclusive amigos,

brindando el apoyo, dando consejos y generando conciencia de cómo prevenir ataques vía aplicaciones

WEB.
 REFERENCIAS

• Departamento de Tecnología Organización Inca. (S.F). POLITICAS DE

SEGURIDAD INFORMÁTICA (PSI) recuperado de:

http://www.centroinca.com/centro_inca/documentos/politica_seguridad_informatica.pdf

• Villalon A. (2004) Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799

recuperado de: http://www.shutdown.es/ISO17799.pdf

• https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-aplicacion-en-la-

empresa/

• https://prezi.com/whxiuynnlfy5/ejemplos-de-politicas-de-seguridad-informatica-en-

una-organización/