owasp

 

  Descripción del riesgo Ejemplo de posible ataque

1. Inyección

La  inyección de comandos es un método de ataque (SQL, noSQL, OS o LDAP) en el que un hacker busca vulnerabilidades de seguridad en aplicaciones web para explotarlas y ejecutar comandos específicos (por ejemplo: modificar un formulario de inicio de sesión o inyectar código malicioso, entre otros) y así poder acceder a información confidencial. 

Inyección de código malicioso a través de formularios web para ejecutar un comando no autorizado o eludir el proceso de inicio de sesión y acceder a información confidencial

 

2. Pérdida de Autenticación y Gestión de Sesiones

Las vulnerabilidades de los sistemas de autenticación y su incorrecta configuración, permiten a los hackers hacerse pasar por usuarios legítimos y acceder a información confidencial o comprometer la aplicación web.

Algunos ejemplos son:

◌ Timeout de sesión ilimitado
◌ El usuario no está obligado a cerrar sesión
◌ Incorrecta gestión de credenciales (contraseñas débiles, almacenadas en texto sin formato, etc.)
◌ Restablecimiento de contraseñas (contraseñas olvidadas)

Mantener la sesión de un usuario activa después de se haya cerrado la pestaña del navegador es especialmente peligroso en los dispositivos de uso público (cibercafés, bibliotecas, etc.). Esta acción equivaldría a dejarnos la puerta abierta de casa. Los hackers sólo necesitan iniciar sesión en dicho dispositivo para tener acceso a todos los datos del usuario.

 

3. Exposición de datos sensibles

Los datos confidenciales almacenados en aplicaciones web no siempre están protegidos adecuadamente.  En un ataque de hombre en el medio (man-in-the-middle), el hacker envenena los protocolos de comunicación. Al colocarse entre los usuarios y los servidores, logra interceder todas las comunicaciones no cifradas.

 

4. Entidades externas XML (XXE)

Las vulnerabilidades basadas en XML pueden explotarse para divulgar información confidencial, falsificar solicitudes del servidor, lanzar ataques al servidor web e incluso desencadenar ataques de denegación de servicio contra la propia aplicación web. Ataques de Denegación de Servicio

 

5. Pérdida del control de acceso

 

 

Un control de acceso inadecuado (falta de conocimiento sobre quién accede a qué sistemas y recursos) puede provocar ataques de fuerza bruta o elevación de privilegios

Las URL visibles facilitan la manipulación de los procesos de autenticación. 

 

6. Configuración de seguridad incorrecta

Una configuración incorrecta de la seguridad o demasiado detalle en los mensajes de error pueden proporcionar pistas sobre posibles vulnerabilidades en el código. 

Demasiado detalle en los mensajes que recibe el usuario cuando se equivoca e introduce mal sus credenciales puede dar pistas sobre posibles vulnerabilidades.   

 

7. Secuencia de comandos en sitios cruzados (XSS)

Las vulnerabilidades del servidor pueden explotarse para modificar el código y ejecutar scripts maliciosos en los navegadores de los usuarios. Una vez que el cibercriminal ha conseguido explotar una vulnerabilidad de un servidor web, puede replicar los sitios web legítimos alojados en dicho servidor y así redirigir a los usuarios a sitios falsos y conseguir información personal de los mismos. 

 

8. Deserialización insegura

Para aquellos que no están familiarizados con el proceso de serialización, consiste en convertir objetos de datos en cadenas de texto simples para permitir su transmisión o guardado, siendo la deserialización el proceso inverso.
El problema surge cuando los objetos maliciosos se deserializan. Cuando esto sucede, se puede activar un ataque de denegación de servicio, modificar la lógica de la aplicación o incluso ejecutar el código de forma remota en el servidor.
 

 

 

 

La lógica de una aplicación puede modificarse fácilmente durante el proceso de deserialización si la aplicación PHP no está protegida adecuadamente.

 

9. Uso de componentes con vulnerabilidades conocidas

Las vulnerabilidades en los componentes de la aplicación web, como marcos o bibliotecas, pueden explotarse y afectar a todas las aplicaciones que los utilizan. Los componentes de los dispositivos IoT rara vez están actualizados a la última versión, lo que les hace muy vulnerables.

 

10. Registro y monitoreo insuficientes

El registro y la monitorización insuficientes son la causa de casi todos los incidentes importantes.

El número de días (de media) que lleva descubrir una violación nos hace pensar que, o no se están utilizando suficientes herramientas de seguridad o que las alertas que generan no se toman lo suficientemente en serio.

 

 

No hay un día en el que no conozcamos un nuevo caso de una empresa que se ha dado cuenta de que su red y sus sistemas llevan comprometidos semanas, meses o incluso años.

 

Proteja sus aplicaciones web de los 10 principales riesgos de seguridad de OWASP con aislamiento de aplicaciones

Síguenos en Twitter y LinkedIn para estar al día de todas las novedades