Inicio
Inicio
Solicite una demostración

Navegación forzada vs. Inyección de comandos: Por qué es importante la formación en AppSec para los desarrolladores

Compartir
  • Gyan Chawdhary, Jefe de Seguridad de Aplicaciones, División Empresarial de ThriveDX

Las cifras son terribles. Los ataques a la cadena de suministro se duplicarán en 2021. Las filtraciones de datos cuestan 4,24 millones de dólares, de media. 483 Las carteras de Crypto.com, saqueadas por 31 millones de dólares.

Sabemos que los empleados con escasos conocimientos de seguridad causan la mayoría de los daños cibernéticos, pero ¿qué ocurre con otros vectores de ataque? ¿Y quién debe entender la diferencia entre navegación forzada y ataques de inyección de comandos?

5 cosas que les gustan a los hackers: La mentalidad del hacker

Aumentan los ataques a aplicaciones web y API

Los ataques a aplicaciones web representan el 26% de todas las infracciones. Los ataques DDoS a la capa de aplicación aumentan un 72% año tras año.

A medida que las empresas trasladan más datos, código y operaciones a la nube, aumentan drásticamente los ataques contra esos activos. Los ataques a API han aumentado un impresionante 686%.

En resumen, hay muchas más aplicaciones que desarrolladores capacitados para defenderlas. 

En este post, examinaremos algunas de las vulnerabilidades más comunes de las aplicaciones según el Open Web Application Security Project (OWASP).

El OWASP Top 10 se actualiza cada tres o cuatro años y cubre los 10 principales riesgos para la seguridad de las aplicaciones. 

Navegación forzada vs. inyección de comandos + 6 vulnerabilidades más de AppSec

Inyección SQL

La inyección SQL es el mayor ataque a la capa de aplicación, y sigue siendo muy potente. Esta vulnerabilidad fue responsable del 8,1 % de todas las filtraciones de datos en 2022.

SQL es un lenguaje de programación que permite a los autores de amenazas "hablar" con grandes bases de datos utilizando un lenguaje no muy distinto del inglés.

La inyección SQL puede consultar, operar y administrar sistemas de datos. Puede permitir a los actores de amenazas autenticarse sin proporcionar una contraseña correcta.

Una vez dentro, los usuarios pueden leer datos confidenciales de la base de datos back-end, modificar o borrar datos y emitir otros comandos.

Navegación forzada vs. Inyección de comandos: Por qué es importante la formación en AppSec para los desarrolladores

Inyección de comandos

La inyección de comandos, también llamada inyección de shell, es similar a la inyección SQL. Pero en lugar de inyectar en una consulta SQL, un actor de la amenaza inyecta un comando en el sistema operativo. Según OWASP, el objetivo de la inyección de comandos es ejecutar comandos arbitrarios en el sistema operativo anfitrión a través de una aplicación vulnerable.

Los ataques de inyección de comandos son posibles cuando una aplicación pasa datos no seguros suministrados por el usuario (formularios, cookies, encabezados HTTP, etc.) a un shell del sistema. Los comandos del sistema operativo suministrados por el atacante suelen ejecutarse con los privilegios de la aplicación vulnerable.

En otras palabras, los ataques de inyección de comandos inyectan comandos del sistema operativo. Esto permite a los hackers comprometer toda la aplicación, tomar el control total del servidor e incluso atacar otros sistemas dentro de la organización.

Navegación forzada

No es lo que parece. La Navegación Forzada, también llamada Enumeración de Directorios, es una técnica de ataque de fuerza bruta para obtener acceso a páginas restringidas u otros recursos sensibles en un servidor web. Lo hace forzando o adivinando directamente la URL.

Si las URL, scripts o archivos restringidos carecen de la autorización adecuada, estos recursos pueden ser vulnerables a ataques de navegación forzada. Esto permitiría hipotéticamente a los hackers acceder a los archivos restringidos y ver información sensible.

Inyección de entidades XML

La inyección de entidades externas XML (XXE) es una vulnerabilidad de seguridad web que permite a un atacante interferir en el procesamiento de datos XML de una aplicación.

En otras palabras, dirigirse a aplicaciones que transmiten datos entre el navegador y el servidor en formato XML. Interceptando y modificando los datos, un atacante puede explotar características potencialmente peligrosas de las bibliotecas XML estándar.

