Zusammenfassung der Ressource
Diagnóstico de
vulnerabilidades
- Si atendemos a las noticias cada vez es más común
encontrar que ha habido una intrusión en importantes
sitios web con su correspondiente fuga de información. Hoy
en día los "hackers" son cada vez más activos y siempre
están buscando vulnerabilidades para poder obtener datos
sensibles.
- Para evitar esto podemos utilizar las herramientas que
mencionaré a continuación para encontrar estas
vulnerabilidades antes que un usuario malicioso.
- A día de hoy, el software está presente en nuestras
vidas y, como es lógico, a medida que este sea más
complejo se volverá más crítico, es decir, cuanto más
complejo más posibilidades habrá de que sea vulnerado
por los ciberdelincuentes.
- Con la transformación digital muchas empresas están
implantando aplicaciones web en su empresa. Por eso, es
importante conocer las medidas de seguridad que se
pueden implementar de cara a desarrollar una nueva
aplicación o en una que esté ya en funcionamiento. Casi
todas las vulnerabilidades pueden ser aplicadas sin
importar el tamaño de la empresa.
- El ‘Proyecto abierto de seguridad en aplicaciones web’
(Open Web Application Security Project, OWASP por su
acrónimo) es una comunidad que a través de sus
colaboradores, los cuales les ceden datos de más de 500
000 aplicaciones web, emite un documento llamado
OWASP Top 10 que recopila las 10 vulnerabilidades web
más comunes, en este caso de 2021.
- ¿Cuáles son esas vulnerabilidades y cómo me pueden
afectar?
- 1. Pérdida del control de acceso (Broken Access Control)
- Un ciberdelincuente podría actuar en el sistema con permisos de
usuario o administrador. Acceso a registros, directorios o archivos
confidenciales para su posterior posible divulgación.
- 2. Fallos criptográficos (Cryptographic Failures)
- 3. Inyección (Injection)
- 4. Diseño inseguro (Insecure Desing)
- 5. Configuración de seguridad defectuosa (Security Misconfiguration)
- 6. Componentes vulnerables y obsoletos (Vulnerable and Outdated
Components)
- 7. Fallos de identificación y autenticación (Identification and Authentication
Failures)
- 8. Fallos en el software y en la integridad de los datos (Software and Data
Integrity Failures)
- 9. Fallos en el registro y la supervisión de la seguridad (Security Logging and
Monitoring Failures)
- 10. Falsificación de Solicitud del Lado del Servidor (Server-side Request
Forguery o SSRF)
- Robo de datos sensibles de la empresa.
Acceso a sistemas internos de la
empresa.
- Desconocimiento sobre inicios de sesión no autorizados.
Desconocimiento sobre los actos de un ciberdelincuente en nuestro
sistema.
- Inclusión de código no deseado por un ciberdelincuente en mi
aplicación.
- Los ciberdelincuentes tendrán acceso a cuentas administrativas o de
empleados en la aplicación.
- Algunas de estas vulnerabilidades pueden tener un impacto pequeño,
pero las mayores brechas de seguridad se han producido mediante la
explotación de este tipo de vulnerabilidades.
- Acceso no autorizado al sistema por parte del
ciberdelincuente.
- Exposición y posible modificación de datos por un ciberdelincuente.
Acceso al servidor/aplicación por parte de un ciberdelincuente con
permisos de administrador o usuario.
- Exposición y posible modificación de datos sensibles por parte de
un ciberdelincuente. Bajo ciertas circunstancias podría permitir al
ciberdelincuente tomar el control del servidor.
- Exposición de datos sensibles a un ciberdelincuente (datos
personales, críticos o estratégicos para la empresa; credenciales…).