Fundamentos de seguridad de aplicaciones web EITC/IS/WASF es el programa europeo de certificación de TI sobre aspectos teóricos y prácticos de la seguridad de los servicios de la World Wide Web, que van desde la seguridad de los protocolos web básicos, pasando por la privacidad, las amenazas y los ataques en las diferentes capas del tráfico web, la comunicación de la red, la seguridad de servidores, seguridad en capas superiores, incluidos navegadores web y aplicaciones web, así como autenticación, certificados y phising.
El plan de estudios de Fundamentos de seguridad de aplicaciones web de EITC/IS/WASF cubre la introducción a los aspectos de seguridad web de HTML y JavaScript, DNS, HTTP, cookies, sesiones, ataques de cookies y sesiones, política del mismo origen, falsificación de solicitudes entre sitios, excepciones a la misma Política de origen, Cross-Site Scripting (XSS), defensas de Cross-Site Scripting, huellas dactilares web, privacidad en la web, DoS, phishing y canales secundarios, denegación de servicio, phishing y canales secundarios, ataques de inyección, inyección de código, transporte seguridad de capa (TLS) y ataques, HTTPS en el mundo real, autenticación, WebAuthn, administración de seguridad web, problemas de seguridad en el proyecto Node.js, seguridad del servidor, prácticas de codificación seguras, seguridad del servidor HTTP local, ataques de reenlace de DNS, ataques de navegador, navegador arquitectura, además de escribir un código de navegador seguro, dentro de la siguiente estructura, que abarca contenido didáctico de video completo como referencia para esta Certificación EITC.
La seguridad de las aplicaciones web es un subconjunto de la seguridad de la información que se centra en la seguridad de los sitios web, las aplicaciones web y los servicios web. La seguridad de las aplicaciones web, en su nivel más básico, se basa en los principios de seguridad de las aplicaciones, pero los aplica particularmente a Internet y las plataformas web. Las tecnologías de seguridad de aplicaciones web, como los firewalls de aplicaciones web, son herramientas especializadas para trabajar con tráfico HTTP.
El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) ofrece recursos gratuitos y abiertos. Está a cargo de una Fundación OWASP sin fines de lucro. El OWASP Top 2017 de 10 es el resultado de un estudio actual basado en una gran cantidad de datos recopilados de más de 40 organizaciones asociadas. Se detectaron aproximadamente 2.3 millones de vulnerabilidades en más de 50,000 10 aplicaciones que utilizan estos datos. Las diez principales preocupaciones de seguridad de aplicaciones en línea más críticas, según OWASP Top 2017 – XNUMX, son:
- Inyección
- Problemas de autenticación
- Entidades externas XML de datos confidenciales expuestos (XXE)
- Control de acceso que no funciona
- Configuración incorrecta de la seguridad
- Secuencias de comandos de sitio a sitio (XSS)
- Deserialización que no es segura
- Uso de componentes que tienen fallas conocidas
- El registro y la supervisión son insuficientes.
Por lo tanto, la práctica de defender sitios web y servicios en línea contra varias amenazas de seguridad que explotan las debilidades en el código de una aplicación se conoce como seguridad de aplicaciones web. Los sistemas de administración de contenido (p. ej., WordPress), las herramientas de administración de bases de datos (p. ej., phpMyAdmin) y las aplicaciones SaaS son objetivos comunes de los ataques a aplicaciones en línea.
Los perpetradores consideran que las aplicaciones web son objetivos de alta prioridad porque:
- Debido a la complejidad de su código fuente, es más probable que se produzcan vulnerabilidades desatendidas y modificación de código malicioso.
- Recompensas de alto valor, como información personal confidencial obtenida a través de la manipulación efectiva del código fuente.
- Facilidad de ejecución, porque la mayoría de los ataques se pueden automatizar fácilmente y desplegar indiscriminadamente contra miles, decenas o incluso cientos de miles de objetivos a la vez.
- Las organizaciones que no protegen sus aplicaciones web son vulnerables a los ataques. Esto puede conducir al robo de datos, relaciones tensas con los clientes, licencias canceladas y acciones legales, entre otras cosas.
Vulnerabilidades en sitios web
Las fallas de saneamiento de entrada/salida son comunes en las aplicaciones web y con frecuencia se explotan para cambiar el código fuente u obtener acceso no autorizado.
Estas fallas permiten la explotación de una variedad de vectores de ataque, que incluyen:
- Inyección SQL: cuando un perpetrador manipula una base de datos back-end con código SQL malicioso, se revela información. Entre las consecuencias se encuentran la exploración ilegal de listas, la eliminación de tablas y el acceso de administrador no autorizado.
- XSS (Cross-site Scripting) es un ataque de inyección que se dirige a los usuarios para obtener acceso a las cuentas, activar troyanos o cambiar el contenido de la página. Cuando se inyecta código malicioso directamente en una aplicación, esto se conoce como XSS almacenado. Cuando un script malicioso se refleja desde una aplicación en el navegador de un usuario, esto se conoce como XSS reflejado.
- Inclusión de archivos distantes: esta forma de ataque permite a un pirata informático inyectar un archivo en un servidor de aplicaciones web desde una ubicación remota. Esto puede conducir a la ejecución de scripts o códigos peligrosos dentro de la aplicación, así como al robo o modificación de datos.
- Falsificación de solicitud entre sitios (CSRF): un tipo de ataque que puede resultar en una transferencia no intencionada de efectivo, cambios de contraseña o robo de datos. Ocurre cuando un programa web malicioso le indica al navegador de un usuario que realice una acción no deseada en un sitio web en el que está conectado.
En teoría, la desinfección efectiva de entrada/salida podría erradicar todas las vulnerabilidades, haciendo que una aplicación sea inmune a modificaciones no autorizadas.
Sin embargo, debido a que la mayoría de los programas se encuentran en un estado perpetuo de desarrollo, la desinfección integral rara vez es una opción viable. Además, las aplicaciones comúnmente se integran entre sí, lo que da como resultado un entorno codificado que se vuelve cada vez más complejo.
Para evitar tales peligros, se deben implementar soluciones y procesos de seguridad de aplicaciones web, como la certificación PCI Data Security Standard (PCI DSS).
Cortafuegos para aplicaciones web (WAF)
Los WAF (cortafuegos de aplicaciones web) son soluciones de hardware y software que protegen las aplicaciones de las amenazas de seguridad. Estas soluciones están diseñadas para inspeccionar el tráfico entrante con el fin de detectar y bloquear los intentos de ataque, compensando cualquier falla en la sanitización del código.
La implementación de WAF aborda un criterio crucial para la certificación PCI DSS al proteger los datos contra el robo y la modificación. Todos los datos de los titulares de tarjetas de crédito y débito que se mantengan en una base de datos deben ser resguardados, de acuerdo con el Requisito 6.6.
Debido a que se coloca por delante de su DMZ en el borde de la red, el establecimiento de un WAF generalmente no requiere ningún cambio en una aplicación. Luego sirve como puerta de enlace para todo el tráfico entrante, filtrando las solicitudes peligrosas antes de que puedan interactuar con una aplicación.
Para evaluar qué tráfico puede acceder a una aplicación y cuál debe eliminarse, los WAF emplean una variedad de heurísticas. Pueden identificar rápidamente a los actores malintencionados y los vectores de ataque conocidos gracias a un conjunto de firmas que se actualiza periódicamente.
Casi todos los WAF se pueden adaptar a casos de uso individuales y normas de seguridad, así como a combatir amenazas emergentes (también conocidas como de día cero). Finalmente, para adquirir información adicional sobre los visitantes entrantes, la mayoría de las soluciones modernas utilizan datos de reputación y comportamiento.
Para construir un perímetro de seguridad, los WAF generalmente se combinan con soluciones de seguridad adicionales. Estos podrían incluir servicios de prevención de denegación de servicio distribuido (DDoS), que brindan la escalabilidad adicional necesaria para evitar ataques de gran volumen.
Lista de verificación para la seguridad de aplicaciones web
Hay una variedad de enfoques para proteger las aplicaciones web además de los WAF. Cualquier lista de verificación de seguridad de aplicaciones web debe incluir los siguientes procedimientos:
- Recopilación de datos: revise la aplicación a mano, buscando puntos de entrada y códigos del lado del cliente. Clasificar contenido alojado por un tercero.
- Autorización: busque cruces de ruta, problemas de control de acceso vertical y horizontal, autorización faltante y referencias a objetos directos e inseguros al probar la aplicación.
- Asegure todas las transmisiones de datos con criptografía. ¿Se ha cifrado alguna información sensible? ¿Ha empleado algún algoritmo que no esté a la altura? ¿Hay errores de aleatoriedad?
- Denegación de servicio: pruebe la antiautomatización, el bloqueo de cuentas, el protocolo HTTP DoS y el comodín DoS de SQL para mejorar la resiliencia de una aplicación frente a los ataques de denegación de servicio. Esto no incluye la seguridad contra ataques DoS y DDoS de gran volumen, que requieren una combinación de tecnologías de filtrado y recursos escalables para resistir.
Para obtener más detalles, puede consultar la hoja de trucos de prueba de seguridad de aplicaciones web de OWASP (también es un gran recurso para otros temas relacionados con la seguridad).
Protección DDoS
Los ataques DDoS, o ataques distribuidos de denegación de servicio, son una forma típica de interrumpir una aplicación web. Hay una serie de enfoques para mitigar los ataques DDoS, incluido el descarte del tráfico de ataques volumétricos en las redes de entrega de contenido (CDN) y el empleo de redes externas para enrutar adecuadamente las solicitudes genuinas sin causar una interrupción del servicio.
Protección DNSSEC (Extensiones de seguridad del sistema de nombres de dominio)
El sistema de nombres de dominio, o DNS, es la guía telefónica de Internet y refleja cómo una herramienta de Internet, como un navegador web, encuentra el servidor correspondiente. Los malos actores utilizarán el envenenamiento de caché de DNS, los ataques en la ruta y otros medios para interferir con el ciclo de vida de búsqueda de DNS para secuestrar este proceso de solicitud de DNS. Si DNS es la guía telefónica de Internet, DNSSEC es un identificador de llamadas infalsificable. Una solicitud de búsqueda de DNS se puede proteger mediante la tecnología DNSSEC.
Para familiarizarse en detalle con el plan de estudios de certificación, puede ampliar y analizar la tabla a continuación.
El plan de estudios de certificación de fundamentos de seguridad de aplicaciones web de EITC/IS/WASF hace referencia a materiales didácticos de acceso abierto en forma de video. El proceso de aprendizaje se divide en una estructura paso a paso (programas -> lecciones -> temas) que cubre partes relevantes del plan de estudios. También se proporciona consultoría ilimitada con expertos en dominios.
Para obtener más información sobre el procedimiento de certificación, consulte ¿Cómo funciona?.
Descargue los materiales preparatorios completos de autoaprendizaje fuera de línea para el programa Fundamentos de seguridad de aplicaciones web EITC/IS/WASF en un archivo PDF
Materiales preparatorios EITC/IS/WASF – versión estándar
Materiales preparatorios del EITC/IS/WASF: versión ampliada con preguntas de repaso