Estos incluirían el análisis sintáctico y la carga de entidades externas para obtener acceso al sistema de archivos del servidor o la interacción con sistemas backend a los que la aplicación tiene acceso. A veces un atacante puede escalar un ataque XXE para realizar ataques de falsificación de petición del lado del servidor (SSRF).

Secuencia de comandos en sitios cruzados reflejada

Reflected Cross-site Scripting (XSS) es una vulnerabilidad de inyección de código del lado del cliente que permite inyectar cargas maliciosas de JavaScript en una entrada suministrada por el usuario, reflejándose en la respuesta del servidor web y ejecutándose en el lado del cliente por el navegador web de la víctima.

Dado que todo el ataque se completa en una única solicitud y respuesta, se conoce como una vulnerabilidad Reflected Cross-site Scripting.

Componentes con vulnerabilidades conocidas

Los componentes con vulnerabilidades conocidas permiten a los atacantes simplemente hacer uso de herramientas de exploración automatizadas o realizar un análisis manual de la aplicación para identificar y explotar fácilmente los fallos de seguridad dentro de las aplicaciones.

Dado que las librerías y frameworks de terceros suelen ejecutarse con privilegios completos, este ataque se hace aún más posible.

Según Siemba, los famosos componentes con víctimas de vulnerabilidades conocidas incluyen:

  • Equifax (una organización estadounidense de agencias de crédito): infracción debida al marco web Apache Struts sin parchear CVE-2017-5638
  • Violación de Mossack Fonesca (firma de abogados de los Papeles de Panamá) - se utilizó una versión sin parches del CMS Drupal
  • Violación de los foros de Ubuntu - Complemento de Forumrunner sin parches

Falsificación de petición en sitios cruzados (CSRF)

Cross-Site Request Forgery (CSRF) es un ataque que fuerza a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que está autenticado.

Los ataques CSRF se dirigen específicamente a solicitudes de cambio de estado, no al robo de datos, ya que el atacante no tiene forma de ver la respuesta a la solicitud falsificada.

Según Imperva, este ataque puede ser especialmente devastador, y dar lugar a transferencias de fondos no autorizadas, relaciones dañadas con los clientes y pérdida de contraseñas.

Clickjacking

El clickjacking es una técnica utilizada por los actores de amenazas para "robar clics" engañando a los usuarios para que hagan clic en enlaces maliciosos. Este tipo de ataques superpone una interfaz de usuario legítima sobre una aplicación oculta.

En otras palabras, los usuarios pueden pensar que están en un sitio real de Wells Fargo, pero en realidad han aterrizado en un peligroso sitio parecido que no tiene nada que ver con Wells Fargo.

Antes de darse cuenta, se les engaña para que hagan clic en un botón o enlace de la interfaz de usuario que ven, realizando una acción no deseada en la aplicación oculta.

El ataque clickjacking más común utiliza iframes invisibles y la prevención se basa a menudo en restringir la capacidad de framing de los sitios web.

Navegación forzada vs. Inyección de comandos: Los desarrolladores deben conocer la diferencia

Con la migración de sistemas, software y aplicaciones a la nube, nunca ha habido tanta demanda de desarrolladores capaces de integrar correctamente la seguridad en su programación.

¿Quién más entendería la mayor amenaza: ¿Navegación Forzada vs. Inyección de Comandos? ¿Inyección de entidades XML o Cross Site Scripting reflejado?

A diferencia de otros programas de seguridad de aplicaciones, la formación en seguridad de aplicaciones de ThriveDX (anteriormente Kontra) está repleta de escenarios reales desafiantes pero didácticos que integrarán las mejores prácticas de seguridad en su código desde la base. 

Para más información sobre los programas de formación en seguridad empresarial de ThriveDX, visítenos en https://thrivedx.com/for-enterprise.

Formación en habilidades digitales y soluciones EdTech | ThriveDX

Gyan Chawdhary es un experto en seguridad y desarrollo de aplicaciones de renombre mundial. Después de fundar previamente Codebashing, que fue adquirida por Checkmarx en 2018, Gyan cambió el enfoque para inventar una nueva tecnología disruptiva para formar a los desarrolladores en ciberseguridad con éxito y aplicarla en su código, así es como su última empresa Kontra se formó. En 2022 Kontra fue adquirida por la división empresarial de ThriveDX y Gyan sigue siendo asesor de la empresa. Algunos de los antiguos clientes de Gyan son la Bolsa de Nueva York, FitBit y Microsoft.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido