La seguridad en las aplicaciones web es una de los considerantes más importantes y muchas veces más olvidados si queremos mantener con buena salud nuestro sitio y con buena reputación a nuestra empresa, ante posibles ciberataques.
El Open Web Application Security Project (OWASP) es una iniciativa para enumerar los principales riesgos y aplicar las correspondientes contramedidas para mitigarlos.
En muchos casos los problemas están en la falta de actualización o configuración adecuada de elementos de elementos base como el sistema operativo, el servidor web o la base de datos que utiliza la aplicación web. En otros casos son fallos en el esquema de seguridad sobre para la gestión del acceso de los usuarios, o formas de programar inadecuadas que no han tenido en cuenta estos requisitos.
Conocerlos por parte de los analistas informáticos y ponerlos en valor en los proyectos ante los clientes es algo esencial en el mundo en el que vivimos.
Los gestores de contenidos como WordPress son los más atacados por estos ciberataques, no porque sean los más inseguros si no porque son los que antes aprovechan los hackers para realizar ataques masivos que exploten vulnerabilidades detectadas.
A veces la inadecuada elección de plugins o templates facilita estos problemas, que no se detectan (o activan) hasta meses después de su puesta en funcionamiento.
La lista OWASP 10 lista los principales problemas cada año, y para 2017 indica:
A1 – Inyección
A2 – Perdida de autenticación y gestión de sesiones
A3 – Exposición de datos sensibles
A4 – Entidades externas XML (XXE)
A5 – Control de acceso roto
A6 – Configuración de seguridad incorrecta
A7 – Secuencia de seguridad en sitios cruzados (XSS)
A8 – Deserialización insegura
A9 – Uso de componentes con vulnerabilidades conocidas
A10 – Insuficiente registro y monitorización
También publica guías de seguridad para las principales servidores web, servidores de aplicaciones, frameworks y CMSs, que hay que tener muy en cuenta a la hora de instalar, configurar o revisar cualquier proyecto web:
https://www.owasp.org/index.php/Secure_Configuration_Guide
Algunas iniciativas como las auditorías de Hacking Ético analizan entre otros estos problemas, pero además hay que protocolizar las actualizaciones de código y las revisiones de seguridad, sabiendo que en muchos casos algunos tipos de ataques son muy difíciles de detectar y algunos incluso de minimizar, pero otros mucho sí que podemos anticiparnos y evitarlos.
Más info:
http://www.inycom.es/soluciones-y-servicios-informatica/ciberseguridad/infraestructura-de-seguridad
https://es.wikipedia.org/wiki/OWASP_Top_10
https://www.dragonjar.org/owasp-top-ten-project-en-espanol.xhtml
Social Links: