Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Introducción A La Seguridad Web

    Cargado por

    lolbacvihiipor
    11 vistas4 páginas

    Título original

    Introducción a la Seguridad Web

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    11 vistas4 páginas

    Introducción A La Seguridad Web

    Cargado por

    lolbacvihiipor

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    SEGURIDAD

    Introducción a la Seguridad Web


    La seguridad en una página web, es una de las cosas más impórtate, ya que hay que dar la
    máxima seguridad a los clientes de que el sistema es robusto y no va a haber fallas de
    seguridad. Como robo de datos o suplantación de identidad.

    Medidas de Seguridad
    Existen muchos métodos de seguridad en la web, por ello se va a resumir aquellas que se han
    implementado en esta web y posibles mejoras.

    -Inyección de datos
    La inyección de datos es uno de los ataques más comunes en la web. Es el sistema por el cual
    el atacante, intenta introducir caracteres extraños en los campos de texto que acceden a las
    bases de datos o introducirlos en la dirección web, si se está utilizando el método GET para
    recoger los datos. Para que a la hora de hacer una inserción, consulta… la base de datos
    devuelva todos los datos de la tabla o inserte algo que pueda hacerla que esta se desestabilice.

    -Protección para Inyección de datos


    Para impedir dicho problema, al finalizar la recogida de datos, se utilizan sistemas que
    formatean la cadena de tal manera que eliminen todos esos caracteres extraños que puedan
    ser perjudiciales para la base de datos.

    -Encriptación mediante “sal” [1]


    En criptografía, la sal comprende bits aleatorios que se usan como una de las entradas en una
    función derivadora de claves. La otra entrada es habitualmente una contraseña. La salida de la
    función derivadora de claves se almacena como la versión cifrada de la contraseña. La sal
    también puede usarse como parte de una clave en un cifrado u otro algoritmo criptográfico. La
    función de derivación de claves generalmente usa una función hash. A veces se usa como sal el
    vector de inicialización, un valor generado previamente.

    -Encriptación de contraseña
    Para la encriptación de contraseñas, se debe utilizar la función “sal” definida en el párrafo
    anterior. La cual genera una clave aleatoria para la contraseña a cifrar (siendo distinta esta
    clave para cada contraseña) y la encripta con esta. Lo que resulta muy seguro, ya que los
    posibles atacantes, si llegaran a acceder a la base de datos, tendrían que desencriptar las
    contraseñas de una en una sin la posibilidad de encontrar un patrón igual para todas.

    -Encriptación de contraseña Cliente-Servidor

    Los datos a la hora de ser enviados desde el cliente al servidor, si no se cifra la conexión por el
    método SSL, puede llegar a fallas de seguridad. Para ello existen 2 soluciones posibles: La
    primera se trata de activar el certificado SSL en el servidor usado [2]. La segunda, se trata de
    encriptar los formularios antes de su envió al servidor como por ejemplo usando la función de
    javascript CryptoJS [3]. O se pueden activar las 2 opciones a la vez.
    -Fallas de seguridad
    Las posibles fallas de seguridad, pueden ser provocadas por el uso de funciones de
    encriptación actualmente no seguros como puede ser el método MD5 o también el uso de
    una “sal” por defecto sin ser aleatoria.

    -Mejoras de seguridad
    Para mejorar la seguridad de una página se pueden implementar muchas restricciones. En la
    página propuesta, no se han implementado estas seguridades pero se podrían hacer en un
    futuro.

    La primera constaría de obligar al usuario a la introducción de contraseñas con un mínimo de


    caracteres y con caracteres especiales.

    La segunda seria el bloqueo de usuarios que intenten loguarse más de X veces en el servidor
    sin éxito, lo que impediría los ataques por fuerza bruta.

    COOKIES
    ¿Que es una Cookie?
    Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y
    almacenada en el navegador del usuario, de manera que el sitio web puede consultar la
    actividad previa del usuario. [4]

    Uno de los principales usos de las cookies es la de mantener al usuario logeado en la web sin
    tener que volver a hacerlo y agotarlo.

    Error 404
    Si ocurre algún error en la página web relacionado con no encontrar lo que el usuario busca,
    existe el error 404 que permite informar al usuario de la falta de tal información .[6]

    MANUAL DE INTALACION
    Configurar el servidor
    (Copia más o menos lo de esta pagina)

    http://blog.reaccionestudio.com/instalar-apache-php-mysql-y-phpmyadmin-en-linux/

    Configurar la aplicación en el servidor de esta manera

    http://www.dev-metal.com/prevent-php-sessions-shared-different-apache-vhosts-
    different-applications/

    Por último poner todos los archivos de la página en la dirección indicada en el


    apartado anterior de la configuración del servidor
    [1]https://es.wikipedia.org/wiki/Sal_%28criptograf%C3%ADa%29

    [2]http://www.alcancelibre.org/staticpages/index.php/como-apache-ssl

    [3] https://code.google.com/p/crypto-js/

    [4] https://es.wikipedia.org/wiki/Cookie_%28inform%C3%A1tica%29

    [5] http://www.downwithdesign.com/web-development-tutorials/adding-remember-feature-
    php-login-script/

    [6] http://www.desarrolloweb.com/articulos/configurar-pagina-error-404-apache.html

    También podría gustarte