Los ataques de inyección, los más dañinos para las apps Web
- Noticias
El proyecto abierto de seguridad en aplicaciones Web OWASP ha publicado su Top 10 de riesgos en aplicaciones Web, un ranking diseñado para que los desarrolladores puedan determinar y combatir las causas que hacen que el software sea inseguro. Pues bien, en esta edición, los ataques de inyección vuelven a ser el mayor riesgo de seguridad, al igual que en las dos ediciones anteriores de 2013 y 2010.
Doc: 6 formas de incrementar la calidad y velocidad en la entrega de aplicaciones |
Los ataques de inyección de código, dirigidos principalmente a aplicaciones web, permiten a un ciberatacante ejecutar comandos en una web para robar datos, modificarlos o eliminarlos, aprovechando campos destinados para otras finalidades. Esto es debido principalmente a fallos de programación, que son detectados y explotados por los atacantes para realizar este tipo de acciones maliciosas. Pues bien, según la empresa de seguridad Veracode, que participa en la elaboración del OWASP, el 77% de aplicaciones tienen al menos un fallo de seguridad, y cerca del 70% no pasaría una auditoría de seguridad respecto de las 10 medidas del OWASP. En concreto, un 27,6 % de las aplicaciones analizadas son fácilmente vulnerables mediante Inyecciones SQL.
El escenario de amenazas para la seguridad en aplicaciones cambia constantemente, principalmente debido a la aparición de nuevas técnicas para realizar ataques web. Así, junto a la inyección de comandos, la pérdida de autenticación ha ido subiendo a la segunda posición, mientras que la exposición de datos sensibles sube a la tercera posición, debido en parte a la ausencia de cifrado o el uso de algoritmos de cifrado inadecuados.
Además, en el OWASP Top 10 aparecen tres nuevos riesgos: XML External Entities (XEE); Deserialización Insegura, una nueva vulnerabilidad que podría permitir la ejecución remota de código en servicios web; y Registro de actividades y monitorización insuficientes, cuya ausencia puede provocar que la gestión de un incidente de seguridad no se realice con la agilidad deseada o que, por ejemplo, una fuga de datos sea detectada con incluso años de demora. También se fusionan varias vulnerabilidades en Pérdida de Control de Acceso
La secuencia de comandos en Sitios cruzados (XSS), pasa de estar en séptimo lugar en 2017, debido principalmente a la implementación de herramientas que evitan y protegen frente a estas vulnerabilidades. Por su parte, el uso de componentes con vulnerabilidades conocidas se mantiene en el noveno lugar, lo que indica que se trata de una vulnerabilidad vigente motivada en parte por el uso extendido de múltiples componentes en aplicaciones web, así como el crecimiento que está teniendo IoT y las dificultades que presenta dicho modelo en cuanto a gestión de actualizaciones.
La importancia de las apps para el éxito del negocio
Si el éxito de tu empresa depende de ofrecer una experiencia digital excepcional a tus usuarios, solo hay una cosa de la que debes asegurarte: tener una aplicación de calidad y sin fallos. No puedes permitirte lo contrario. Y eso solo se consigue teniendo herramientas para medir el rendimiento de tus aplicaciones a las que nos les falte ningún dato.
Lee aquí cuáles son los principales fallos a la hora de medir el rendimiento de tus apps, una guía que te ayudará a conocer más sobre la importancia de las soluciones APM (Application Performance Management) o cómo optimizar el rendimiento de tus apps.