Asegure su aplicación web como su propia casa

Una forma fácil de ver la seguridad de las aplicaciones web es representando su propia casa. Tiene una puerta delantera, una puerta trasera, ventanas, varias habitaciones, un techo, multas de límite y diferentes rutas de acceso. Sólo la terminología es diferente.

La puerta delantera.
La puerta de entrada de cualquier aplicación web es la página de inicio de sesión y, como es lógico, es el principal punto de ataque. Una página de inicio de sesión constará de cuadros de edición para escribir un nombre de usuario y contraseña, y un botón para enviarlos al servidor para autenticar su acceso al resto de la aplicación web. Algunas páginas de inicio de sesión pueden proporcionar un captcha para asegurarse de que usted es un ser humano y no una maqueta del mismo formulario en un servidor diferente. La forma de la maqueta recorrerá las variaciones de los nombres de usuario y las contraseñas hasta que obtenga acceso a la aplicación. Esto se conoce como falsificación entre sitios y es similar a un ladrón que falsifica las llaves de su casa.

Los captchas son imágenes mezcladas de letras y números revueltos que imposibilitan la lectura de un script automatizado. Desafortunadamente, a medida que los scripts se vuelven más claros al leer estas imágenes, las imágenes captcha deben volverse más complejas y difíciles de leer para los humanos. Esto causa frustración para el usuario final, ya que han repetido los intentos fallidos para obtener acceso a su cuenta porque el captcha era ilegible. La solución a esto ha sido reemplazar el captcha con un token seguro. El token seguro se genera al unir el nombre de usuario, la contraseña y cualquier otra información de usuario disponible con una clave generada específicamente. Esta concatenación se encripta y almacena como un campo oculto en el formulario, por lo que es imposible que cualquier formulario de simulación realice un intento de inicio de sesión exitoso.

Las ventanas y la puerta trasera.
¿Cuáles son las ventanas de una aplicación web? No me refiero al sistema operativo en el servidor. Estoy hablando de áreas potenciales de cada página que podrían haberse roto para hacer una entrada forzada. Estas áreas son cuadros de edición y áreas de texto que permiten a un usuario escribir información. Un atacante utilizará cuadros de edición y áreas de texto para ingresar comandos que la base de datos entiende. Si el software no está escrito de manera segura, es muy fácil interrumpir la base de datos cuando está guardando los datos, de modo que ejecute los comandos proporcionados por el atacante. Los ataques típicos podrían provocar la destrucción de la base de datos, el robo de datos o la información del usuario comprometida. Este tipo de ataque se conoce como inyección SQL.

Cercas de frontera.
Las multas de límite de una página web son los enlaces, las áreas editables y la dirección URL principal. La URL de la página y los enlaces integrados en la página se pueden copiar y modificar desde otro sitio para que el servidor pueda ejecutar los comandos. El código Javascript se puede insertar en áreas editables para forzar que los datos se envíen a un sitio deshonesto o para obtener el control del navegador web del usuario. Los comandos de la base de datos también se pueden insertar en la dirección URL principal. Estos ataques se conocen como ataques de secuencias de comandos entre sitios (XSS) porque son secuencias de comandos que dirigen al usuario al sitio web del atacante. Los ataques XSS podrían usarse para robar el identificador de sesión autenticado de un usuario y usarlo para aumentar el nivel de acceso de otra cuenta que ya han creado.

Para evitar las secuencias de comandos entre sitios, el software debe escanear todas las áreas editables en busca de código y también incluir un token seguro en cada URL y enlace. Así como los huecos y huecos en los huecos deben estar cerrados. Todas las páginas seguras deben verificar la existencia de un usuario autenticado.

Interpretación.
Todos tenemos personas que llaman a la casa falsas y que afirman ser el gasista o la compañía de agua que dicen que necesitan acceder a su casa para desconectar su suministro. Los atacantes del sitio web pueden contactarlo a usted oa cualquier otro usuario de su sitio por correo electrónico, red social o teléfono y engañarlo para que revele sus datos de inicio de sesión. Las razones que pueden dar pueden ser que su sitio web ya haya sido pirateado y puedan repararlo si les proporciona acceso. La única prevención es recordar constantemente a sus usuarios que no deben revelar su nombre de usuario y contraseña a nadie y que usted, como propietario del sitio, nunca le pedirá que revele su contraseña. Debe proporcionar enlaces para permitir a sus usuarios restablecer las contraseñas olvidadas enviándoles un enlace de correo electrónico con un token cifrado para garantizar su origen.

Entrada de fuerza bruta.
El método de ingreso más simple y rápido para que cualquier ladrón ingrese a una casa es usar una palanca para abrir una puerta o romper una ventana con un ladrillo.
La versión de alta tecnología de este método es el ataque de denegación de servicio (DoS). Un ataque DoS implica apuntar repetidamente a una página web hasta que el servidor web se queda sin memoria y se apaga.

A medida que disminuye el número de ladrones, aumenta el número de hackers. Un ladrón puede haber estado solo después de obtener ganancias financieras, donde la motivación de un pirata informático podría haber sido un daño político, financiero o simplemente malicioso. Una casa sin ningún tipo de protección nunca puede ser robada, pero es una certeza que un sitio web no seguro será finalmente atacado.

Dejar respuesta

Please enter your comment!
Please enter your name here