Riesgos en la web

Riesgos en la web

Owasp top 10

Las amenazas web son posibles por las vulnerabilidades del usuario final, los desarrolladores/operadores de servicios web o los propios servicios web. Independientemente de la intención o la causa, las consecuencias de una amenaza web pueden dañar tanto a las personas como a las organizaciones.

Las amenazas basadas en Internet exponen a las personas y a los sistemas informáticos a sufrir daños en línea. Una amplia gama de peligros encaja en esta categoría, incluyendo amenazas bien conocidas como el phishing y los virus informáticos. Sin embargo, otras amenazas, como el robo de datos fuera de línea, también pueden considerarse parte de este grupo.

Las amenazas web no se limitan a la actividad en línea, sino que, en última instancia, implican a Internet en algún momento para infligir daños. Aunque no todas las amenazas web se crean deliberadamente, muchas tienen la intención -o el potencial- de causar:

En los últimos años, el panorama de las amenazas web ha crecido considerablemente. Tecnologías como los dispositivos inteligentes y las redes móviles de alta velocidad han permitido un vector siempre conectado de malware, fraude y otras complicaciones. Además, la adopción de la web en áreas como las comunicaciones y la productividad a través del Internet de las cosas (IoT) ha superado la conciencia de seguridad de los usuarios.

Falsificación de petición en sitios cruzados

El Open Web Application Security Project (OWASP) publica regularmente una lista de los 10 riesgos más importantes para la seguridad de las aplicaciones web con la esperanza de concienciar y ayudar a las organizaciones a desarrollar una cultura de código más seguro:

->  Funcion de la tecla suprimir

1. Esto significa que las restricciones a los usuarios autentificados no se aplican correctamente, lo que lleva a que un usuario pueda ver los archivos de otros usuarios o modificar los datos de otros usuarios.2. Entidades externas XMLDivertido de decir, no es divertido cuando sucede. Esto ocurre cuando los procesadores XML antiguos o mal configurados evalúan las referencias a entidades externas dentro de los documentos XML. Esto puede exponer los archivos internos y permitir el escaneo de puertos internos, la ejecución remota de código y los ataques de denegación de servicio.

VER: Guía del líder de TI para la recuperación de ciberataques (Tech Pro Research)3. Exposición de datos sensibles Es cuando los datos sensibles no están cifrados en tránsito o en reposo, dejándolos expuestos para que los atacantes los roben o modifiquen. 4. Si la autenticación y la gestión de la sesión se implementan de forma incorrecta, los atacantes pueden comprometer las contraseñas, las claves o los tokens de sesión y asumir las identidades de otros usuarios.5. InyecciónYa sea en SQL, NoSQL, OS o LDAP, un conjunto de datos que no es de confianza se envía a un intérprete incorporado a un comando o consulta, engañando al intérprete para que ejecute comandos no deseados o acceda a los datos sin autorización.Estos son sólo los cinco principales. Si no quieres ser el próximo titular por una violación de datos, obtén la lista completa de los 10 principales de OWASP y utilízala para concienciar a tu equipo.

Riesgos de las aplicaciones web

Reconocido por desarrolladores y profesionales de la seguridad de todo el mundo, el Top Ten de OWASP describe las principales vulnerabilidades que afectan a la seguridad de las aplicaciones web. Fue creado por el Open Web Application Security Project (OWASP), una fundación sin ánimo de lucro que apoya a las organizaciones para mejorar la seguridad de sus aplicaciones web. Publicado por primera vez en 2003, el Top 10 se actualiza cada tres años, y actualmente el OWASP acepta propuestas para ayudar a producir la próxima iteración del marco.

->  Administrador de cuentas android

El OWASP Top 10 ofrece una clara jerarquía de los problemas de seguridad más comunes de las aplicaciones web, lo que permite a las organizaciones identificarlos y abordarlos según su prevalencia, impacto potencial, método de explotación por parte de los atacantes y facilidad o dificultad de detección. A continuación se enumeran los diez principales riesgos para la seguridad de las aplicaciones web identificados por OWASP.

Los fallos de inyección, como las inyecciones SQL, NoSQL, OS y LDAP, se producen cuando se envían datos no fiables a un programa como parte de un comando o una consulta. Esto permite que los datos hostiles de un atacante engañen al programa para que ejecute comandos no deseados, como proporcionar acceso a datos sin la debida autorización.

Owasp wiki

Siempre es una agradable sorpresa cuando pasa un día sin que aparezca otro gusano o alguna forma de vulnerabilidad explotable. Eso es porque estamos en aguas infestadas de tiburones, y ahora es el momento de centrarse realmente, dedicar recursos y reevaluar nuestros planes estratégicos y tácticos de comercio web. Reconozcámoslo, el comercio electrónico es un objetivo (y muy rentable), y nunca es demasiado pronto para obtener la aceptación de los ejecutivos para la gestión de riesgos y la planificación de contingencias.

->  Para que sirve la red

El comercio electrónico tiene una serie de impulsos empresariales y tecnológicos, y éstos conllevan tanto beneficios como riesgos. El desarrollo de una estrategia adecuada incluye la consideración de los beneficios y la ponderación de los riesgos, que incluyen el fraude, la pérdida de propiedad intelectual, el daño a las relaciones con los clientes y los socios, los costes imprevistos, las debacles de relaciones públicas y las interrupciones del negocio.

Hay que tener en cuenta que las tres dimensiones de la seguridad -confidencialidad, integridad y disponibilidad- exigen que una empresa desarrolle un conjunto de políticas de comercio electrónico que impliquen autorización y responsabilidad, al tiempo que se centra en las posibles amenazas y vulnerabilidades. Vaya. Si fuera fácil, cualquiera podría hacerlo.

Acerca del autor

Elena

Soy Elena Caceres experta en ciberseguridad y aficionada de todo lo que gira entorno al Internet. Les doy la bienvenida a mi blog donde trato de compartir información actualizada sobre estos temas relacionados con la tecnología.

Ver todos los artículos