Aplicaciones web o sitio web Wid obtiene
Durante la última década, más o menos, la web ha sido adoptada por millones de empresas como un canal económico para comunicarse e intercambiar información con clientes potenciales y transacciones con clientes.
En particular, la web proporciona una forma para que los especialistas en marketing conozcan a las personas que visitan sus sitios y comiencen a comunicarse con ellos. Una forma de hacerlo es pedirles a los visitantes web que se suscriban a boletines informativos, que envíen un formulario de solicitud cuando soliciten información sobre productos o que brinden detalles para personalizar su experiencia de navegación la próxima vez que visiten un sitio web en particular.
La web también es un excelente canal de ventas para una miríada de organizaciones, grandes o pequeñas: con más de mil millones de usuarios de Internet en la actualidad (fuente: Computer Industry Almanac, 2006), el gasto en comercio electrónico de EE. UU. Representó $ 102.1 mil millones en 2006 (Fuente: comScore Redes, 2007).
Todos estos datos deben ser capturados, almacenados, procesados y transmitidos de alguna manera para ser utilizados inmediatamente o en una fecha posterior. Las aplicaciones web, en forma de campos de envío, formularios de consulta e inicio de sesión, carritos de compras y sistemas de gestión de contenido, son los widgets del sitio web que permiten que esto suceda.
Por lo tanto, son fundamentales para las empresas para aprovechar su presencia en línea, creando así relaciones duraderas y rentables con clientes potenciales y clientes.
No es de extrañar que las aplicaciones web se hayan convertido en un fenómeno tan omnipresente. Sin embargo, debido a su naturaleza altamente técnica y compleja, las aplicaciones web son un elemento ampliamente desconocido y muy incomprendido en nuestra vida cotidiana cibernética.
Aplicaciones web definidas
Desde un punto de vista técnico, la web es un entorno altamente programable que permite la personalización masiva a través del despliegue inmediato de una amplia y diversa gama de aplicaciones, para millones de usuarios globales. Dos componentes importantes de un sitio web moderno son los navegadores web flexibles y las aplicaciones web; ambos disponibles para todos y varios sin costo alguno.
Los navegadores web son aplicaciones de software que permiten a los usuarios recuperar datos e interactuar con contenido ubicado en páginas web dentro de un sitio web.
Los sitios web de hoy están muy lejos de los escaparates de texto estático y gráficos de principios y mediados de los noventa: las páginas web modernas permiten que los usuarios muestren contenido dinámico personalizado de acuerdo con las preferencias y configuraciones individuales. Además, las páginas web también pueden ejecutar scripts del lado del cliente que “cambian” el navegador de Internet a una interfaz para aplicaciones tales como correo web y software de mapeo interactivo (por ejemplo, Yahoo Mail y Google Maps).
Lo más importante es que los sitios web modernos permiten la captura, el procesamiento, el almacenamiento y la transmisión de datos confidenciales del cliente (por ejemplo, datos personales, números de tarjetas de crédito, información de seguridad social, etc.) para uso inmediato y recurrente. Y esto se hace a través de aplicaciones web. Características como el correo web, las páginas de inicio de sesión, los formularios de solicitud de asistencia y productos, los carritos de compras y los sistemas de gestión de contenido, dan forma a los sitios web modernos y brindan a las empresas los medios necesarios para comunicarse con clientes potenciales y clientes. Todos estos son ejemplos comunes de aplicaciones web.
Las aplicaciones web son, por lo tanto, programas informáticos que permiten a los visitantes del sitio web enviar y recuperar datos a / desde una base de datos a través de Internet utilizando su navegador web preferido. Luego, los datos se presentan al usuario dentro de su navegador a medida que la información se genera dinámicamente (en un formato específico, por ejemplo, en HTML usando CSS) por la aplicación web a través de un servidor web.
Para los más orientados técnicamente, las aplicaciones web consultan el servidor de contenido (esencialmente una base de datos de repositorio de contenido) y generan dinámicamente documentos web para servir al cliente (personas que navegan por el sitio web). Los documentos se generan en un formato estándar para permitir el soporte de todos los navegadores (por ejemplo, HTML o XHTML). JavaScript es una forma de script del lado del cliente que permite elementos dinámicos en cada página (por ejemplo, una imagen cambia una vez que el usuario pasa el mouse sobre ella). El navegador web es clave: interpreta y ejecuta todos los scripts, etc., mientras muestra las páginas y el contenido solicitados. Wikipedia llama brillantemente al navegador web como el “cliente universal para cualquier aplicación web”.
Otra ventaja importante de crear y mantener aplicaciones web es que realizan su función independientemente del sistema operativo y los navegadores que ejecutan el lado del cliente. Las aplicaciones web se implementan rápidamente en cualquier lugar sin costo y sin requisitos de instalación (casi) en el extremo del usuario.
