Un organismo de control para aplicaciones web

La oportunidad de ser hackeado como ahora parece ir en aumento. El número de incidentes de seguridad y vulnerabilidades que se informó en las noticias, sin duda cada vez mayor. ¿Qué hace usted cuando sus aplicaciones web vulnerables al ataque y no hay tiempo y dinero para ajustar todo el código de programa?

La historia de las aplicaciones Web

Las primeras aplicaciones web de Internet sensibles se han desarrollado desde 1995, cuando Netscape fue javascript apoyo en los primeros navegadores. El desarrollo se aceleró a partir de 1999 cuando se introdujo Java Servlets. A partir de ese momento hay una gran cantidad de código desarrollado para aplicaciones web. Empresas con interés suficiente, el presupuesto y la visibilidad es probable que han sido capaces de seguir a la creciente lista de medidas de seguridad. Además, gran parte del código se han ajustado debido a los requisitos de seguridad de hoy en día son más extensos de lo que jamás podría haber imaginado de antemano.

OWASP TOP 10

Un buen ejemplo de los requisitos de seguridad modernos para aplicaciones Web es la OWASP Top 10. Esta es una lista de las medidas de seguridad que al menos deben ser considerados en el desarrollo de aplicaciones web. Por ejemplo, se advierte siempre revisar todas las entradas. Esto es porque de lo contrario la aplicación web puede ser sensible a un ataque de secuencias de comandos del cruz. OWASP va más allá y recomienda considerar también otras cuestiones como el sistema que ejecuta la aplicación web se ejecuta. Un ejemplo de una mala configuración de seguridad es que instale un servidor de aplicaciones y la cuenta predeterminada no coincide, por lo que prácticamente todo el mundo puede iniciar sesión en el servidor de aplicaciones, ya que cuenta en la guía de instalación con nombre de usuario y contraseña que se conoce y trazable para todos.

Mal necesario

En la mayoría de los casos, las aplicaciones Web de esa edad o incluso plataformas enteras no tuvieron en cuenta los requisitos de seguridad modernas de la OWASP TOP 10 también modifica esta lista cada pocos años con el fin de llegar a utilizar todas las sabias lecciones de la práctica. Por desgracia, sucede que uno ignora estas lecciones sabias. Las empresas son a veces lo suficientemente ocupado con el mantenimiento funcional de sus aplicaciones web. Obviamente, las empresas no compran aquí, siempre y cuando nadie pregunta. Algunas empresas pueden ni siquiera ser consciente de todos los riesgos y observe sólo lo que algo está pasando cuando las cosas van mal.

Costos y beneficios

Las empresas suelen mirar a lo que el beneficio directo es que se pueden obtener en el desarrollo de aplicaciones web. Esto tiene como resultado que sólo el tiempo y el dinero para añadir nuevas funciones, por ejemplo la construcción de nuevas características de redes sociales. Sin embargo, los costos de mantenimiento de la seguridad pueden sumarse rápidamente. Una aplicación web promedio consiste rápidamente de entre 100.000 y 500.000 líneas de código, donde más del 30% de las necesidades que deben abordarse con el fin de construir en las reglas de validación de entrada. Y no sólo la personalización del código requiere tiempo y dinero, la aplicación web también después de ajustar tiene que pasar por una prueba de regresión completa para validar que todo funciona correctamente. Al darse cuenta de la empresa de seguridad proporciona una nada funcional inmediatamente. De hecho, el comportamiento de la aplicación no se actualiza y no hay nuevas funciones. Por tanto, es comprensible que las empresas poseen el problema en lugar de ignorar y hasta un poco de los juegos de azar a un hacker de su rango IP y compuertas del vertedero de TCP / IP. Quieren hacer algo al respecto, pero preferentemente al costo y el tiempo mínimo.

Watchdog Aplicación

Afortunadamente, la industria también ha reconocido este problema. Una de las soluciones que han desarrollado el Web Application Firewall o simplemente WAF. El WAF es entre el firewall existente y el servidor de aplicaciones y ve con ello puso todo el tráfico entrante y saliente. Por medio de reconocimiento de patrones del WAF es capaz de reconocer ciertos ataques. Un ejemplo es la detección de sentencias SQL en la URL como parámetro, o si los datos POST. El WAF puede detener automáticamente el ataque o sólo una mención del intento a través de una alerta. Siempre hay una posibilidad de que el WAF un patrón de reconocimiento de lo que es correcto no es un ataque. Por ejemplo, cuando SELECT y INSERT como se permiten palabras de entrada. En ese caso, se trataba de un falso positivo. Equipos WAF Ampliado por lo general tiene la capacidad de aprender que los patrones están permitidos dentro de la aplicación web. Así, un WAF puede realizar un seguimiento de todos los tipos de direcciones URL asociadas con la aplicación web en el uso "normal". Una vez allí, entonces una excepción viene en el WAF puede intervenir. En esta fase de aprendizaje, es posible permitir excepciones como el permiso palabra INSERT en una URL específica porque se sabe que la estructura a continuación no es un ataque a la aplicación web respectiva.

Los cortafuegos de aplicación Web

Web Application Firewalls están ahora disponibles en muchos sabores y variaciones. Mostramos aquí algunos de los de código abierto y el dominio profesional. Aquí están en el dominio de código abierto, totalmente gratis, pero a veces limitada en funcionalidad y facilidad de gestión.
  • Apache - Seguridad mod
  • AQTRONIX WebKnight
  • ESAPI WAF
  • WebCastellum
  • Binarysec
  • OpenWAF

Y estos son algunos de los posibles proveedores de solución de pago. Por lo general, la solución se vende como un aparato. A menudo, la ventaja está en el contrato de mantenimiento que se añaden de forma automática todos los nuevos patrones y líneas. Además, el proveedor menudo asegura OWASP TOP 10 cumplimiento.
  • Barracuda
  • Citrix NetScaler
  • Cisco
  • F5
  • Fortinet - FortiWeb
  • Radware
  • Rapid7
  • Firewall Zeus Aplicación

Por último,

Seguridad de la información parece ser más importante cuando no hay tiempo y dinero está disponible para reescribir las aplicaciones web de más edad. La industria ha respondido a esta clase y un nuevo tipo de cortafuegos desarrollado puede ver el tráfico. WAF entonces interviene tan pronto como se detecta un ataque. Un WAF se puede descargar desde el dominio de código abierto, o usted puede comprar un dispositivo de un proveedor preferido. La elección de qué forma y tamaño que se va a aplicar un WAF depende en gran medida del presupuesto que la organización pone a disposición de seguridad de la información. Un WAF puede ser una solución si hay una gran cantidad de código fue desarrollado con poco en cuenta todas las medidas de seguridad de la información. Es importante, sin embargo, el WAF configurado correctamente, probar y manejar. Además, es conveniente pensar en el futuro y aplicaciones web tales como el Top 10 de OWASP y tomar un punto de partida porque un WAF ciertamente no es una garantía del 100% siempre puede darle todos los patrones de ataque se reconocen en el tiempo.
(0)
(0)

Comentarios - 0

Sin comentarios

Añadir un comentario

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caracteres a la izquierda: 3000
captcha