Preethy Soman , gerente de segmento de mercado de IBM:
“Hay muchas cuestiones de las que preocuparse cuando se trata de proteger aplicaciones web . ¿Están seguros los datos de sus usuarios? ¿Pueden engañar a sus usuarios para que hagan cosas que normalmente no harían? ¿Es posible que un atacante contamine su base de datos con datos falsos? ¿Es posible que un atacante obtenga acceso no autorizado a áreas restringidas de su sitio? A menos que tenga cuidado con el código que escribe su equipo, la respuesta a estas preguntas a menudo puede dar lugar a respuestas que preferiría no escuchar.
Construir un sitio web seguro desde cero le ahorrará muchos problemas a largo plazo. ¿Por qué arriesgar vulnerabilidades en el futuro cuando puede construir su sitio de forma segura en primer lugar? No existe un código infalible que proteja contra todas las vulnerabilidades. Sin embargo, puede contratar codificadores competentes y aprovechar los probadores de penetración que pueden realizar pruebas exhaustivas para validar que las vulnerabilidades no pasen desapercibidas. Cualquiera de estas vulnerabilidades podría resultar en una violación de datos, con el poder de dañar permanentemente la reputación de su organización. Por lo tanto, debe hacer clic aquí para obtener más información sobre cómo aumentar el conocimiento de las pruebas de seguridad de aplicaciones en su organización.
- ¿Cuál es una gran herramienta basada en navegador para dibujar árboles de decisión?
- ¿Existen buenas aplicaciones web de código abierto (preferiblemente basadas en LAMP) para crear cuestionarios de autoidentificación política?
- Quiero construir una aplicación web. ¿Es mejor aprender primero sobre las tecnologías de back-end o front-end?
- ¿Deberían las versiones móviles de aplicaciones web parecerse a una interfaz de usuario de aplicación nativa (por ejemplo, entrada inferior fija para una página de chat) o tener el mismo aspecto que la versión de escritorio?
- Php, Python, Java o Ruby: ¿importa el lenguaje de programación si se resuelve la tarea?
Las vulnerabilidades por las que su organización debería estar especialmente preocupada incluyen las siguientes:
Cross-Site Scripting (XSS)
Las secuencias de comandos entre sitios, también conocidas como XSS, son un ejemplo de un ataque de inyección en el que un atacante puede inyectar fragmentos de código malicioso para obtener información importante o realizar otras tareas maliciosas. Un atacante puede secuestrar un sitio web e inyectar scripts maliciosos, que quedan expuestos al navegador de un usuario. Si un usuario visita este sitio web, su navegador también ejecutará el código malicioso.
Lea nuestro blog, Inside the Mind of a Hacker para obtener más información sobre esta vulnerabilidad:
Falsificación de solicitudes entre sitios (CSRF)
Este es uno de los ataques más comunes y exitosos. Aquí, un atacante falsifica una solicitud maliciosa y envía la misma solicitud en forma de imágenes o enlaces, engañando al usuario para que haga algo que el atacante desea. Los atacantes pueden crear solicitudes maliciosas en nombre del navegador del usuario, en el que el sitio web bajo ataque ha sido “enseñado” a confiar. Este video muestra cómo un atacante puede robar dinero de la cuenta bancaria de una víctima aprovechando las redes sociales.
Inyección de Shell e Inyección SQL
Estas son vulnerabilidades comunes. Lo que sucede aquí es que las aplicaciones permiten la ejecución de código a través de fuentes externas, ‘inyectándolo’ en el código de tiempo de ejecución principal. Para obtener más información, lea el blog: ¿Cree que SQLi es una noticia antigua? ¡Los atacantes no!
Mala configuración de seguridad
La configuración incorrecta de seguridad abarca varios tipos de vulnerabilidades, todas centradas en la falta de mantenimiento o la falta de atención a las configuraciones de aplicaciones web. Las configuraciones incorrectas de seguridad dan a los piratas informáticos acceso a datos o funciones privilegiadas y pueden resultar en un compromiso completo del sistema.
Uso de componentes con vulnerabilidades conocidas
En la carrera contra el tiempo para la entrega de software, los desarrolladores pueden descargar bibliotecas de código abierto y utilizarlas en sus proyectos de desarrollo actuales. De lo que no se dan cuenta es que las bibliotecas que pueden estar usando pueden estar obsoletas, contener errores de seguridad conocidos o no estar actualizadas. Estas vulnerabilidades eventualmente se infiltran en el producto final que se entrega a los usuarios. Para obtener más información, lea el blog: Domar a la bestia de código abierto con un programa eficaz de prueba de seguridad de aplicaciones
Regístrese en nuestro seminario web para obtener más información sobre las pruebas de seguridad de aplicaciones y cómo puede proteger sus aplicaciones web. La sesión estará disponible para reproducirse después de que se complete la sesión en vivo “.
Cualquier información que proporcione IBM no es asesoramiento legal.
