Seguridad en aplicaciones web
| ||||||
Seguridad en Aplicaciones Web . Rama de la Seguridad informática que se encarga de la seguridad de Sitios web, Aplicaciones web y Servicios web.
A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones, pero aplicadas específicamente a la World Wide Web. Las aplicaciones, comúnmente son desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby, ASP.NET, JSP, entre otros.
Sumario
- 1 Aplicaciones Web
- 2 Modelo de Funcionamiento de una Aplicación Web
- 3 Problemas de Seguridad en Aplicaciones Web
- 4 Sistemas de Gestión de Contenidos (CMS) comprometidos por causa de vulnerabilidades conocidas
- 5 Medidas de Seguridad
- 5.1 Conocer los componentes de la aplicación web
- 5.2 Establecer un programa de actualizaciones y mantenimientos periódicos
- 5.3 Fortalecer la seguridad de las aplicaciones y servidores web
- 5.4 Aplicar prácticas de administración segura
- 5.5 Supervisar el tráfico que genera la aplicación web
- 5.6 Capacitación permanente de los administradores y desarrolladores en temas de seguridad informática
- 6 Conclusiones
- 7 Vease también
- 8 Fuentes
Aplicaciones Web
Las aplicaciones web son la base para la informatización de la sociedad moderna. En la mayoría de los casos, la interrelación de personas y entidades se establece en el ciberespacio a través de ellas.
Modelo de Funcionamiento de una Aplicación Web
Problemas de Seguridad en Aplicaciones Web
- Utilización de componentes con vulnerabilidades conocidas
- “Apreciación” de la aplicación web como un producto estático que no requiere actualizaciones periódicas.
- Inadecuada configuración de los servidores web.
- Malas prácticas de administración.
Sistemas de Gestión de Contenidos (CMS) comprometidos por causa de vulnerabilidades conocidas
Medidas de Seguridad
Conocer los componentes de la aplicación web
- La entidad deberá tener claridad de cuáles son los componentes y las versiones correspondientes que integran la aplicación web:
- Núcleo del Sistema de Gestión de Contenidos
- Complementos o plugins
- Temas
- Marco de trabajo o framework
- Sistema Gestor de Bases de Datos
- Servidor Web
- Lenguaje de programación
Establecer un programa de actualizaciones y mantenimientos periódicos
- Los componentes de la aplicación web deberán ser actualizados en la misma medida en que se publiquen los parches de seguridad.
- Las aplicaciones web que estén publicadas en Internet deberán hacer más énfasis en este aspecto, evitando que pasen días y semanas sin ser actualizadas.
- Debe establecerse un programa de Vigilancia Tecnológica que garantice el conocimiento de las vulnerabilidades publicadas.
- Evitar la adquisición de aplicaciones web que no sean actualizables.
Fortalecer la seguridad de las aplicaciones y servidores web
- Utilizar adecuadamente las configuraciones de seguridad que brindan las aplicaciones y servidores web.
- Cerrar los servicios que no sean necesarios.
- Eliminar archivos y aplicaciones innecesarias.
- Evitar publicar las tecnologías y versiones en Internet.
Aplicar prácticas de administración segura
- Aplicar mecanismos de seguridad generales establecidos, pero también específicos como los cortafuegos de aplicaciones web (WAF Web Application Firewall) y Sistemas de Detección de Intrusiones de Host (HIDS).
- Permitir el acceso a los paneles de administración SOLAMENTE desde determina subred o incluso direcciones IP.
- Evitar confundir las actividades de gestión de contenidos con las actividades de administración técnica de la aplicación web.
Supervisar el tráfico que genera la aplicación web
- Debe establecerse una política para la gestión de registros o logs de acceso de los servidores web, de manera que ante un incidente de seguridad informática se cuenta con la información necesaria para su investigación.
- Debe supervisarse el tráfico que genera la aplicación web para comprobar la efectividad de los mecanismos de seguridad establecidos y detectar amenazas avanzadas.
Capacitación permanente de los administradores y desarrolladores en temas de seguridad informática
- Gestión de vulnerabilidades y parches de seguridad
- Evaluación de vulnerabilidades y pruebas de intrusión
- Técnicas de desarrollo seguro
- Administración segura de servidores web
- Análisis de tráfico web
Conclusiones
- Las aplicaciones web representan pilares tecnológicos de los procesos de informatización actuales.
- Están sometidas a intentos de ataques permanentes cuando están publicadas en Internet, pero la aplicación de buenas prácticas de administración, que garanticen una actualización permanente de sus componentes para solucionar las vulnerabilidades que se hagan públicas, junto con el empleo de otras medidas, permitirán garantizar niveles razonables de seguridad.
Vease también
- Seguridad Informática
- Ciberseguridad
- Política de Seguridad Informática
- Sistema de gestión de eventos e información de seguridad
Fuentes
- Curso Fundamentos de la Ciberseguridad. Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena*Manual sobre Seguridad informática.
- Seguridad de aplicaciones web
