Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivos
Pautas de elaboración
Extensión y formato
Actividades 1
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Solución:
Que es AJAX
Hay que tener en cuenta que AJAX no es una sola tecnología ni un lenguaje de
programación, como ya se mencionó, AJAX es un conjunto de tecnologías de
desarrollo web. Al combinar diferentes tecnologías, las páginas web parecen tener
mejor capacidad de respuesta porque se intercambian pequeños paquetes con el
servidor y la página web no se recarga cada vez que el usuario realiza un cambio de
entrada. AJAX permite a los usuarios de aplicaciones web interactuar con una
página web sin interrumpirla recargando toda la página web. La interacción con el
sitio web se produce rápidamente solo recargando y actualizando partes de la
página.
Actividades 2
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
En este caso, el navegador recarga toda la página aunque los datos solicitados
consten de cambios menores. Además, el navegador puede enviar peticiones
frecuentes, que sobrecargan el software del servidor web.
En lugar de actualizar toda la página, AJAX utiliza una función de JavaScript para
crear un objeto XMLHttpRequest en el navegador. A continuación, compila la
información de la página en formato XML, y el objeto XMLHttpRequest la envía al
servidor web. El servidor web procesa la petición y responde con los datos
solicitados. Por último, el navegador actualiza la pantalla actual con los datos más
recientes sin actualizar la página
Actividades 3
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Ajax define un método de iniciar un cliente con la comunicación del servidor sin
recargas de páginas. Proporciona una forma de permitir actualizaciones de página
parciales. Desde una perspectiva de usuario de página web, significa que la mejora
de la interacción con una aplicación web, que proporciona al usuario más control de
su entorno, es similar a la de una aplicación de escritorio.
En una aplicación web tradicional, las solicitudes HTTP, que se inician mediante la
interacción del usuario con la interfaz web, se realizan a un servidor web. El servidor
web procesa la solicitud y devuelve una página HTML al cliente. Durante el
transporte HTTP, el usuario no puede interactuar con la aplicación web.
Actividades 4
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Características de AJAX.
. Fácil de usar: Debido a que se está eliminando una devolución de la página, las
aplicaciones habilitadas para AJAX siempre serán más receptivas, más rápidas y
fáciles de usar.
Actividades 5
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Actividades 6
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. Salas de chat: Algunos sitios web tienen un chat incorporado en su pagina principal
mediante el cual puedes hablar con un agente de atención al cliente, no tienes que
preocuparte si quieres explorar la pagina al mismo tiempo, AJAX no volverá a cargar
la página cada vez que envíes y recibas un mensaje nuevo.
En pocas palabras, AJAX hace que las funciones multitarea sean más fáciles, si
alguna vez puedes observar una situación similar en la que dos operaciones
funcionan simultáneamente, con una en ejecución y la otra inactiva, es posible que
sea AJAX en acción.
Sin embargo, también presenta algunas desventajas, algunas de las cuales son:
Actividades 7
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. El punto débil de AJAX es que es necesario escribir código para cada uno de los
navegadores que utilizaremos, y esto requiere de mucho tiempo.
Limitaciones de AJAX.
Actividades 8
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Actividades 9
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. SQL inyection o XSS: Es una de las vulnerabilidades top de OWASP, y sigue siendo
una de las principales amenazas en las nuevas tecnologías, hoy en día también con
las bases de datos no relacionales, como por ejemplo Mongo Injection, las nuevas
posibilidades para Cross Site Scripting surgen del almacenamiento de mas datos en
la parte del cliente y se pueden obtener cookies, credenciales y realizar un robo de
información en profundidad, mediante el DOM y un XSS se puede alterar el
contenido de un sitio, modificar la dirección de donde los datos o los formularios de
usuarios serán enviados, robo de cookies y credenciales.
Actividades 10
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. La ejecución de código malicioso: Las llamadas que se realizan con AJAX ejecutan
en background sin ninguna interacción del usuario, por lo que el usuario no es
consciente de lo que se esta realizando en un sitio concreto, por lo que la web puede
aprovechar este hecho para realizar un robo de cookies, es un problema de seguridad
que se debe tener muy en cuenta, ya que se puede llevar a cabo de una manera
silenciosa y poco sospechosa.
