Transmitir sobre HTTP y sus riesgos


La implementación del protocolo HTTP utiliza el protocolo de control de transmisión (TCP) el cual fue estandarizado en 1980, 10 años antes de la aparición de la web. Los primeros protocolos de la capa de aplicación se diferencian considerablemente de HTTP.





Por ejemplo, telnet, es una aplicación interactiva que utiliza una única conexión TCP para la transferencia de datos entre el cliente y el servidor en un periodo de tiempo. FTP mantiene una conexión de control entre el cliente y el servidor y transmite los datos en conexiones separadas. En contraste, HTTP utiliza una única conexión para la transferencia de control y datos. En comparación con los archivos transferidos por ftp, la mayoría de las peticiones y respuestas HTTP son relativamente cortas y ágiles. Estas características de HTTP unidas a que los puertos sobre los que opera (80 y 443) se intuyen siempre abiertos en todos los firewall, le han hecho convertirse en una capa de transporte de aplicaciones.

Muchas de las aplicaciones web actuales, utilizan HTTP para transportar otros protocolos de aplicación como, JSON, SOAP o RSS.

La interacción de HTTP con su mecanismo de transporte TCP, lleva asociados conceptos de manejo de conexiones, e interpretación de estados (TIME_WAIT, RST, FIN..). Esto no difiere mucho del uso que hacen protocolos como SOAP que utilizan el envoltorio de HTTP para el manejo de sesiones y parámetros de estado para que el servidor web los interprete y posteriormente otra aplicación maneje los datos que contiene. HTTP es el protocolo de transporte de otras aplicaciones.

Esta nueva situación del protocolo HTTP puede conllevar 2 serios problemas:

La falta de estándares. Ya no hay aplicaciones HTTP, ahora lo que existe son aplicaciones a medida que utilizan HTTP como medio de transporte, pero que no tienen definiciones formales. Sin estándares perdemos fiabilidad, y escalabilidad,

La seguridad a nivel de aplicación. Si no existen RFCs que definan formatos de datos ni codificaciones de carácteres, ¿que WAF protegera nuestras aplicaciones?. En este aspecto, la WASC, está preparando la versión 2 de Threat Classification, el proyecto de la clasificación de amenazas web que estará disponible en breve, donde se expondran nuevas amenazas de estos pseudo-protocolos de aplicación.

Para hacernos una idea del uso actual de HTTP, basta con ver como una simple búsqueda “over http” muestra más resultados que “over tcp”.

Ayer se utilizaba HTTP para encapsular las conexiones, hoy HTTP es el protocolo de transporte de la capa de aplicación. Se avecinan interesantes retos para la seguridad web.

Fuente:
Por: Emilio Casbas
S21sec labs
http://blog.s21sec.com



Otras noticias de interés:

VaSlibre tiene PLANETA!
Los amigos de VaSlibre colocaron online nuevamente al Planeta de noticias del Grupo, (http://planeta.vaslibre.org.ve/)...
Por qué temer los sitios web de redes sociales?
Millones de personas hoy cuentan con un perfil personal on-line a través del cual comparten fotos, novedades y cotilleos con amigos, empleando horas en la actualización de sus detalles y añadiendo nuevos contactos. Bienvenido a las redes sociales ...
Compromiso remoto de root en iPlanet WebServer
ajo determinadas circunstancias un atacante puede ejecutar comandos generalmente como root) mediante la combinación de dos vulnerabilidades de seguridad en iPlanet Web Server 4.* hasta SP11. Estas dos vulnerabilidades son: * Funciones...
Se lanzó el nuevo VirusRadar en español.
La empresa de seguridad informática Eset lanzó el día de hoy, la versión en español del servicio estadístico de virus denominado VirusRadar.com....
Niños burlan con facilidad las restricciones
Muchos padres parecen creer que manejan más conocimientos que sus hijos en el computador, y que pueden filtrar lo que visitan en internet. Pero una encuesta realizada por McAfee reveló que un 50% de los niños australianos sabe cómo esconder su ac...
Vulnerabilidad crítica en Windows (WebViewFolderIcon)
Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cuál puede ser explotada para la ejecución de código de forma remota....
Redes Sociales: mismos delitos, distintas protecciones
En efecto, no todas las redes sociales otorgan la misma seguridad frente a la comisión de delitos en el ámbito de las mismas. Ello se debe a que las leyes aplicables a una red social son las del lugar en que se encuentra radicada la sede de su soci...
Porno con troyano para Android
Clasificado como Trojan-SMS, se ha descubierto un nuevo malware en los móviles basados en la plataforma de Google que hace que llamen a números Premium sin el consentimiento del usuario....
Intentan fabricar discos híbridos CD/DVD
La prestigiosa revista de divulgación científica New Scientist nos informa de una tentativa que propone el desarrollo de discos híbridos capaces de ser reproducidos tanto en CDs como en DVDs. ...
Privacidad online y el vacío legal
Mientras que en Latinoamérica algunos países tienen ley de delitos informáticos, otros aún no cuentan con tal importante avance a nivel de legislación. Por su parte, los atacantes aprovechan los vacíos legales para continuar afectando a los usu...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • transmitir
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra