What is web application security? (1)

La seguridad de aplicaciones web es fundamental para todos los negocios. Más información las vulnerabilidades comunes de aplicaciones web y la forma de mitigarlas.

¿Qué es la Seguridad de aplicaciones web?

Seguridad de aplicaciones web

La seguridad de aplicaciones web es un componente básico de cualquier negocio basado en la web. La naturaleza global de Internet expone a las propiedades web a ataques de diferentes ubicaciones y con diversos niveles de escala y complejidad. La seguridad de aplicaciones web se ocupa específicamente de la seguridad de los sitios, aplicaciones y servicios web, como las API.

¿Cuáles son las vulnerabilidades más habituales en la seguridad de las aplicaciones web?

Los ataques contra aplicaciones web varían desde la manipulación de bases de datos atacadas hasta la interrupción de redes a gran escala. Exploremos algunos de los métodos habituales de ataque o de los "vectores" que se aprovechan con más frecuencia.

  • Cross site scripting (XSS) - XSS es una vulnerabilidad que permite que un atacante inyecte scripts del lado del cliente en una página web con el objetivo de acceder a información importante, hacerse pasar por el usuario o engañar al usuario para que revele información importante.
  • Inyección de código SQL (SQi) - SQi es un método en el cual un atacante se aprovecha de las vulnerabilidades por el modo en el que una base de datos ejecuta consultas de búsqueda. Los atacantes utilizan SQi con el objetivo de conseguir acceso a información no autorizada, modificar o crear nuevos permisos de usuario, o manipular o destruir datos confidenciales.
  • Ataques de denegación de servicio (DoS) y ataques de denegación de servicio distribuido (DDoS) - mediante una variedad de vectores, los atacantes pueden sobrecargar un servidor determinado o su infraestructura circundante con diferentes tipos de tráfico de ataque. Cuando un servidor ya no es capaz de procesar de manera efectiva las solicitudes entrantes, empieza a funcionar más lento y acaba por negar las solicitudes entrantes de usuarios legítimos.
  • Corrupción de memoria - la corrupción de memoria se produce cuando se modifica de forma involuntaria una ubicación en la memoria, que puede acabar causando un comportamiento inesperado en el software. Los agentes maliciosos intentarán detectar y aprovecharse de la corrupción de memoria mediante inyecciones de código o ataques de desbordamiento de búfer.
  • Desbordamiento de búfer - El desbordamiento de búfer es una anomalía que se produce cuando el software introduce datos en un espacio definido en la memoria que se conoce como búfer. Desbordar la capacidad del búfer provoca que las ubicaciones de memoria adyacentes se sobrescriban con datos. Se puede aprovechar este comportamiento para inyectar código malicioso en la memoria, lo que puede generar una vulnerabilidad en la máquina objetivo.
  • Falsificación de petición en sitios cruzados (CSRF, por sus singlas en inglés) - La falsificación de petición en sitios cruzados implica engañar a una víctima para que realice una petición que utilice su autenticación o autorización. Al aprovecharse de los privilegios de la cuenta de un usuario, un atacante puede enviar una petición que se haga pasar por el usuario. Una vez que la cuenta de un usuario se haya visto comprometida, el atacante tiene la capacidad de filtrar, destruir o modificar datos importantes. Suelen ser un objetivo habitual las cuentas con privilegios altos, como las de administradores o ejecutivos.
  • Violación de datos - A diferencia de los vectores de ataque específicos, violación de datos es un término general que hace referencia a la divulgación de información confidencial o delicada debido a acciones maliciosas o a un error. Se puede considerar una violación de datos desde unos pocos registros de valor hasta la divulgación de millones de cuentas de usuario.

¿Cuáles son las prácticas recomendadas para mitigar las vulnerabilidades?

Important steps in protecting web apps from exploitation include using up-to-date encryption, requiring proper authentication, continuously patching discovered vulnerabilities, and having good software development hygiene. The reality is that clever attackers may be able to find vulnerabilities even in a fairly robust security environment, and a holistic security strategy is recommended.

Web application security can be improved by protecting against DDoS, Application Layer and DNS attacks:

WAF: protegido contra ataques de capa de aplicación

Un firewall de aplicaciones web o WAF ayuda a proteger una aplicación ante tráfico HTTP malicioso. Mediante la colocación de una barrera de filtración entre el servidor atacado y el atacante, el WAF puede proteger ante ataques como la falsificación de sitios cruzados, el cross site scripting y la inyección de código SQL. Más información sobre el WAF de Cloudflare.

DDOS Cómo funciona un WAF

Mitigación de DDoS

A commonly used method for disrupting a web application is the use of distributed denial-of-service or DDoS attacks. Cloudflare mitigates DDoS attacks through a variety of strategies including dropping volumetric attack traffic at our edge, and using our Anycast network to properly route legitimate requests without a loss of service. Learn how Cloudflare can help you protect a web property from DDoS attacks.

Animación de ataque DDoS de amplificación de DNS

Seguridad DNS - Protección DNSSEC

El sistema de nombres de dominio o DNS es como la guía telefónica de Internet y representa el modo en el que una herramienta de Internet, como un navegador web, busca el servidor correcto. Los agentes maliciosos intentarán interceptar este proceso de solicitud de DNS mediante envenenamiento de caché de DNS, ataques en la ruta de acceso y otros métodos que interfieran con el ciclo de vida de búsqueda de DNS. Si el DNS es la guía telefónica de Internet, entonces DNSSEC es el identificador de llamadas que no se puede falsificar. Explora cómo puedes proteger una búsqueda de DNS con Cloudflare.