1

Actividad Evaluativa Eje 3

Seguridad en Aplicaciones

Fundación Universitaria del área Andina

Bogotá

21 de marzo de 2022

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
 2

INTRODUCCION

En la actualidad la información es uno de los activos más importantes de las organizaciones por este motivo es esencial

que sea protegida de los diferentes niveles de amenazas que hay por esto mismo es la importancia de realizar análisis

constantes a la seguridad que protege estos activos ya que los ataques son constantes y siempre habrá vulnerabilidades que

puedan ser aprovechadas por terceros para afectar una organización. Es primordial para las organizaciones o los usuarios

comunes buscar la mayor protección de sus activos como lo son las contraseñas, el firewall, cifrado, copias de seguridad

protegidas entre otras, en el análisis que haremos a continuación se va a profundizar en el diagnóstico realizado por una

empresa de auditoría, se debe tener en cuenta que la seguridad web es la que buscan vulnerar más los ciber atacantes ya que en

la actualidad el almacenamiento se maneja más en la nube que en los mismos servidores físicos.

OBJETIVOS

OBJETIVO GENERAL

 Entender los conceptos de las diferentes vulnerabilidades con sus diferentes mecanismos de explotación

OBJETIVOS ESPECIFICOS

 Entender y poner en práctica los conceptos adquiridos durante el eje 3.

 Entender y detallar los ejemplos de cada vulnerabilidad solicitada por el docente.

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
 3

DESARROLLO

Vulnerabilidad Descripción Mecanismo de explotación Ejemplo

Hay diferentes formas de
aprovechar el desbordamiento
Esta vulnerabilidad es generalmente del buffer una de ellas es por
causada por errores de programación medio de Buffer overflow en Los atacantes buscan saturar la memoria del sistema
Desbordamiento cuando un programa intenta almacenar donde el ciber atacante realiza con el fin de que el mismo intente almacenar más
de Búffer más datos de los que puede contener o inserción de datos con tamaño datos de la capacidad que tiene asignada y en ese
supera el uso de memoria asignado por el superior al esperado por un momento ocurre el desbordamiento.
sistema operativo. programa generando
sobreescritura de espacios
adyacentes en la memoria.

Los programas o aplicaciones web revelan

Los principales mecanismos de
información de su estado de forma El uso de protocolos de encripicón antiguos o
explotación de esta
Fallas en el involuntaria a través de sus mensajes de desactualizados puede permitir los ataques de
vulnerabilidad son a través de
manejo de error o códigos de error detallados, este hackers como lo hacen algunas compañías que
errores web, errores de
errores tipo de mensajes de error son manejan sistemas de encripicón web y que pueden
configuración y/o errores de
aprovechados por los atacantes ser fáciles de vulnerar.
protocolos.
cibernéticos para lanzar ataques.

Algunos mecanismos que se

Un ejemplo claro de este ataque es cuando los
Los ataques de denegación de servicio o utilizan para explotar esta
hackers saturan la página de una organización con
DoS buscan dejar los recursos informáticos vulnerabilidad son alteración o
Denegación de tráfico o peticiones con el fin de hacerla caer y
de una organización sin disponibilidad, este destrucción de datos, o también
servicio dejarla fuera de disponibilidad para los usuarios
tipo de ataque se centra en colapsar el la saturación de recursos
finales, algunos ejemplos de este tipo de ataques son
recurso saturándolo o colapsándolo. asignados para un servicio como
el ICMP Ping flood y el Smurf attack.
en el caso de una web.

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00

Vulnerabilidad Descripción
El cross site scripting permite al atacante
insertar secuencias de código malicioso o
Fallos de cross scripts en el navegador web de un usuario,
site scripting (xss) este ataque va dirigido al código del sitio
web del navegador del usuario y no al
servidor del sitio web.
La información de entrada que se utiliza en
Entradas la web no es validada antes de ser usada y
Invalidadas puede ser manipulada por los ciber
atacantes a través de inyección de SQL.
Los ataques de inyección de código
permiten al atacante enviar o inyectar
instrucciones SQL de manera maliciosa
Inyección de
dentro del código SQL de una aplicación o
código
web con el fin de manipular las bases de
datos de las mismas para poder obtener la
información para divulgarla o utilizarla.
This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
4
Mecanismo de explotación Ejemplo
Uno de los mecanismos más usados por
los ciber atacantes es el XSS reflejado el
Algunos de los ejemplos más comunes que se
cual busca usar una página totalmente
ha visto de organizaciones en Colombia son
igual a la original con el fin de acceder a
MercadoLibre, Bancolombia o Davivienda en
usuarios y contraseñas de los clientes de
donde los usuarios han recibido correos con
una organización reflejando la
links de la supuesta página original de estas
información suministrada por el cliente al
organizaciones con el fin de acceder a
atacante, en la actualidad la mayoría de
usuarios, contraseñas y/o transacciones del
ciberdelincuentes usan métodos como
usuario y poder robar su información.
mensajes de texto o correos electrónicos
con links fraudulentos de este tipo.
Un ejemplo claro de esta vulnerabilidad es
El principal mecanismo de explotación de cuando los atacantes alteran las cookies, las
esta vulnerabilidad es a través de url´s, las cadenas de consultas o los
inyección de SQL o XSS. encabezados de una solicitud HTTP con el fin
de eludir los mecanismos de seguridad.
El atacante inicia introduciendo su código
Los datos de una aplicación se vuelven
malicioso en un campo de formulario
vulnerables a este tipo de ataques cuando
especifico en una aplicación buscando ejecutar
los datos del usuario no son válidos o
los comandos no autorizados y saltar el
están sin parametrizar.
proceso de inicio de sesión de la web.
 5

