Vulnerabilidades de Seguridad en Aplicaciones Web


El uso de aplicaciones Web crece rápidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes.





Sin embargo, los beneficios de estas aplicaciones vienen acompañados de vulnerabilidades para la seguridad que crean riesgos y exposiciones peligrosas. ISACA, una asociación mundial de 95 mil profesionales de la seguridad de TI, dio a conocer un nuevo reporte gratuito titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que perfila las causas de las vulnerabilidades de las aplicaciones Web, al mismo tiempo que examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo.

La guía aplica a todos los tipos de actividades de desarrollo de software. Las nuevas aplicaciones Web están basadas en un ambiente cliente−servidor y son independientes de las plataformas, requieren menos poder de cómputo, y pueden integrarse perfectamente con recursos y servicios en línea. Su utilización puede reducir el tiempo y costo de los procesos, mayor número de clientes satisfechos e ingresos más altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotación de información corporativa sensible, a la interrupción del servicio y al robo de propiedad intelectual.

Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

· Inyección de SQL · Cross−site scripting

· Referencias inseguras de objetos directos

· Fuga de información

· Anti−automatización insuficiente "

Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA.

El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

· Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.

· Los programadores deben capacitarse en técnicas de codificación seguras.

· Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también

· Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas

· Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas. "Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemático".

"Estas nuevas tecnologías pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes". Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo está disponible sin costo a través de www.isaca.org/web−application−security.

Puede encontrar una guía adicional de ISACA sobre temas como el cómputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos móviles en www.isaca.org/whitepapers.

Fuente:
http://www.entornointeligente.com/



Otras noticias de interés:

Circula exploit para vulnerabilidad en Office
Una prueba de concepto publicada por milw0rm.com el pasado domingo (30/03/08), puede ser utilizada para la ejecución de código mediante la explotación de un fallo de seguridad en Microsoft Office XP SP3. ...
PHP 5.2.9, solventa 50 bugs en versiones 5.2.x.
Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x....
Apple publica un parche de seguridad que soluciona 45 vulnerabilidades
Apple ha publicado un superparche de seguridad que corrige hasta 45 errores distintos en su sistema operativo Mac OS X. Muchos de ellos, dados a conocer durante el mes de los fallos en Apple que tuvo lugar el pasado mes de enero. ...
¿Que hace el MCT, además del ridículo?
Es impresionante y realmente entristece que en los eventos de Software Libre, que es parte de la estrategia del Gobierno Nacional de Venezuela según reza el Decreto Bolivariano 3390, no exista participación alguna del Minist...
Facebook denunciado por la Agencia Alemana de Protección de Datos
Después de los últimos cambios en las políticas de privacidad de Facebook, algunos datos personales de los usuarios se han quedado a la vista de todos. Por esto, la agencia de protección de Alemania han puesto una denuncia contra Facebook....
La arquitectura x86 y sus 30 años
La arquitectura más popular y extendida en PCs y portátiles de todo el planeta acaba de cumplir nada menos que 30 años, todo un récord para cualquier aspecto relacionado con la informática....
Piratas informáticos roban datos del Ministerio de Defensa japonés
Un grupo de piratas informáticos robó datos del sistema computarizado del Ministerio de Defensa de Japón y luego los utilizó para chantajear al gobierno nipón, lo que hizo temer por la seguridad del país....
Crecen las voces de alerta sobre una posible división de Internet
¿Es posible que la Red de redes terminará dividiéndose en redes separadas más pequeñas?. El jefe del Internet Governance Forum (IGF), Nitin Desai, se ha sumado a las voces que alertan de que algunas decisiones sobre el gobierno de la Red podría...
Diversas vulnerabilidades en KDE 3.x y 4.x
Se ha anunciado la existencia de diversas vulnerabilidades en KDE 3.x y 4.x que podrían ser explotadas por un atacante local para escalar privilegios o remoto para causar una denegación de servicio o ejecutar código arbitrario. ...
Un estudio descubre lo fácil que es extraer datos confidenciales de ordenadores
Parece ser que incluso borrando el disco duro de un viejo ordenador, aún pueden quedar en su memoria los datos personales de quien lo ha manejado, y además se extraen muy fácilmente....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aplicaciones
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra