Vulnerabilidades de Seguridad en Aplicaciones Web


El uso de aplicaciones Web crece rápidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes.





Sin embargo, los beneficios de estas aplicaciones vienen acompañados de vulnerabilidades para la seguridad que crean riesgos y exposiciones peligrosas. ISACA, una asociación mundial de 95 mil profesionales de la seguridad de TI, dio a conocer un nuevo reporte gratuito titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que perfila las causas de las vulnerabilidades de las aplicaciones Web, al mismo tiempo que examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo.

La guía aplica a todos los tipos de actividades de desarrollo de software. Las nuevas aplicaciones Web están basadas en un ambiente cliente−servidor y son independientes de las plataformas, requieren menos poder de cómputo, y pueden integrarse perfectamente con recursos y servicios en línea. Su utilización puede reducir el tiempo y costo de los procesos, mayor número de clientes satisfechos e ingresos más altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotación de información corporativa sensible, a la interrupción del servicio y al robo de propiedad intelectual.

Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

· Inyección de SQL · Cross−site scripting

· Referencias inseguras de objetos directos

· Fuga de información

· Anti−automatización insuficiente "

Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA.

El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

· Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.

· Los programadores deben capacitarse en técnicas de codificación seguras.

· Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también

· Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas

· Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas. "Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemático".

"Estas nuevas tecnologías pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes". Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo está disponible sin costo a través de www.isaca.org/web−application−security.

Puede encontrar una guía adicional de ISACA sobre temas como el cómputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos móviles en www.isaca.org/whitepapers.

Fuente:
http://www.entornointeligente.com/



Otras noticias de interés:

Sun cierra partes del código MySQL
Uno de los aspectos más importante de MySQL para muchos usuarios es su naturaleza de código abierto. Por esta misma razón, la compra de MySQL por parte de Sun fue recibida con mucho escepticismo. ...
UML se ejecuta a sí mismo
«User Mode Linux por fín ha conseguido ejecutarse a sí mismo. Para el que no lo sepa UML es una máquina virtual que permite ejecutar un nuevo núcleo de linux completamente aislado del resto de tu sistema. ...
NUEVA VERSION DEL PRINCIPAL MODELO CLIMATICO GLOBAL
El National Center for Atmospheric Research (NCAR) acaba de dar a conocer la poderosa nueva versión del sistema basado en supercomputadores que permite modelar el clima terrestre y proyectar en el futuro el aumento de las temperaturas que la Tierra ...
LinkedIn posible vulnerabilidades de seguridad
Días después de la exitosa salida a Bolsa de LinkedIn, un investigador de seguridad asegura que la compañía tiene vulnerabilidades que permitirían a un atacantes acceder a las cuentas de los usuarios....
Arreglada vulnerabilidad de Chrome en 24 horas
Estos días se está celebrando el Google’s Pwnium, una competición auspiciada por Google en el marco de la conferencia de seguridad CanSecWest, con el que Google reta a los expertos en seguridad a buscar vulnerabilidades en Chrome. Para animar la...
8 maneras rápidas y fáciles para prevenir fuga de datos
A medida que los cibercriminales van poniendo sus ojos en las pymes, es importante que tu como dueño de una empresa tomes las medidas proactivas necesarias para proteger los datos y reducir al mínimo la probabilidad de una brecha de seguridad....
SCADA sigue siendo vulnerable
Un grupo de investigadores han mostrado múltiples fallos de seguridad sin parchear en SCADA, un sistema utilizado por plantas de distribución eléctrica, agua, gas y petróleo....
DEFCON 17 ha publicado las charlas y presentaciones para su descarga
DEFCON, la famosa conferencia de seguridad informática, celebrada en Las Vegas, publicó los temas tratados en su sitio web....
Craqueo de contraseñas MD5
La mayoría de los foros, weblogs, portales y aplicaciones web no guardan la contraseña de los usuarios como texto claro, alegando motivos de seguridad. Lo que se suele hacer es aplicar a las contraseñas un hash (generalmente MD5) antes de guardarl...
Spam Falsos positivos
Es posible que en estos días, muchos administradores de sitios web o de redes corporativas, reciban quejas de que sus correos son catalogados de Spam o sencillamente son devueltos. Conozco a más de un IT que ha pasado horas tratando de resolver el...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aplicaciones
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra