UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO” Ingeniería en Telecomunicaciones

Telemática III – TEL 237 Semestre: I-2019

TRABAJO DE INVESTIGACIÓN III

CERTIFICACIÓN DE SEGURIDAD DE PÁGINAS WEB

Roly Orlando Suca Lima

Ing. Gonzalo Vallejos Escobar
Paralelo 1 16:15-16:45
05 de Marzo de 2019

Resumen.- En el presente trabajo de investigación, se mostrarán los conceptos generales y

consideraciones a tomar en cuenta, a la hora de analizar la certificación de seguridad de páginas
Web.

Índice de Términos-- Seguridad, Red, Transmisión, Cifrado

sobre fallas en los sistemas de protección de los
servidores más frecuentemente utilizados, por
ejemplo: Apache, NGINX, IIS, etc. (Build With,
1. Objetivo
2016) O en los lenguajes de programación en que
1.1 Objetivo General Investigar todo lo
son escritas las aplicaciones. Sin embargo, la
relacionado con la certificación de seguridad de
mayoría de los problemas detectados en servicios
páginas Web.
web no son provocados por fallas de ninguna de
1.2 Objetivos Específicos estas partes, si no que los problemas se generan por
 Definir el concepto de seguridad. malas prácticas de parte de los programadores.
2.2 Balanceo de Riesgo y Usabilidad. -
 Observar su utilidad e importancia en una
página web. Si bien la usabilidad y la seguridad en una
aplicación web no son excluyentes una de la otra,
2. Fundamento Teórico alguna medida tomada para incrementar la
2.1 Introducción. - seguridad con frecuencia afecta la usabilidad.
Normalmente siempre se debe pensar en las
En la actualidad el crecimiento de internet ha
maneras en que usuarios ilegítimos nos pueden
impactado directamente en la seguridad de la
atacar y la facilidad de uso para los usuarios
información manejada cotidianamente. Sitios de
legítimos.
comercio electrónico, servicios, bancos e incluso
redes sociales contienen información sensible que Es conveniente emplear medidas de seguridad que
en la mayoría de los casos resulta ser muy sean transparentes a los usuarios y que no resulten
importante. engorrosas en su empleo. Por ejemplo, el uso de un
login que solicita el nombre de usuario y
Se puede decir que uno de los puntos más críticos
contraseña, permite controlar el acceso de los
de la seguridad en Internet son las herramientas que
usuarios hacia secciones restringidas de la
interactúan de forma directa con los usuarios, en
aplicación. Este paso adicional, es una
este caso los servidores web. Es común escuchar
característica que impacta en la rapidez de acceso
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
a la información por parte del usuario, pero que
proporciona un elemento adicional de protección.
A mayor complejidad del sitio, aumenta el riesgo
de que se sufra un ataque debido a sus
características más elaboradas, es por eso que
deben considerarse opciones de seguridad
necesarias y sencillas pero eficientes, que ayuden a
mitigar cualquier característica que la haga
vulnerable.
Fig 1. Login como medida de seguridad.
Una red convergente incorpora el tráfico Ethernet
y canal de Fibra en una infraestructura común.
Ethernet es la base de las redes convergentes
debido a la ubicuidad de su presencia para conectar
el tráfico de datos entre computadoras. Con la
introducción de 10 Gb Ethernet, el ancho de banda
requerido para converger ya está disponible.
Los subsistemas NAS utilizan protocolos de uso
compartido de archivos de red para transportar
datos a través de redes Ethernet, por lo que el
almacenamiento no es nuevo en Ethernet y la
tubería más grande que ofrece 10Gb ayudará a
combinar el tráfico. Fiber Channel es la base de las
redes de área de almacenamiento (SAN). La
diferencia entre NAS y el canal de Fibra es que el
canal de Fibra maneja los datos en bloques y es un
protocolo sin pérdidas mientras que NAS lo
traslada en archivos a la red Ethernet.
Ingeniería en Telecomunicaciones
Semestre: I-2019
