web application vulnerability

10 riesgos de seguridad para las aplicaciones WEB según OWASP

Según el Informe de Vulnerabilidades de Aplicaciones Web 2019, publicado por Acunetix:  46% de sitios web tienen un alto nivel de vulnerabilidades. Es por este motivo que las empresas modernas no solo deben resguardar su red de trabajo sino también su web corporativa y aplicaciones relacionadas a la misma. 

¿Qué es OWASP?

Son las siglas de Open Web Application Security Project, Es un proyecto abierto de seguridad de aplicaciones web, una organización sin ánimos de lucro que constantemente apoya proyectos de infraestructura y seguridad informática relacionada a las aplicaciones web. 

OWASP Top 10

Al ser la prioridad del proyecto la seguridad de aplicaciones web OWASP menciona el top 10 de ataques y vulnerabilidades a las que están expuestas este elemento de las empresas modernas. Recomienda que desde el desarrollo de la misma y las pruebas de penetración se considere los riesgos constantes a los que están expuestos las páginas de las empresas.

1. SQL Injection 

Una de las vulnerabilidades más antiguas que afecta directamente las bases de datos de la aplicación web, a través de una inyección de código SQL dentro de un sitio web es posible alterar el funcionamiento normal generando la ejecución del código malicioso. 

LDAP injection

Significa Lightweight Directory Access Protocol, traducido al español como Protocolo Ligero de Acceso a Directorio, es un protocolo encargo de las listas de control de acceso a un dominio o una red, no es un ataque muy común pero requiere la protección respectiva para no recibir la inyección de código malicioso. 

La forma más sencilla de comprender una inyección LDAP es que los hackers atacan al sistema de validación de usuarios, para intentar así cambiar la permisología de estos y hasta crear usuarios con los cuales acceder luego a otros equipos o a zonas más sensibles del dominio.

Este tipo de ataques puede generar un punto de acceso para el filtrado de información y la descarga de malware, siendo el principal punto de ataque los formularios de entrada. 

CRLF injection

Se refiere a Carriage Return (ASCII 13, \r) Line Feed (ASCII 10, \n) se logra modificando un parámetro de HTTP o URL, a diferencia de LDAP no le será posible crear nuevos usuarios, pero sí leer y acceder archivos confidenciales. 

2. Pérdida de autenticación

Es a través de esta vulnerabilidad que un usuario o alguien ajeno a la organización obtenga por diversos medios una contraseña de otro usuario o miembro de la empresa, es una forma de suplantación de identidad. En la inmensa mayoría de los casos este tipo de ataque está relacionado con la gestión de contraseñas, la expiración de las mismas y mantener sesiones activas en un dispositivo. 

3. Mala configuración de seguridad 

Se da en casos donde los controles de acceso se encuentran correctamente configurados pero no hay mecanismos para mantener segura la información de los usuarios, los hackers aprovechan esta falencia para manipular encabezados y mostrar mensajes de error con información confidencial, de esta forma será posible para un atacante revelar datos y generar acceso no deseados. 

4. Entradas XML

XML significa Extensible Markup Language es un metalenguaje sencillo para la comunicación a través de Internet dando soporte a bases de datos. Las aplicaciones que analizan archivos XML puede ser engañada para brindar al atacante datos confidenciales. 

5. Control de acceso

Los controles de acceso son los encargados de lograr la conexión de un usuario con su cuenta específica, una mala configuración genera una vulnerabilidad preocupante, una mala configuración en estos controles podrían generar que un atacante acceda a una cuenta solo modificando parámetros de la URL. 

6. Secuencia de comandos en sitios cruzados (XSS)

Un ataque de secuencia de comandos se realiza cuando la aplicación funciona desde el navegador web, a través de estos comandos se busca infectar con código malicioso el computador desde el cual el usuario busca conectarse, la mayoría de ataques XSS se centran en enviar al usuario a sitios maliciosos y el robo de información. 

7. Deserialización insegura

Es una de las vulnerabilidad más recientes, incluidas en el top 10 de OWASP, permitiendo aplicar código de manera remota en aplicaciones web. 

8. Uso de componentes con vulnerabilidades conocidas

La ejecución de código libre requiere que se hagan diferentes actualizaciones, mantener elementos estáticos es otorgar vulnerabilidades ya conocidos a los atacantes, de esta forma es necesario informar al equipo de desarrollo que actualice cualquier elemento que involucre código open source.

9. Insuficiente registro y monitoreo

El tiempo para detectar errores debe ser el más corto posible, el nulo monitoreo de un 

sistema puede generar una vulnerabilidad severas en la aplicación web o una constante fuga 

10. Exposición a datos sensibles

Debido a las vulnerabilidades mencionadas en esta lista una aplicación web no debería almacenar datos confidenciales como la ubicación, datos financieros o de contacto personal, ante una filtración revelar estos datos sería perjudicial para el personal. 

¿Cómo podemos protegernos de estas 10 vulnerabilidades?

Estas vulnerabilidad están vigentes y significan grandes pérdidas para las empresas, prevenirlas pueden requerir de muchas horas de trabajo por parte de desarrolladores y personal de TI. 

Entre las diferentes tecnologías de ciberseguridad en el mercado una de las más efectiva es WAF Seguro (Web Application Firewall), Es una solución que se brinda como servicio, ofrecida por Optical Networks y respaldado por FORTINET, es el correcto resguardo de sus aplicaciones web.

Conclusiones

El top 10 que mencionamos en este artículo representa una serie de vulnerabilidades y amenazas que pueden poner en riesgo la integridad de la información, la forma más eficaz de prevenir estos ataque es a través de nuestro WAF seguro, no espere que haya filtraciones de información y ejecución de malware para actuar, asegure los datos de su empresa hoy.

Send this to a friend