1. Los factores a considerar en la calificación del riesgo existente en aplicaciones en caso de tener alguna de estas vulnerabilidades son los siguientes: ¿Qué tan fácil es aprovechar una falla? El conocimiento técnico requerido por el atacante ¿Cuántos sistemas son vulnerables? ¿Se puede detectar fácilmente la vulnerabilidad? ¿Qué tan grande es la superficie de ataque? En caso de un ataque, ¿qué impacto tiene en nuestra organización? ¿Qué es lo peor que puede pasar?
1.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
1.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
1.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
1.3. Las empresas no consideran la implementación de seguridad en etapas tempranas en el desarrollo de aplicaciones, por lo que no logran transmitir la visión de seguridad y la importancia de los controles a los programadores responsables del proceso técnico. La falta de cultura general y conocimiento genera vulnerabilidades e incrementa riesgos al negocio. La mayoría de los programadores no tienen una orientación a la seguridad de los datos, ni reciben la apropiada capacitación para el desarrollo seguro de procesos. De igual manera es difícil encontrar profesionales de seguridad con experiencia en desarrollo de código. Las compañías encargadas del desarrollo de aplicaciones siguen un proceso que contiene fallas integrales en la manera de producir código, el curso normal después de la publicación de una aplicación es el surgimiento de vulnerabilidades descubiertas que generalmente se hacen públicas; una vez conocidas, se atacan y explotan, detonando una serie de acciones de las compañías para parchar y desarrollar código que corrija estos errores, el cual se hace disponible a los usuarios, quienes tienen que aplicar, probar e instalar dichas correcciones. Esto representa una postura reactiva que no corrige de raíz los problemas esenciales de las aplicaciones.
1.3.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
1.3.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
1.3.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
2. La vulnerabilidad de SQLi y XSS existe debido a la falta de validación de los comandos que pasan a través de las capas de la aplicación, permitiendo al usuario enviar instrucciones de código de bases de datos a través de toda la plataforma, lo cual resulta en amenazas a la seguridad de la información, como pueden ser pérdidas de confidencialidad, accesos no autorizados y fallas generales en la aplicación.
2.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
2.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
2.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
2.3. Las empresas no consideran la implementación de seguridad en etapas tempranas en el desarrollo de aplicaciones, por lo que no logran transmitir la visión de seguridad y la importancia de los controles a los programadores responsables del proceso técnico. La falta de cultura general y conocimiento genera vulnerabilidades e incrementa riesgos al negocio. La mayoría de los programadores no tienen una orientación a la seguridad de los datos, ni reciben la apropiada capacitación para el desarrollo seguro de procesos. De igual manera es difícil encontrar profesionales de seguridad con experiencia en desarrollo de código. Las compañías encargadas del desarrollo de aplicaciones siguen un proceso que contiene fallas integrales en la manera de producir código, el curso normal después de la publicación de una aplicación es el surgimiento de vulnerabilidades descubiertas que generalmente se hacen públicas; una vez conocidas, se atacan y explotan, detonando una serie de acciones de las compañías para parchar y desarrollar código que corrija estos errores, el cual se hace disponible a los usuarios, quienes tienen que aplicar, probar e instalar dichas correcciones. Esto representa una postura reactiva que no corrige de raíz los problemas esenciales de las aplicaciones.
2.3.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
2.3.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
2.3.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
2.4. Los riesgos principales en el desarrollo de aplicaciones web son: La inyección de código no autorizado (como SQL injection) La ejecución e inyección de código (como puede ser Java Script en sitios web visitados por el usuario, también llamados Cross-Site Scripting, XSS) Problemas en la autentificación Problemas de sesión de usuarios registrados Errores de configuración Falta de controles para el filtrado de paquetes La gran mayoría de las vulnerabilidades en código web son sencillas de corregir en distintas etapas del proceso. A continuación se describe una serie de controles mínimos que deben contener las aplicaciones para la operación segura.
2.4.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
2.4.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
2.4.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
2.4.3. Las empresas no consideran la implementación de seguridad en etapas tempranas en el desarrollo de aplicaciones, por lo que no logran transmitir la visión de seguridad y la importancia de los controles a los programadores responsables del proceso técnico. La falta de cultura general y conocimiento genera vulnerabilidades e incrementa riesgos al negocio. La mayoría de los programadores no tienen una orientación a la seguridad de los datos, ni reciben la apropiada capacitación para el desarrollo seguro de procesos. De igual manera es difícil encontrar profesionales de seguridad con experiencia en desarrollo de código. Las compañías encargadas del desarrollo de aplicaciones siguen un proceso que contiene fallas integrales en la manera de producir código, el curso normal después de la publicación de una aplicación es el surgimiento de vulnerabilidades descubiertas que generalmente se hacen públicas; una vez conocidas, se atacan y explotan, detonando una serie de acciones de las compañías para parchar y desarrollar código que corrija estos errores, el cual se hace disponible a los usuarios, quienes tienen que aplicar, probar e instalar dichas correcciones. Esto representa una postura reactiva que no corrige de raíz los problemas esenciales de las aplicaciones.
2.4.3.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
2.4.3.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
2.4.3.2. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
3. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
3.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.
4. esté usando. Un sistema encargado de procesar los datos de acuerdo a códigos de programación. Una base de datos que almacena dicha información habilitando vistas y permisos para distintos niveles de acceso. Dispositivos de seguridad en distintos niveles del proceso de comunicación.
5. Las empresas no consideran la implementación de seguridad en etapas tempranas en el desarrollo de aplicaciones, por lo que no logran transmitir la visión de seguridad y la importancia de los controles a los programadores responsables del proceso técnico. La falta de cultura general y conocimiento genera vulnerabilidades e incrementa riesgos al negocio. La mayoría de los programadores no tienen una orientación a la seguridad de los datos, ni reciben la apropiada capacitación para el desarrollo seguro de procesos. De igual manera es difícil encontrar profesionales de seguridad con experiencia en desarrollo de código. Las compañías encargadas del desarrollo de aplicaciones siguen un proceso que contiene fallas integrales en la manera de producir código, el curso normal después de la publicación de una aplicación es el surgimiento de vulnerabilidades descubiertas que generalmente se hacen públicas; una vez conocidas, se atacan y explotan, detonando una serie de acciones de las compañías para parchar y desarrollar código que corrija estos errores, el cual se hace disponible a los usuarios, quienes tienen que aplicar, probar e instalar dichas correcciones. Esto representa una postura reactiva que no corrige de raíz los problemas esenciales de las aplicaciones.
5.1. La arquitectura cliente-servidor de las aplicaciones actuales permite que el usuario, a través de la computadora cliente, consulte los servicios y solo reciba la presentación de resultados del servidor, siendo el servidor el que realiza el procesamiento de información.
5.1.1. Este tipo de arreglo compone buena parte del espectro de aplicaciones para el procesamiento de datos, ya que cumple con los objetivos de portabilidad, movilidad y escalabilidad. Es importante considerar que se requieren controles específicos en cada uno de los procesos, como entrada de datos, procesamiento de datos, procesos de comunicación entre bloques del sistema, acceso de información y otros dispositivos de salidas y control de interfaces.