2.3 Rastreo del paso de los datos. -
Es muy importante mantener conocimiento de los
pasos que ha recorrido la información en todo
momento. Conocer de dónde vienen los datos y
hacia dónde van. En muchas ocasiones lograr esto
puede ser complicado, especialmente sin un
conocimiento profundo de cómo funcionan las
aplicaciones web. En las aplicaciones web, existen
maneras de distinguir los orígenes de los datos y
poder así reconocer cuando los datos pueden ser
dignos de confianza y cuando no.
Normalmente existen arreglos globales en la
aplicación (por ejemplo, en PHP los arreglos
$_GET, $_POST, $_COOKIE y $_SESSION entre
otros) que sirven para identificar de forma clara las
entradas proporcionadas por el usuario. Si esto lo
combinamos con una convención estricta para el
nombrado de las variables podemos tener un
control sobre el origen de los datos usados en el
código. Además de entender los orígenes de la
información se debe dar la misma importancia a
entender cuáles son las salidas que tiene la
aplicación y hacia a donde se devuelven los
resultados.
2.4 Filtrado de Entradas. -
El filtrado es una de las piedras angulares de la
seguridad en aplicaciones web. Es el proceso por el
cual se prueba la validez de los datos. Si nos
aseguramos que los datos son filtrados
apropiadamente al entrar, podemos eliminar el
riesgo de que datos contaminados sean usados para
provocar funcionamientos no deseados en la
aplicación.
Existen muchos puntos de vista diferentes sobre
cómo realizar el filtrado o proceso de limpieza. Lo
que usualmente se recomienda es ver al filtrado
como un proceso de inspección, no debemos tratar
de corregir los datos, es mejor forzar a los usuarios
a jugar con las reglas válidas.
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
Al usar listas blancas asumimos que los datos son
inválidos a menos que prueben ser validos al
encontrarse patrones coincidentes. Una limitante
de usar este punto de vista es considerar inválidos
datos que debieron considerarse válidos pero que
no fueron tomados en cuenta patrones similares al
construir la lista blanca. Si llegamos a utilizar algún
framework se debe tener especial cuidado, ya que
estos brindan tantas comodidades que muchos
desarrolladores inexpertos los utilizan sin
preocuparse en entender el código que están
observando y por lo tanto implementan medidas de
validación en entradas, variables, entre otros, sin
entender exactamente el funcionamiento de la
solución empleada.
Es importante notar que en los lenguajes de
programación existen una buena cantidad de
filtros, pero evidentemente estos no llegan a cubrir
todas las necesidades que puede tener un
desarrollador. En este caso, se llegan a utilizar
funciones creadas y adaptadas a nuestras
necesidades a modo de filtro especial, en la
mayoría de estos casos es donde se puede encontrar
el uso de expresiones regulares.
En la figura 2, se tiene un ejemplo en PHP de
variables GET sanitizadas mediante una función la
cual valida que únicamente sean números enteros
(FILTER_SANITAZE_NUMBER_INT) y no
contengan etiquetas HTML (strip_tags).
Fig 2. Filtrado avanzado usando funciones PHP.
2.5 Escapado de salidas. -
Otro punto importante de la seguridad es el proceso
de escapado y su contraparte para codificar o
decodificar caracteres especiales de tal forma que
su significado original sea preservado. Si llegamos
a utilizar una codificación en particular es
necesario conocer los caracteres reservados los
cuales serán necesarios escapar.
Ingeniería en Telecomunicaciones
Semestre: I-2019
El proceso de escapado debe estar compuesto a su
vez por los siguientes pasos:
 Identificar las salidas.
 Escapar las salidas.
 Distinguir entre datos escapados y no
escapados.
El proceso de escapado debe adecuarse al tipo de
salida de que se trate (si es al cliente, a la base de
datos, etcétera). Para la mayoría de los
destinatarios, existen funciones nativas en los
lenguajes de programación para esta finalidad. En
alguno de los casos como podría ser el de base de
datos es importante incluso observar la
codificación en la que son enviados. Para distinguir
entre los datos que han sido escapados de los que
no, es recomendable también usar una convención
de nombres. Es necesario una función de escapado
para cada caso, como ejemplo en PHP se tomarían
las siguientes consideraciones para:
 Correo electrónico, se puede usar la función
filter_var() con los argumentos de
FILTER_VALIDATE_EMAIL.
 Bases de datos SQL, es más recomendable
utilizar consultas parametrizadas, pero
podríamos utilizar
mysql_real_escape_string.
 Código en Javascript, PHP no tiene un
método incorporado para escaparlo, pero se
puede utilizar json_encode() junto
con htmlspecialchars() si se quiere mostrar
en HTML.
2.6 Seguridad de las aplicaciones. -
a mayoría de las aplicaciones web son usadas como
un conducto entre fuentes de información y el
usuario, esto es, las aplicaciones web son usadas
para interactuar con una base de datos.
Muchos programadores no dan importancia al
filtrado de datos provenientes de una consulta a la
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
base de datos, debido a que consideran a esta fuente
como confiable. Aunque el riesgo a primera vista
parecería menor, es una práctica recomendable no
confiar en la seguridad de la base de datos e
implementar la seguridad a fondo y con
redundancia.
2.7 Exposición de Credenciales de Acceso. -
Uno de los asuntos principales a ser cuidados
cuando se utiliza una base de datos es el
almacenamiento de las credenciales de acceso a
ella. Los datos de usuario y password son
considerados sensibles, por lo que deben tener
garantizada una atención especial. En archivos de
configuración es común encontrar estos datos los
cuales se encuentran como texto en claro.
Fig 3. Código PHP con contraseñas de acceso a
base de datos.
La intercepción o acceso no autorizado de esta
información podría comprometer los servidores de
bases de datos o gestores de contenidos en donde In-text: (Perspectives, 2018)
estén alojados. Si por alguna razón no fuera posible
Bibliography: Perspectives, I. (2018). Network Convergence:
localizar al archivo que contiene esta información
fuera del directorio raíz, es necesario configurar el Challenges and Solutions. Data Center Knowledge.
servidor web para rechazar las peticiones de Retrieved
recursos que no deben ser accesibles.
3. Conclusiones y Recomendaciones
La seguridad en aplicaciones Web involucra
principalmente al desarrollador, aunque con gran
Ingeniería en Telecomunicaciones
Semestre: I-2019
frecuencia se encuentran defectos que pueden ser
aprovechados por atacantes en las tecnologías en
que se basan los sistemas web (Sistemas
Operativos, Servidores Web, Servidor de Base de
Datos, etc.) la atención principal debe dirigirse a
los defectos propios al desarrollo nuestras
aplicaciones. Todo programador debe estar
consciente que el manejo de las peticiones, para
aceptarlas o rechazarlas, deben estar los datos o
variables recibidas no cumplan con las
características esperadas o predefinidas. Todas las
entradas del sistema deben pasar por el filtrado de
los datos contenidos para confirmar su usabilidad.
4. Referencia Bibliográfica
1) ASPECTOS BÁSICOS DE LA SEGURIDAD
EN APLICACIONES WEB | DOCUMENTOS - CSI
-
In-text: ("Aspectos Básicos de la Seguridad en
Aplicaciones Web | Documentos - CSI -", 2018)
Bibliography: Aspectos Básicos de la Seguridad en
Aplicaciones Web | Documentos - CSI -.
(2018). Seguridad.unam.mx. Retrieved 12 March
2018, from
https://www.seguridad.unam.mx/historico/documento/i
ndex.html-id=17
2) PERSPECTIVES, I.
Network Convergence: Challenges and Solutions
23 February 2018, from
http://www.datacenterknowledge.com/archives/2012/03/21/
network-convergence-challenges-and-solutions