Vulnerabilidad Descripción Mecanismo de explotación Ejemplo

Los atacantes utilizan herramientas como

DAST y SAST encargadas de detectar la
Los atacantes buscan acceder de forma no En 2017 el ministerio de justicia atribuyo un
falta de controles de acceso, las
autorizada a cuentas, datos, permisos o defecto de control de accesos al sistema
herramientas SAST es un grupo de
Fallos de control realizar modificaciones de los datos del permitiéndole a más de 140.000 procuradores
tecnologías con el fin de analizar códigos
de acceso sistema, la falta de pruebas a profundidad y abogados acceder a miles de casos de
fuente y proporcionar el nivel de
por parte de los desarrolladores permite Lexnet, esta falla se presentó por un error de
seguridad en el que esta y la herramienta
que este tipo de vulnerabilidad sea común. programación en el código.
DAST se utiliza para buscar
vulnerabilidades en un software.

Las bases de datos de las aplicaciones de

Es uno de los fallos de seguridad que vemos
Los ciber atacantes siempre buscan ir por bancos descifran automáticamente la
seguido a la hora de analizar aplicaciones
las bases de datos que en la mayoría de información de las tarjetas de crédito que la
móviles ya que los hackers utilizan
Almacenamiento casos tienen la información almacenada aplicación inicialmente cifra para evitar que
programas malignos para obtener la
inseguro en texto plano o con baja encripción este tipo de información sea divulgada,
información de los usuarios, el sistema
permitiéndoles robar y divulgar más fácil normalmente se utilizan inyección de SQL para
operativo Android tiende a ser más
toda esa información. extraer esta información de texto plano de las
propenso a estos ataques que IOS.
bases de datos.

Los atacantes buscan obtener la cuenta

administradora de un sitio web para si
Esta vulnerabilidad se presenta cuando la
utilizarla y obtener las demás cuentas de
Fallos en la web no tiene encriptada la información de
Los ciber atacantes utilizan herramientas usuarios, buscan vulnerabilidades en las
administración inicio de sesión o sin proteger, los
con listas de contraseñas o ingeniería restricciones de autenticación, por esto es
de mecanismos de autenticación no se
social con el fin de encontrar fallas de necesario que los usuario busquen asignar
autentificación y encuentran seguros y pueden provocar que
autenticación de un sitio web. contraseñas con caracteres alfanuméricas con
sesión los hackers accedan a esta información
símbolos y lo más complejas posibles con el fin
fácilmente.
de evitar acceso a sus cuentas, entre más larga
sea la contraseña mejor.

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
 6

Vulnerabilidad Descripción Mecanismo de explotación Ejemplo

Una mala configuración o programación de la

La falla de programación o configuración de
un programa o una web puede permitir a
los ciber atacantes acceder a las bases de
Fallas en la
datos de las mismas, errores de
administración
configuración de seguridad, servidores, red,
de configuración
frameworks, plataformas y bases de datos
pueden ocasionar fallas en el sistema y
generar brechas de seguridad.
nube o de un almacenamiento puede costarle
Para sistemas nuevos que se están
mucho dinero a una organización ya que la
implementando se tienen sistemas de
información puede ser divulgada a la
seguridad, pero no configurados de forma
competencia o permitir que otros la
adecuada o segura que permite a los
aprovechen para su propio beneficio,
atacantes explotar ese mecanismo,
vulnerabilidades como Foreshadow o
también si se tienen software
Meltdown pueden llegar a permitir el acceso
desactualizados.
no autorizado a espacios de almacenamiento
de servidores.

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
 7

CONCLUSIONES

Después de analizar y entender los diferentes tipos de vulnerabilidades manejadas en el eje 3 y comprender los diferentes

ataques a los que están expuestas las aplicaciones web o programas se concluye que es importante la implementación de políticas de

seguridad y análisis constantes de las posibles brechas, investigando un poco más a fondo encontramos que la OWASP (Open Web

Application Security Project) que es una organización sin fines de lucro busca proporcionar recursos gratuitos promoviendo el

desarrollo de software seguro y orientado a la prestación de servicios orientados a la web. Nosotros como ingenieros debemos velar

porque se conserve y proteja la integridad de la información en donde laboremos y en nuestra vida cotidiana ya que los sistemas

informáticos continúan en constante evolución, desarrollo y crecimiento en donde estemos.

BIBLIOGRAFIA

 Castro, M. I. R., Morán, G. L. F., Navarrete, D. S. V., Cruzatty, J. E. Á., Anzúles, G. R. P., Mero, C. J. Á., ... & Merino, M. A. C.

(2018). Introducción a la seguridad informática y el análisis de vulnerabilidades (Vol. 46). 3Ciencias.

 Tarazona, T., & Cesar, H. (2007). Amenazas informáticas y seguridad de la información. Derecho penal y criminología, 28, 137.

 Wolf, G. (2017). Tipos de ataque.

 Dias, C., & Ruiz, J. S. (2014). Hacking ético y seguridad en red. Trabajo Final de Carrera. Universitat Oberta de Catalunya UOC,

Barcelona, España. Recuperado de: http://openaccess. uoc. edu/webapps/o2/bitstream/10609/34501/7/cdiasTFC0614me moria. pdf.

This study source was downloaded by 100000838016111 from CourseHero.com on 09-19-2022 15:23:08 GMT -05:00
Powered by TCPDF (www.tcpdf.org)