¿Cuáles son las amenazas de seguridad más comúnmente ignoradas en el desarrollo web?

Preethy Soman , gerente de segmento de mercado de IBM:

“Hay muchas cuestiones de las que preocuparse cuando se trata de proteger aplicaciones web . ¿Están seguros los datos de sus usuarios? ¿Pueden engañar a sus usuarios para que hagan cosas que normalmente no harían? ¿Es posible que un atacante contamine su base de datos con datos falsos? ¿Es posible que un atacante obtenga acceso no autorizado a áreas restringidas de su sitio? A menos que tenga cuidado con el código que escribe su equipo, la respuesta a estas preguntas a menudo puede dar lugar a respuestas que preferiría no escuchar.

Construir un sitio web seguro desde cero le ahorrará muchos problemas a largo plazo. ¿Por qué arriesgar vulnerabilidades en el futuro cuando puede construir su sitio de forma segura en primer lugar? No existe un código infalible que proteja contra todas las vulnerabilidades. Sin embargo, puede contratar codificadores competentes y aprovechar los probadores de penetración que pueden realizar pruebas exhaustivas para validar que las vulnerabilidades no pasen desapercibidas. Cualquiera de estas vulnerabilidades podría resultar en una violación de datos, con el poder de dañar permanentemente la reputación de su organización. Por lo tanto, debe hacer clic aquí para obtener más información sobre cómo aumentar el conocimiento de las pruebas de seguridad de aplicaciones en su organización.

Las vulnerabilidades por las que su organización debería estar especialmente preocupada incluyen las siguientes:

Cross-Site Scripting (XSS)

Las secuencias de comandos entre sitios, también conocidas como XSS, son un ejemplo de un ataque de inyección en el que un atacante puede inyectar fragmentos de código malicioso para obtener información importante o realizar otras tareas maliciosas. Un atacante puede secuestrar un sitio web e inyectar scripts maliciosos, que quedan expuestos al navegador de un usuario. Si un usuario visita este sitio web, su navegador también ejecutará el código malicioso.

Lea nuestro blog, Inside the Mind of a Hacker para obtener más información sobre esta vulnerabilidad:

Falsificación de solicitudes entre sitios (CSRF)

Este es uno de los ataques más comunes y exitosos. Aquí, un atacante falsifica una solicitud maliciosa y envía la misma solicitud en forma de imágenes o enlaces, engañando al usuario para que haga algo que el atacante desea. Los atacantes pueden crear solicitudes maliciosas en nombre del navegador del usuario, en el que el sitio web bajo ataque ha sido “enseñado” a confiar. Este video muestra cómo un atacante puede robar dinero de la cuenta bancaria de una víctima aprovechando las redes sociales.

Inyección de Shell e Inyección SQL

Estas son vulnerabilidades comunes. Lo que sucede aquí es que las aplicaciones permiten la ejecución de código a través de fuentes externas, ‘inyectándolo’ en el código de tiempo de ejecución principal. Para obtener más información, lea el blog: ¿Cree que SQLi es una noticia antigua? ¡Los atacantes no!

Mala configuración de seguridad

La configuración incorrecta de seguridad abarca varios tipos de vulnerabilidades, todas centradas en la falta de mantenimiento o la falta de atención a las configuraciones de aplicaciones web. Las configuraciones incorrectas de seguridad dan a los piratas informáticos acceso a datos o funciones privilegiadas y pueden resultar en un compromiso completo del sistema.

Uso de componentes con vulnerabilidades conocidas

En la carrera contra el tiempo para la entrega de software, los desarrolladores pueden descargar bibliotecas de código abierto y utilizarlas en sus proyectos de desarrollo actuales. De lo que no se dan cuenta es que las bibliotecas que pueden estar usando pueden estar obsoletas, contener errores de seguridad conocidos o no estar actualizadas. Estas vulnerabilidades eventualmente se infiltran en el producto final que se entrega a los usuarios. Para obtener más información, lea el blog: Domar a la bestia de código abierto con un programa eficaz de prueba de seguridad de aplicaciones

Regístrese en nuestro seminario web para obtener más información sobre las pruebas de seguridad de aplicaciones y cómo puede proteger sus aplicaciones web. La sesión estará disponible para reproducirse después de que se complete la sesión en vivo “.

Cualquier información que proporcione IBM no es asesoramiento legal.

Los sospechosos de siempre

  1. inyección SQL
  2. fallas de validación de datos
  3. devolviendo demasiados datos

El proyecto OWASP enumera muchas vulnerabilidades, pero las 10 principales páginas en owasp.org son las amenazas más frecuentes y más frecuentes