Medidas de Seguridad y Tipos de Vulnerabilidad para el Desarrollo de una Aplicacin Web.

Medidas de Seguridad y Tipos de Vulnerabilidad para el Desarrollo de una Aplicacin Web.

Para poder crear una pagina web con todas las medidas de seguridad hay que tomar en cuenta varios factores muy importantes que algunos pueden ir de la mano de otro, debemos de tener en cuenta que ningn lenguaje de programacin puede prever cdigo inseguro, aunque las caractersticas del lenguaje puedan ayudar a bloquear revelacin de informacin confidencial de cualquier sitio web desarrollado.No podemos enfocarnos nicamente con el desarrollo web, tambin tenemos que tomar en cuenta algo muy importante que es la base de datos, protegiendo de forma correcta los datos que se estn utilizan y definitivamente proteger las bases de datos no es un proceso fcil, sobretodo porque la mayor parte de los ataques que van tras las ms simples vulnerabilidades son lo que tienen ms xito.Algunos ataques comunes son los siguientes:1. Ejecucin de cdigo remotamente.2. Inyeccin de cdigo SQL (SQL inyection).3. Cross Site Scripting (XSS).1.Ejecucin de cdigo remotamente:Como su nombre lo indica, esta vulnerabilidad permite al atacante ejecutar cdigo en el servidor vulnerable y obtener informacin almacenada en l. Los errores de codificacin impropios resultan de esta vulnerabilidad.register_globals es una configuracin de PHP que controla la disponibilidad de las variables superglobales en un script php (Tales como informacin posteada de formularios (post), datos desde la url (get), o informacin traida de las cookies).Ejemplo:

Vulnerabilidades XMLRPC en PHPOtra vulnerabilidad bastante comn en esta categora incluye vulnerabilidades en el uso de XML-RPCXML-RPC es un protocolo de llamada a procedimiento remoto que usa XML para codificar las llamadas y HTTP como mecanismo de transporte.Es un protocolo muy simple ya que slo define unos cuantos tipos de datos y comandos tiles, adems de una descripcin completa de corta extensin.Ejemplo de cdigo XML malicioso:

test.method ','')); echo"Hola mundo! :P"; die();/*

2.Inyeccin de cdigo SQL (SQL inyection)Es una vulnerabilidad de las Web, que afectan directamente a las bases de datos de una aplicacin, El problema radica al filtrar errneamente las variables utilizadas en parte de la pgina con cdigo SQL.Una Inyeccin SQL consiste en insertar o inyectar cdigo SQL malicioso dentro de cdigo SQL, para alterar el funcionamiento normal y hacer que se ejecute el cdigo invasor dentro del sistema.Ejemplo: Suponiendo, tenemos la siguiente consulta:SELECT*FROMusuariosWHEREuser ='administrador'ANDpassword='$_POST['password']'Obviamente esperamos que $_POST['password'] contenga la contrasea del usuario, pero Que pasara si $_POST['password'] =' or 'a'='a? Obtendramos algo como lo siguiente:SELECT*FROMusuariosWHEREuser ='administrador'ANDpassword=''OR'a'='a'

3.Cross Site Scripting (XSS)Es el ataque basado en la explotacin de vulnerabilidades del sistema de validacin de HTML incrustado. El problema es que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets). Cada una se trata de forma diferente.Un caso de ejemplo: Realizamos un formulario de bsqueda, y una vez el usuario haya insertado el trmino a buscar, mostramos el termino que busc y la cantidad de resultados.ejemplo:

Bsqueda