Actividades 11
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. Manipulación binaria del cliente rico ligero: Las aplicaciones utilizan componentes
ActiveX, Flash o Applets, que ya han demostrado históricamente que son caldo de
cultivo para virus y otros tipos de malware.
. No establecer conexiones con sitios diferentes del nombre de dominio del que se ha
obtenido el script de JavaScript. De este modo se puede proteger de problemas de
seguridad y esta medida de denomina CORS, Cross-Origin Resource Sharing
. Los ficheros de JavaScript que se han obtenido desde un sitio en concreto no deben
poder acceder a propiedades de otro sitio
. Se debe tener en cuenta los ataques clásicos como SQLi y XSS por lo que buscarlos
© Universidad Internacional de La Rioja (UNIR)
especialmente y SXRF, los cuales podrán ser solventados mediante un filtrado
correcto o utilización de tokens correctamente en el caso de SXRF
Actividades 12
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
. Toda petición realizada con AJAX y que acceda a recursos protegidos deberán
encontrarse autenticadas.
Uno de los retos principales para las aplicaciones de AJAX es que al trasladar el
código al cliente se involucra una gran cantidad de formatos de datos, protocolos,
analizadores e intérpretes, estos incluyen JavaScript, VBScript, Flash, JSON, XML,
REST, XMLHttpRequest, XSLT, CSS y HTML además de las tecnologías de servidor
involucradas. Además, como si esto no fuera suficiente, cada framework de AJAX
tiene sus propios formatos. El tamaño de la superficie de ataque que presente una
aplicación proporciona a un atacante diferentes maneras para causar algún daño a
las aplicaciones o a los usuarios, mientras más tecnologías se utilicen, mas grande es
la superficie de ataque. En consecuencia, se mencionan tres recomendaciones para
reducir la superficie de ataque en las aplicaciones que utilicen AJAX:
. Sepa lo que se ejecuta: En AJAX cada vez es más difícil saber donde se ejecutara el
código, así que si se comete un error e implementa autenticación, control de acceso,
validación u otro mecanismo de seguridad del lado del cliente, un atacante
simplemente podría pasar estos mecanismos con FireBug, podríamos imaginar que
se tiene cuidado en el código de
. Mantenga los datos separados del código: Los atacantes frecuentemente utilizan
una técnica llamada “inyección” para introducir comandos en ciertas secciones de
datos de modo que logren ejecutarlos, este truco es el corazón de muchos ataques
como inyección de SQL, comandos, LDAP, XSS y desbordamiento de memoria. La
Actividades 13
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
clave para detener estos ataques está en nunca ejecutar datos que podrían ejecutar
código. Pero con AJAX, muchos de los datos y código son combinados en DOM.
Dado que actualmente no existe una estructura como HTML que mezcle código y
datos. Así que, el objetivo es ser cuidadoso con los datos que podrían incluir una
entrada del usuario, en este caso se debe procurar validar todos los datos antes de
ejecutarlos, aun en aquellos datos que se ejecutan del lado del cliente.
. Tener cuidado de la codificación: Codificar dificulta las cosas ya que los atacantes
pueden esconder sus ataques codificándolos y así lograr ejecutar sus ataques en las
aplicaciones que son vulnerables, actualmente se utilizan diferentes esquemas de
codificación o una doble codificación para ocultar sus ataques, existen docenas de
esquemas y no existe una manera de saber que esquema se debería reconocer para
prevenir el ataque, esto hace que reconocer este tipo de ataques sea muy complejo si
no es que imposible. Siempre que se envíe o reciba datos, ambas partes deben
conocer el tipo de codificación que se utiliza, de modo que la aplicación no intente
adivinar el esquema de codificación, no es posible prevenir que un atacante envíe
datos con otro tipo de codificación, pero la aplicación no tendrá que ejecutarlos, por
ejemplo:
Hay que recordar, que la superficie del ataque de AJAX esta bajo nuestro control, las
decisiones que realice pueden incrementar drásticamente el tamaño de la superficie
del ataque, asegúrese de donde se ejecuta el código, que tipo de formato de datos y
protocolos están involucrados y que analizadores e intérpretes se utilizan.
© Universidad Internacional de La Rioja (UNIR)
Conclusión
Actividades 14
Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: VARGAS JIMENEZ
07/04/2024
aplicaciones y el big data Nombre: DANIEL
Actividades 15