The Security Notes: All site blogs: January 2023}

6.5.10

Angel Briceño — Thu, 12 Jan 2023 16:32:40 +0000

La autenticación y la administración de sesión seguras impiden que personas malintencionadas pongan en riesgo credenciales, claves o tokens de sesión de cuentas legítimas que podrían permitir que un intruso adopte la identidad de un usuario autorizado.

6.5.9

Angel Briceño — Thu, 12 Jan 2023 16:30:33 +0000

Ante un ataque de CSRF (falsificación de solicitudes entre distintos sitios), el explorador de la víctima que inició sesión debe enviar una solicitud previamente autenticada a una aplicación web vulnerable, lo que le permite al atacante realizar operaciones de cambio de estado que la víctima está autorizada a realizar (por ejemplo, actualizar los detalles de la cuenta, realizar compras o, incluso, autenticar la aplicación).

6.5.8

Angel Briceño — Thu, 12 Jan 2023 16:27:17 +0000

Una referencia a un objeto directo ocurre cuando un desarrollador expone una referencia a un objeto de implementación interna, como un archivo, directorio, registro de base de datos o clave, como un parámetro de URL o formulario. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin autorización.

Refuerce constantemente el control de acceso en la capa de presentación y la lógica de negocios para todas las URL. Con frecuencia, la única manera en que una aplicación protege funciones confidenciales es evitando que se muestren vínculos o URL a usuarios no autorizados. Los atacantes pueden usar esta debilidad para tener acceso y realizar operaciones no autorizadas mediante el acceso a esos URL directamente.

Es posible que un atacante enumere y explore la estructura del directorio de un sitio web (exposición completa de los directorios) y así obtener acceso a información no autorizada, así como un mayor conocimiento de los trabajos del sitio para posterior explotación.

Si las interfaces de usuarios permitan el acceso a funciones no autorizadas, es posible que personas no autorizadas accedan a credenciales con privilegios o a los datos del titular de la tarjeta. Solo aquellos usuarios autorizados deberían tener permiso para acceder a referencias de objetos directos desde recursos confidenciales. Limitar el acceso a los recursos de datos ayudará a evitar que recursos no autorizados accedan a los datos del titular de la tarjeta.

6.5.7

Angel Briceño — Thu, 12 Jan 2023 16:19:02 +0000

Los errores de XSS (lenguaje de comandos entr distintos sitios) se producen cuando una aplicación toma datos suministrados por el usuario y los envía a un explorador web sin primero validar ni codificar ese contenido. El XSS (lenguaje de comandos entre distintos sitios) permite a los atacantes ejecutar secuencias en el explorador de la víctima, el cual puede apropiarse de las sesiones del usuario destruir sitios web y posiblemente introducir gusanos, etc.

6.5.6

Angel Briceño — Thu, 12 Jan 2023 16:11:02 +0000

Todas las vulnerabilidades identificadas en el proceso de clasificación de riesgos de vulnerabilidades de la organización (definido en el Requisito 6.1) que sean de “alto riesgo” y que puedan afectar la aplicación se deben identificar y corregir durante el desarrollo de la aplicación.

6.5.5

Angel Briceño — Thu, 12 Jan 2023 16:08:30 +0000

Las aplicaciones pueden filtrar, por equivocación información sobre su configuración o sobre lo trabajos internos, o pueden exponer información privilegiada mediante métodos de manejo inadecuado de errores. Los atacantes utilizan estas debilidades para hurtar datos confidenciales o para poner en riesgo todo el sistema. Si una persona malintencionada puede crear errores que una aplicación web no puede manejar correctamente puede obtener información detallada del sistema, puede crear interrupciones por negación de servicios, puede hacer que la seguridad falle o puede bloquear el servidor. Por ejemplo, el mensaje “la contraseña suministrada es incorrecta” le indica al atacante que la ID de usuario suministrada es correcta y que debe centrar sus esfuerzos solo en la contraseña. Utilice mensajes de error más genéricos, como “no se pueden verificar los datos”.

6.5.4

Angel Briceño — Thu, 12 Jan 2023 16:03:34 +0000

Las aplicaciones que no cifran correctamente el tráfico de red con una criptografía sólida tienen más posibilidades de estar en riesgo y de deja expuestos los datos del titular de la tarjeta. Si un atacante puede sacar provecho de los proceso criptográficos débiles, también puede tener el control de la aplicación o, incluso, obtener acceso en texto claro a los datos cifrados.

6.5.3

Angel Briceño — Thu, 12 Jan 2023 16:01:05 +0000

Las aplicaciones que no utilizan correctamente la funciones criptográficas sólidas para almacenar datos tienen más posibilidades de estar en riesgo y de dejar expuestas las credenciales de autenticación o los datos del titular de la tarjeta. Si un atacante puede sacar provecho de los proceso criptográficos débiles, también puede obtene acceso como texto no cifrado a los datos cifrados.

6.5.2

Angel Briceño — Thu, 12 Jan 2023 15:56:48 +0000

Los desbordamientos de buffer ocurren cuando un aplicación no tiene los límites necesarios para verificar su espacio de buffer. Esto puede ocasionar que la información en el buffer se expulse del espacio de memoria del buffer y que entre en el espacio de memoria ejecutable. Cuando esto ocurre, el atacante puede insertar código malicioso al final de buffer y luego introducir ese código en "espacio de memoria ejecutable", desbordando el buffer. Luego el código malicioso se ejecuta y, con frecuencia permite que el atacante acceda, de manera remota a la aplicación o al sistema infectado.

6.5.1

Angel Briceño — Thu, 12 Jan 2023 15:50:41 +0000

Los errores de inyección, en especial, los errores de inyección SQL, son métodos comúnmente utilizados para poner en riesgo aplicaciones. La inyección se produce cuando se envían datos suministrados por el usuario a un intérprete como parte de un comando o una consulta. Los datos hostiles del atacante engañan al intérprete para que ejecute comandos accidentales o cambie datos, y le permiten atacar los componentes que hay dentro de la red a través de la aplicación para iniciar ataques, como desbordamientos de buffer, o para revelar información confidencial y la funcionalidad de la aplicación del servidor.

La información se debe validar antes de enviarse a la aplicación; por ejemplo, mediante la verificación de todos los caracteres alfabéticos, la combinación de caracteres numéricos y alfabéticos, etc.