Red de conocimiento informático - Problemas con los teléfonos móviles - ¿Cuáles son las vulnerabilidades de seguridad comunes en las aplicaciones web?

¿Cuáles son las vulnerabilidades de seguridad comunes en las aplicaciones web?

OWASP resume las diez principales vulnerabilidades de seguridad comunes en las aplicaciones web existentes de la siguiente manera: entrada no validada, control de acceso no validado, administración de subprocesos y cuentas no validadas, ataques de secuencias de comandos entre sitios, problemas de desbordamiento del búfer, ataques de inyección, procesamiento de errores de excepción, almacenamiento inseguro, denegación de acceso. ataques fuera de servicio a programas y gestión de configuración insegura.

Entrada no válida

Entrada no válida

No verificar la validez de los datos antes de ingresarlos en un programa es un error de programación común. A medida que OWASP investiga las vulnerabilidades de las aplicaciones web, los problemas de entrada no validados se han convertido en una vulnerabilidad de seguridad común en la mayoría de las aplicaciones web.

Control de acceso roto

Control de acceso roto

La mayoría de las organizaciones están muy preocupadas por controlar las conexiones establecidas, pero permiten ciertas cadenas de entrada. Puede permitir que los ataques eludan los controles de una organización. .

Gestión de cuentas y subprocesos rotas

Autenticación y gestión de sesiones rotas

Tener un buen control de acceso no significa que todo esté bien, las organizaciones también deben proteger las contraseñas y las sesiones de los usuarios; tokens, listas de cuentas y cualquier otra cosa que pueda proporcionar a los atacantes la información que necesitan para atacar las redes corporativas.

Defecto de secuencias de comandos entre sitios

Defecto de secuencias de comandos entre sitios

Este es un ataque común que ocurre cuando un ataque está incrustado en una página web corporativa u otro recurso web accesible, y cuando el script se inicia cuando una computadora de escritorio desprotegida accede a esa página web o recurso, el ataque podría afectar a miles de empleados en toda la organización. Un ataque de este tipo podría afectar a los ordenadores finales de cientos o miles de empleados de una organización.

Desbordamiento de búfer

Desbordamiento de búfer

Este problema suele ocurrir en programas escritos en lenguajes de programación más antiguos como C.

Defectos de inyección

Defectos de inyección

Si no bloquea con éxito la entrada sintácticamente significativa, es posible obtener acceso no autorizado a la información de la base de datos. Las entradas en los formularios web deben ser simples y no deben contener código ejecutable.

Manejo incorrecto de errores

Manejo incorrecto de errores

Cuando ocurre un error, es normal enviar un mensaje de error al usuario, pero si el mensaje enviado contiene demasiado contenido, es posible que un atacante analice la estructura o configuración del entorno web.

Almacenamiento inseguro

Almacenamiento inseguro

Para las aplicaciones web, mantener seguras las contraseñas, los nombres de usuario y otra información relacionada con la autenticación es muy importante, y cifrar esta información es una forma eficaz de lograr este objetivo, pero algunas organizaciones utilizan soluciones de cifrado no probadas.

Ataque de denegación de servicio de aplicación

Denegación de servicio de aplicación

Similar a un ataque de denegación de servicio (DoS), un ataque DoS de aplicación utiliza una gran cantidad de usuarios no autorizados Secuestrar los recursos de una aplicación, haciendo así que la aplicación no esté disponible para los usuarios legítimos de la aplicación web.

Gestión de configuración insegura

Gestión de configuración insegura

Los procesos de gestión de configuración eficaces proporcionan una buena protección para las aplicaciones web y la arquitectura de red de la organización.

Estas diez vulnerabilidades no cubren todas las vulnerabilidades de las aplicaciones web empresariales actuales; son simplemente los problemas más comunes que encuentran los miembros de OWASP y en los que todas las organizaciones deberían centrarse al desarrollar y mejorar aplicaciones web.