Principales fallos de seguridad de las aplicaciones web


Open Web Application Security Project (OWASP) ha dado a conocer la lista de las 10 vulnerabilidades críticas de aplicaciones web en 2004, según ha publicado eSecurityPlanet.com en: http://www.esecurityplanet.com/trends/article.php/3305981





Los diez fallos destacados por OWASP en el referido listado son:
- Entradas no validadas. En la práctica, los atacantes pueden emplear información no validada para alcanzar componentes secundarios.
- Fallos en el control de acceso. Debido a que no se establecen las adecuadas restricciones en la autenticación de usuarios, los agresores pueden tener acceso a otras cuentas o acceder a funciones no autorizadas.
- Fallos en administración de sesiones y autenticación. Credenciales de cuentas y tokens de sesión no están protegidos adecuadamente, lo que puede permitir que los atacantes comprometan contraseñas, llaves, cookies de sesión, y que asuman la identidad de otros usuarios.
- Cross Site Scripting. En este caso, la aplicación web se emplea como mecanismo para realizar ataques contra el navegador de los usuarios finales, lo que puede posibilitar que queden al descubierto cookies de sesión, o que se utilice contenido falso para engañar al usuario.
- Desbordamientos de buffer. Componentes de la aplicación web escritos en lenguajes que no realicen una validación de datos de entrada adecuada pueden fallar y, en algunos casos, permitir tomar el control de un proceso.
- Fallos de inyección. Las aplicaciones web pasan parámetros cuando acceden al sistema externo o al sistema operativo. Si en los parámetros se incluyen comandos maliciosos, el sistema externo puede ejecutarlos en nombre de la aplicación web.
- Gestión incorrecta de errores, que puede ser empleada por los atacantes para obtener información detallada del sistema o provocar denegaciones de servicio.
- Almacenamiento inseguro. Se ha demostrado que las aplicaciones web que utilizan funciones criptográficas para proteger la información y las credenciales no cifran adecuadamente, lo que da como resultado una protección débil.
- Denegación de servicio. Como se ha mencionado anteriormente, los atacantes pueden consumir recursos de la aplicación web hasta conseguir que los usuarios legítimos no puedan acceder a ella. A su vez, los agresores podrán bloquear las cuentas de usuarios o provocar la caída de la aplicación.
- Configuración insegura. Tener un estándar de configuración fuerte es crítico.

Fuente:
Oxygen3

Otras noticias de interés:

Lectura de ficheros arbitrarios en #PhpMyAdmin
Se ha publicado una vulnerabilidad que afecta a PhpMyAdmin y que podría permitir a un atacante con permisos para la creación de bases de datos, leer ficheros arbitrarios del servidor donde se aloja la aplicación....
Ciberguerra es una exageración que podría militarizar Internet
Las amenazas de una guerra cibernética se exageran enormemente, según le dijo a la BBC un destacado experto en temas de seguridad....
AntiSpywares sospechosos o no confiables
Constantemente vsantivirus.com actualiza su lista de sitios sospechos de spyware, malware y crimeware por ello recomiendo que los Administradores de Redes (No importa el Sistema Operativo) actualicen sus (proxys, firewall o cualquier otra herramien...
Actualización de seguridad para QuickTime
Apple ha publicado una nueva versión de QuickTime (la 7.7), que solventa 16 problemas de seguridad en sus versiones para Windows y Mac OS. ...
¿Compañías de Hosting VICTIMAS de ataques DoS?
Según informe presentado por Netcraft, dos empresas importante de hosting y alquiler/venta de servidores dedicados fueron victimas de ataques DoS el día martes pasado. ...
Suiza aprueba que no prescriban delitos de pederastia
El Consejo Nacional suizo aprobó este martes por amplia mayoría que no prescriban los delitos de pedofilia cuando se cometan contra niños menores de doce años. ...
Nuevo Servicio de Proxy Anónimo - Navega sin dejar huellas
El Team Xombra en busca de dar la alternativa a los usuarios de navegar anónimamente en la red ofrece su nuevo servicio de Navegación Anónima por proxy. Este servicio estará en prueba por unos día...
10 tareas que Microsoft tiene que resolver en 2009
Microsoft sigue liderando sectores como las ventas de sistemas operativos o los nevagadores web, entre otros. Pero en este 2009 debe resolver una serie de cuestiones para diversificar sus ingresos, subsanar errores o adentrarse en nuevos mercados....
ICANN publica por error información privada
La organización encargada de asignar nombres de dominios, ICANN, ha publicado por error información privada de parte de los últimos solicitantes. La organización ha eliminado de la web dicha información y ha pedido disculpas por el error. ...
Empresas venezolanas adoptan Windows Server 2003
Bridgestone Firestone, Venevisión, C.V.G Ferrominera Orinoco y el Tribunal Supremo de Justicia, han valorado aspectos como la seguridad, confiabilidad, escalabilidad y una mayor productividad para decidir migrar su plataforma tecnológica a Windows ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aplicaciones
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • principales
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra