Vulnerabilidad de los servicios en la Web

Los primeros ataques a la red aprovecharon las vulnerabilidades relacionadas con la implementación de conjuntos de protocolos TCP/IP. Al corregirlas gradualmente, los ataques se dirigieron a las capas de aplicaciones y a la Web en particular, ya que la mayoría de las empresas abrieron sus sistemas de firewall al tráfico en Internet.

El protocolo HTTP (o HTTPS) representa el estándar que posibilita la transferencia de páginas Web a través de un sistema de solicitud y respuesta. Internet, que se utiliza principalmente para transferir páginas Web estáticas, se ha convertido rápidamente en una herramienta interactiva que permite proporcionar servicios en línea. El término "aplicación Web" se refiere a cualquier aplicación a cuya interfaz se pueda acceder en la Web desde un simple navegador. Hoy en día, el protocolo HTTP, la base para una determinada cantidad de tecnologías (SOAP, Javascript, XML-RPC, etc.), juega un indudable papel estratégico en la seguridad de sistemas de información.

Debido a que los servidores Web están cada vez más protegidos, los ataques están dirigiendo su atención al aprovechamiento de las fallas de las aplicaciones Web.

Como tal, la seguridad de los servicios de Internet debe tenerse en cuenta al momento del diseño y desarrollo.

Tipos de vulnerabilidades

Las vulnerabilidades de aplicaciones Web se pueden clasificar de la siguiente manera:

• Vulnerabilidades del servidor Web. Este tipo es cada vez más atípico ya que la mayoría de los desarrolladores de servidores Web han aumentado su seguridad con los años;
• Manipulación de URL, incluida la modificación manual de parámetros de URL para modificar el comportamiento esperado del servidor Web;
• Aprovechamiento de las debilidades de los identificadores de sesión y sistemas de autenticación;
• Inyección de código HTML y Secuencia de comandos entre sitios;
• Inyección de comandos SQL.

La verificación necesaria de los datos de entrada

El protocolo HTTP se utiliza por naturaleza para administrar las solicitudes, es decir, para recibir los datos de entrada y enviar los datos de retorno. Los datos se pueden enviar de varias maneras:

• La URL de la página Web
• En encabezados HTTP
• En el cuerpo de la solicitud (solicitud POST)
• A través de una cookie

En general, la idea básica a tener en cuenta durante el proceso de desarrollo es que nunca se debe confiar en los datos enviados por el cliente.

Casi todas las vulnerabilidades de los servicios Web están vinculadas a la negligencia por parte de los diseñadores, quienes no han verificado el formato de los datos ingresados por los usuarios.

Impacto de los ataques en la Web

Los ataques a las aplicaciones Web siempre son dañinos ya que proporcionan una mala imagen a la empresa. Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:

• Desfiguración de la página Web;
• Robo de información;
• Modificación de datos, y en particular la modificación de datos personales de los usuarios;
• Intrusión en el servidor Web.