Seguridad de aplicaciones Web
Seguridad de aplicaciones Web es una rama de Seguridad de la información que trata específicamente con la seguridad de sitios web, aplicaciones Web y servicios Web. Un alto nivel, seguridad de aplicaciones Web se basa en los principios de seguridad de aplicaciones pero aplica específicamente a Internet y Web sistemas.[1]
Contenido
- 1 Amenazas a la seguridad
- 2 Mejor recomendación de las prácticas
- 3 Normas de seguridad
- 4 Tecnología de seguridad
- 5 Véase también
- 6 Referencias
Amenazas a la seguridad
Con la aparición de Web 2.0, aumentó el intercambio de información a través de redes sociales y aumentar la adopción empresarial de la Web como un medio de hacer negocios y la entrega de servicio, sitios web a menudo es atacada directamente. Hackers tampoco tratan de comprometer la red corporativa o los usuarios finales acceso a la web sometiéndolos a descarga por unidad de.[2][3]
Como resultado, la industria[4] está prestando mayor atención a la seguridad de las aplicaciones web[5] ellos mismos además de la seguridad del subyacente red de computadoras y sistemas operativos.
La mayoría de los ataques de la aplicación web se producen a través de cross-site scripting (XSS) y Inyección de SQL ataques[6] que por lo general resultado de deficiente codificación y la falta de desinfectar la entrada y salida de la aplicación web. Estos se alinean en el 2009 CWE/SANS Top 25 errores de programación más peligrosos.[7]
Phishing es otra de las amenazas comun a la aplicación Web y las pérdidas globales de este tipo de ataque en el 2012 se estimaron en $ 1,5 billones.[8]
Según el proveedor de seguridad Cenzic, incluyen las principales vulnerabilidades en marzo de 2012:[9]
-
-
37% Cross-site scripting 16% Inyección de SQL 5% Divulgación de la ruta 5% Ataque de denegación de servicio 4% Ejecución de código arbitrario 4% Daños en la memoria 4% Falsificación de petición entre sitios 3% Violación de datos (revelación de información) 3% Arbitraria inclusión de archivos 2% Inclusión de archivos locales 1% Inclusión de archivo remoto 1% Desbordamiento de búfer 15% Otros, incluyendo inyección de código (PHP/JavaScript), etcetera.
-
Mejor recomendación de las prácticas
Garantizar la aplicación web desarrollo debe mejorarse mediante la aplicación de los controles de seguridad y técnicas en las primeras etapas de desarrollo, así como a lo largo del ciclo de vida de desarrollo de software. Especial énfasis debe aplicarse a la codificación de fase de desarrollo. Mecanismos de seguridad que se deben utilizar incluyen, amenaza de modelado, análisis, análisis estático, firma digital, entre otros el riesgo.[10]
Normas de seguridad
OWASP es el cuerpo de normas emergentes para la seguridad de aplicaciones Web. En particular han publicado los OWASP Top 10 que describe en detalle las principales amenazas de aplicaciones web. El Consorcio de seguridad de aplicación Web (WASC) ha creado la Web Hacking incidente de la base de datos[11] y también código abierto producido mejor práctica documentos sobre seguridad de aplicaciones Web.
Tecnología de seguridad
Mientras que la seguridad se basa fundamentalmente en personas y procesos, hay una serie de soluciones técnicas a tener en cuenta al diseño, construcción y pruebas de aplicaciones web seguras. Un alto nivel, estas soluciones incluyen:
- Caja negra herramientas de prueba como Escáneres de seguridad de aplicación Web,[12] escáneres de vulnerabilidad y pruebas de penetración software
- Caja blanca herramientas de prueba como Analizadores de código fuente estático[13]
- Fuzzing[14] Herramientas utilizadas para las pruebas de entrada
- Escáner de seguridad de aplicación Web (escáner de vulnerabilidades)
- Cortafuegos de aplicación Web (WAF)[15] utilizado para proporcionar cortafuegos-tipo de protección en la capa de aplicación web
- Craqueo de contraseña herramientas para pruebas contraseña y la aplicación
Véase también
- Arquitectura de aplicaciones de servicio (ASA)
- w3af un escáner de seguridad de aplicación web de código abierto gratis
- OWASP Proyecto de seguridad de aplicación Web abierta
- Escáner de seguridad de aplicación Web
Referencias
- ^ "Web Application Security Overview". 2015-10-23.
- ^ "El fantasma en el navegador" (PDF). Niels Provos et al. de mayo de 2007.
- ^ "Todos tus iFrames punto a nosotros" (PDF). Niels Provos et al. de febrero de 2008.
- ^ "Mejora de Web Application Security: Threats and Countermeasures". Microsoft Corporation. De junio de 2003.
- ^ «Microsoft fortalece IE8 contra los nuevos ataques XSS». Dan Goodin, el registro. De febrero de 2009.
- ^ "Pruebas y comparando vulnerabilidad Web herramientas de análisis para ataques XSS y SQL Injection" (PDF). Fonseca, J.; Vieira, m..; Madeira, H., confiable computación, IEEE. Diciembre de 2007.
- ^ "CWE / SANS Top 25 errores de programación más peligrosos". CWE / SANS. De mayo de 2009.
- ^ «Pérdidas global 2012 de Phishing que se estiman en $1,5 Bn». FirstPost. 20 de febrero de 2013. 21 de diciembre, 2014.
- ^ "informe de tendencias 2012: los riesgos de seguridad de la aplicación". Cenzic, Inc. 11 de marzo de 2012. 9 de julio 2012.
- ^ Shuaibu, Musa de la Bala; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). "Revisión sistemática del modelo de desarrollo de seguridad de aplicaciones web". Revisión de la inteligencia artificial. 43 (2): 259-276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821.
- ^ "La Web base de datos de incidentes de Hacking". WASC. De enero de 2010.
- ^ «Escáneres de vulnerabilidad de aplicaciones web». NIST.
- ^ "Analizadores de seguridad de código fuente". NIST.
- ^ "Fuzzing". OWASP.
- ^ "Web firewalls de aplicación para la seguridad y cumplimiento". Secure Computing Magazine. Febrero de 2008.