Principales fallos de seguridad de las aplicaciones web


Open Web Application Security Project (OWASP) ha dado a conocer la lista de las 10 vulnerabilidades críticas de aplicaciones web en 2004, según ha publicado eSecurityPlanet.com en: http://www.esecurityplanet.com/trends/article.php/3305981





Los diez fallos destacados por OWASP en el referido listado son:
- Entradas no validadas. En la práctica, los atacantes pueden emplear información no validada para alcanzar componentes secundarios.
- Fallos en el control de acceso. Debido a que no se establecen las adecuadas restricciones en la autenticación de usuarios, los agresores pueden tener acceso a otras cuentas o acceder a funciones no autorizadas.
- Fallos en administración de sesiones y autenticación. Credenciales de cuentas y tokens de sesión no están protegidos adecuadamente, lo que puede permitir que los atacantes comprometan contraseñas, llaves, cookies de sesión, y que asuman la identidad de otros usuarios.
- Cross Site Scripting. En este caso, la aplicación web se emplea como mecanismo para realizar ataques contra el navegador de los usuarios finales, lo que puede posibilitar que queden al descubierto cookies de sesión, o que se utilice contenido falso para engañar al usuario.
- Desbordamientos de buffer. Componentes de la aplicación web escritos en lenguajes que no realicen una validación de datos de entrada adecuada pueden fallar y, en algunos casos, permitir tomar el control de un proceso.
- Fallos de inyección. Las aplicaciones web pasan parámetros cuando acceden al sistema externo o al sistema operativo. Si en los parámetros se incluyen comandos maliciosos, el sistema externo puede ejecutarlos en nombre de la aplicación web.
- Gestión incorrecta de errores, que puede ser empleada por los atacantes para obtener información detallada del sistema o provocar denegaciones de servicio.
- Almacenamiento inseguro. Se ha demostrado que las aplicaciones web que utilizan funciones criptográficas para proteger la información y las credenciales no cifran adecuadamente, lo que da como resultado una protección débil.
- Denegación de servicio. Como se ha mencionado anteriormente, los atacantes pueden consumir recursos de la aplicación web hasta conseguir que los usuarios legítimos no puedan acceder a ella. A su vez, los agresores podrán bloquear las cuentas de usuarios o provocar la caída de la aplicación.
- Configuración insegura. Tener un estándar de configuración fuerte es crítico.

Fuente:
Oxygen3

Otras noticias de interés:

Investigadores del MIT bucean en los datos de usuario de Gmail
Un nuevo programa visual de datos del MIT Media Lab, llamado Inmersión, invita a los usuarios a entregar su dirección y contraseña en Gmail para conocer cómo utilizan realmente el sistema de mensajería de Google. ...
Christian Van Der Henst, recupera maestrosdelweb.com y forosdelweb.com
Nos enteramos gracias a alt1040.com que nuestro Amigo Christian a recuperado sus dominios....
Revista digital sobre Software Libre Latitud #6
Está lista para su descarga la nueva edición de la revista digital Latitud, que lleva como tiulo: La Colaboración es la Esencia del Software Libre....
Vulnerabilidad body onLoad en Mozilla Firefox
Basada en la vulnerabilidad que afecta a Internet Explorer revelada en mayo de 2005 (ver 'DoS en IE producido por JavaScript body onLoad', http://www.vsantivirus.com/vul- iesp2-bodyonload-280505.htm), el 21 de noviembre de 2005 se hizo público u...
MSN y Live Messenger: Guía para mantenerse al día
Si bien Microsoft aún no corrige la vulnerabilidad en Windows Live Messenger 8.1 que permite una denegación de servicio a través de la opción Carpetas compartidas, si ha hecho algunos cambios y actualizaciones en su Messenger, en bene...
El mes de los fallos en PHP ha desvelado ya 18 vulnerabilidades sin parche
El mes de los fallos en PHP ha publicado ya 35 vulnerabilidades en 28 días. 30 de ellos han sido encontrados en PHP, tres en la plataforma Zend y una en el módulo mod_security de Apache (los que el propio autor llama bonus). Afortunadamente...
Intypedia: Lección 15. Redes sociales y menores
En el sitio web de intypedia se encuentra disponible como último vídeo destacado en su página principal la Lección 15 de la Enciclopedia de la Seguridad de la Información con el título Redes sociales y menores. ...
La principal revista impresa argentina sobre GNU/Linux es liberada en Internet
USERS Linux es una revista líder en toda América Latina sobre Software Libre, que además viene con un CD para los subscriptores (en general trae alguna versión de GNU/Linux, como puede ser el caso de Ututo o Debian.) Se caracteriza por un excelen...
Múltiples Vulnerabilidades en OpenSSL
El certificado de cliente OpenSSL posee vulnerabilidades múltiples que permiten posiblemente que alguien malicioso cause una negación del servicio (DoS) o tenga el acceso del sistema. El impacto de esta falla se cataloga de altamente crítico. ...
Aspectos de seguridad a tener en cuenta al crear sitios web públicos
Hace unos meses, un usuario de StackOverflow planteaba una interesante cuestión: ¿qué debería saber un desarrollador para construir un sitio web público? Es decir, ¿cuáles son aquellos aspectos importantes que deben tenerse en cuenta a la hora...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aplicaciones
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • principales
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra