SOCIALIZACIÓN Y

DESARROLLO
EVALUACIÓN FINAL
VULNERAVILIDADES DE LAS APLICACIONES WEB
PAUL CHRISTIAN BORRERO
MODULO: SEGURIDAD EN APLICACIONES WEB
UNAD - 2019
 VULNERABILIDADES EN LAS APLICACIONES WEB

GENERALIDAD DE LA SEGURIDAD EN APLICACIONES WEB

La seguridad en aplicaciones web es un tema de mucha relevancia

toda vez que las empresas publican contenido y servicios
utilizándolas como medio para llevar a cabo sus operaciones.

Estas aplicaciones web, son vulnerables y es por ello que

deben implementarse medidas para protegerlas contra
terceros.
 VULNERABILIDADES EN LAS APLICACIONES WEB

PHISHING
• Técnica de ingeniería social que tiene por objetivo robar información
de usuarios (números de tarjetas de crédito, identificadores …). El
atacante, se aprovechan de las falencias en la seguridad para abrir
un correo electrónico, mensaje de texto o mensaje instantáneo en el
que se oculta un enlace malicioso que le permite instalar malware, el
bloqueo del terminal con un ransomware o la exfiltración de datos
confidenciales.
 VULNERABILIDADES EN LAS APLICACIONES WEB
¿Cómo identificar el phishing?
No existe una
consideración especial que
permita determinar si se
esta siendo atacado
mediante Phishing, se
deben consideran un
conjunto de aspectos que
son útiles para ello.
Se debe validar:
Persona a la que va dirigido el
correo: “cliente” – “usuario” –
“señor”. No ha nombre de una
persona en particular.
Errores muy graves de ortografía
en los mensajes.
Solicitudes de claves o accesos a
cuentas y números de cuentas
Enlaces que redireccionan a otras
paginas donde se piden datos.
Verificar URL.
 VULNERABILIDADES EN LAS APLICACIONES WEB

Phishing Prevenir el Phishing

Sin persona Certificados digitales.
Reemplazar los archivos
principales del sitio web
Ejecutar periódicamente
una comprobación de
integridad de archivos
y directorios

Errores
 VULNERABILIDADES EN LAS APLICACIONES WEB

Cross-Site Scripting (XSS)

Es un tipo de vulnerabilidad o agujero de

seguridad típico de las aplicaciones Web, que
permite a un usuario malintencionado inyectar
código JavaScript en páginas web visitadas.

Sucede cuando un usuario mal intencionado

envía código malicioso a la aplicación web y se
coloca en forma de un hipervínculo para
conducir al usuario a otro sitio web, mensajería
instantánea o un correo electrónico.
 VULNERABILIDADES EN LAS APLICACIONES WEB

Medidas preventivas

Validar desarrollo de la aplicación, realizar pruebas de funcionalidad e

identificación de fallos o vulnerabilidades antes de publicarlas.
Actualizar continuamente.
Emplear librerías verificadas o algún framework que ayude a disminuir
el inconveniente: módulo ESAPI de codificación de OWASP
Estrategias de validación de las entradas. longitud, tipo de dato, rango
de valores aceptados, entradas perdidas o adicionales, sintaxis
 VULNERABILIDADES EN LAS APLICACIONES WEB

Falsificación de solicitudes entre sitios / (Cross-Site Request

Forgery) CSRF

Consiste en engañar al usuario para que envie una solicitud

maliciosa, con esto el atacante toma la identidad y los privilegios
que tiene la víctima y con esto consigue realizar acciones que no
haría el usuario comúnmente. Con esto obtiene cookies de inicio
de sesión, Ip, credenciales de dominio, entre otros.

Esta vulnerabilidad se transmite a través de comandos no

autorizados. La CSRF se vale de la confianza que tiene la
persona en su navegador de preferencia.
 VULNERABILIDADES EN LAS APLICACIONES WEB

COMO DETECTAR (Cross-Site Request Forgery)

El proyecto CSRFTester de OWASP se encarga de buscar este tipo de

vulnerabilidades.
COMO PREVENIR
Desde el punto de vista del
Desde el punto de vista del
programador:
usuario:
 Sesiones con expiración en tiempos
 Intercambio de información en
cortos
sitios seguros
 Forzar cierre de sesión, evitando
 Proteger equipos con software
uso por terceros.
anti CSRF
 Concientizar en cultura preventiva
 Advertir sobre apertura de
a los usuarios
correos electrónicos sospechosos
 Ocultar URL en navegadores