A medida que aumenta el número de empresas que adoptan los beneficios de hacer negocios a través de la web, también aumentará el uso de aplicaciones web y otras tecnologías relacionadas. Además, desde la creciente adopción de intranets y extranets, las aplicaciones web se han atrincherado en gran medida en las infraestructuras de comunicación de cualquier organización, ampliando aún más su alcance y posibilidad de complejidad tecnológica y destreza.
Las aplicaciones web pueden comprarse de forma inmediata o crearse internamente.
¿Cómo funcionan las aplicaciones web?
La siguiente figura detalla el modelo de aplicación web de tres capas. La primera capa es normalmente un navegador web o la interfaz de usuario; la segunda capa es la herramienta de tecnología de generación de contenido dinámico, como los servlets de Java (JSP) o las páginas Active Server (ASP), y la tercera capa es la base de datos que contiene contenido (por ejemplo, noticias) y datos de clientes (por ejemplo, nombres de usuario y contraseñas, redes sociales números de seguridad y detalles de la tarjeta de crédito).
La figura siguiente muestra cómo el usuario activa la solicitud inicial a través del navegador a través de Internet hasta el servidor de aplicaciones web. La aplicación web accede a los servidores de bases de datos para realizar la tarea solicitada actualizando y recuperando la información que se encuentra dentro de la base de datos. La aplicación web luego presenta la información al usuario a través del navegador.
Problemas de seguridad web
A pesar de sus ventajas, las aplicaciones web plantean una serie de problemas de seguridad derivados de la codificación incorrecta. Las debilidades o vulnerabilidades graves permiten a los piratas informáticos obtener acceso directo y público a las bases de datos para generar datos confidenciales. Muchas de estas bases de datos contienen información valiosa (por ejemplo, detalles personales y financieros), lo que las convierte en un blanco frecuente de los piratas informáticos. Aunque tales actos de vandalismo como la desfiguración de sitios web corporativos siguen siendo comunes, hoy en día, los piratas informáticos prefieren obtener acceso a los datos confidenciales que residen en el servidor de la base de datos debido a las inmensas recompensas en la venta de los datos.
En el marco descrito anteriormente, es fácil ver cómo un hacker puede acceder rápidamente a los datos que residen en la base de datos a través de una dosis de creatividad y, con suerte, negligencia o error humano, lo que genera vulnerabilidades en las aplicaciones web.
Como se indicó, los sitios web dependen de las bases de datos para entregar la información requerida a los visitantes. Si las aplicaciones web no son seguras, es decir, vulnerables a, al menos, una de las diversas formas de técnicas de piratería, entonces toda su base de datos de información confidencial está en grave riesgo.
Algunos hackers, por ejemplo, pueden inyectar código maliciosamente dentro de aplicaciones web vulnerables para engañar a los usuarios y redirigirlos hacia sitios de phishing. Esta técnica se llama Cross-Site Scripting y se puede usar a pesar de que los servidores web y el motor de base de datos no contienen ninguna vulnerabilidad.
Investigaciones recientes muestran que el 75% de los ataques cibernéticos se realizan a nivel de aplicación web.
- Los sitios web y las aplicaciones web relacionadas deben estar disponibles las 24 horas del día, los 7 días de la semana, para proporcionar el servicio requerido a los clientes, empleados, proveedores y otras partes interesadas.
- Los firewalls y SSL no brindan protección contra el pirateo de aplicaciones web, simplemente porque el acceso al sitio web debe hacerse público: todos los sistemas de bases de datos modernos (por ejemplo, Microsoft SQL Server, Oracle y MySQL) pueden accederse a través de puertos específicos (por ejemplo, los puertos 80 y 443 ) y cualquiera puede intentar conexiones directas a las bases de datos sin pasar por los mecanismos de seguridad utilizados por el sistema operativo. Estos puertos permanecen abiertos para permitir la comunicación con tráfico legítimo y, por lo tanto, constituyen una vulnerabilidad importante.
- Las aplicaciones web a menudo tienen acceso directo a datos de back-end como bases de datos de clientes y, por lo tanto, controlan datos valiosos y son mucho más difíciles de proteger. Aquellos que no tienen acceso tendrán algún tipo de script que permita la captura y transmisión de datos. Si un pirata informático se da cuenta de las debilidades en un script de este tipo, puede redirigir fácilmente el tráfico involuntario a otra ubicación y descuidar ilegítimamente los datos personales.
- La mayoría de las aplicaciones web están hechas a medida y, por lo tanto, implican un menor grado de pruebas que el software estándar. En consecuencia, las aplicaciones personalizadas son más susceptibles a los ataques.
Las aplicaciones web, por lo tanto, son una puerta de entrada a bases de datos, especialmente aplicaciones personalizadas que no se desarrollan con las mejores prácticas de seguridad y que no se someten a auditorías de seguridad regulares. En general, debe responder la pregunta: “¿Qué partes de un sitio web que consideramos seguras están abiertas a ataques de piratería?” Y “¿qué datos podemos arrojar a una aplicación para hacer que realice algo que no debería hacer?” .
Este es el trabajo de un escáner de vulnerabilidades web.
comprobar: – http://www.deepimmersionmedia.com/