jueves, 3 de mayo de 2018

Seguridad e inseguridad en sitios web.



Otro tema crítico para todos los internautas que suelen estar en la red de internet la seguridad en sitios web y las posibles fallas de seguridad o faltas de seguridad que han tenido en su desarrollo, y como un usuario puede ser victima de sitios web mal intencionados o victimas de ataques de pishing (caso de sitios web que se hacen pasar por sitios web oficiales), teniendo en cuenta que su información personal es el principal objetivo principal de ataque.

Actualmente existen muchos sitios web y ante la creciente demanda, cada día, en los procesos de desarrollo toman menos en cuenta lo que es la seguridad, cosa que es preocupante, todos aquellos que desarrollan sitios web podrán decir lo siguiente; pero no es necesario prestarle mucha atención la seguridad ya que los framework(liberías o entornos) de desarrollo nos facilitan por defecto aspectos de seguridad que ya no es necesario tomar en cuenta pero... la realidad es otra, ya que los mismos siempre tendrán alguna vulnerabilidad y analizar un poco como trabajar con ellos y que aspecto de seguridad del mismo lo podemos mejorarlo ayudaría a desarrollar sitios web's mas seguros (ojo "más seguros" no totalmente seguros).

Seguridad:

Algo que siempre se debe tener en cuenta a la hora de crear un sitio web o sobre un sitio web ya desarrollado en la entrada y salida de información y que método se usa para lo mismo puede ser get, post, put, delete entre otros y tener un estricto seguimiento de la respuesta generada por los mismo hacia la interfaz web.

Uso de https, Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto).

El uso de sesiones de usuario que permiten dar uso al entorno web o aplicación web solo a los usuarios autorizados (se recomienda usar tokens de sesión para un mayor seguridad).

Seguimiento de los orígenes de la información y su paso por los diferentes puntos desarrollados del sistema como los ya mencionados métodos de envío get, post, put, session, cookie, entre otros.

El filtrado de datos, que permiten la verificación de la validez de los datos recibidos desde los formularios.

Control de salidas de datos y en la forma en que las mismas mostrarán los datos.

Sistema de Encriptación de datos propia con claves extensas para dar una mayor seguridad al manejo de los datos (para extender un poco más la seguridad en caso de que se use algún framework ó dar seguridad para el caso que se este programando desde cero).

Conexiones contra base de datos seguras y a través de puertos que no sean precisamente los estándares.

Evitar cualquier escape de información que pueda ser usado para un posible ataque.

Inseguridad y posibles ataques:

Como todos sabemos en Internet nada es cien por cien seguro, ahora surge la interrogante, ¿si nada en Internet es cien por cien seguro como podemos aunque sea mitigar los ataques hacker, crackeo de claves, robo de información, virus, entre otros?.

Una manera de mantera de mantener la seguridad en caso de que seas un simple usuario de un servicio web es usar una larga contraseña o clave a continuación un ejemplo:

sdfiwDFGtdaw#sdf34596224..fl

Siendo un usuario de un sitio web que trabaje con dinero use el factor de acceso doble para aumentar la seguridad a tu usuario, en los métodos de recuperación de pregunta secreta una uses respuestas que todo mundo puede conocer al menos las persona cercanas a tu entorno o familiar.

Ahora el tema importante es si eres propietario de un servicio de hosting y tienes una página web en producción tienes que tomar las siguientes medidas de seguridad:

  1. Contratar o activar servicios contra ataques DDoS.
  2. Activar conexiones ssh a tu server solo cuando sea necesario.
  3. Usar encriptaciones robustas de las claves de los usuarios.
  4. Las conexiones a la base de datos deben ser los más cortas posible y nunca dejarlas abiertas.
  5. Realizar respaldos tanto de la base de datos como del entorno web o código del mismo regularmente.
  6. Revisar todos los archivos log del servidor web que tengamos contratado con regularidad.
  7. Estar actualizado con todos los parques de seguridad para el sistema operativo del servidor web contratado.
Estas son algunas de las medidas de seguridad que se pueden tomar para una web en el caso de ser el propietario o desarrollador aunque se pueden tomar más y mejores medidas....


Ahora ¿cuales son los posibles ataques? pues se listan algunos de ellos:


  1. Metaexploits son conjuntos de herramientas para atacar sistemas webs o páginas web.
  2. DDoS el más conocido este usando miles de ordenadores (computadores) zombie puede ser realmente eficaz y peligroso.
  3. SQL injection, esta fue una vulneravilidad que fue explotada de php y que si no tienes un servidor web actualizado podrías ser victima del mismo el cual podrá dar acceso a un hacker a la base de datos de tu web.
  4. Rootkits otro conjunto de herramientas para poder acceder a sistemas operativos tipo UNIX conectados a internet.
Existen multiples tipos de ataques no quise extender la lista además de ataques que en un futuro de descubrirán ya que los software's de computadora son hechos por personas y siempre en algún punto de su desarrollo tendrán alguna vulnerabilidad.

Si te gusto esta información no dudes en seguir el blog, espera una próxima entrada.

1 comentario:

  1. ◾PROTOCOL SHIELDERS◾
    HELLO,

    I am COREY RODRIGUEZ by name,
    the only GENERAL CEO of protocol-cyber-shield-hackers.
    In this message, we will explain how you can almost avoid SCAMMERS and stay safe, plus how our organization works.

    Read it carefully!!
    Its reading will not take more than 10mins.

    We kindly URGE you to not respond without have read the entire text. Those who mail without have read everything, ask questions that are answered here!!

    ⚠️WARNING:

    MOST HACKERS YOU SEE HERE ARE FAKES
    AND SIMULTANEOUSLY INCONGRUOUS !!.
    It tears US up as we have received bitter emails of Jobs attempts proposals from most clients with hacking issues but never got it done and lost a lot in the process,
    EXAMPLES OF LOSSES ARE:
    ➡️BINARY FUNDS,
    ➡️INVESTMENTS,
    ➡️LARGE SCALE FUNDS,
    ➡️PROPERTIES,
    ➡️STONES(JEWELRIES) etc....

    all scammed by uncertified and fake hackers SIMPLY TERMED as "IMPERSONATION" like most you see here,
    which is disappointingly inadequate,
    leaving their mess for us to deal with eventually (WE DON'T MEAN TO BRAG ABOUT THAT).

    SCAMMERS DON'T SHOW MERCY ON THEIR VICTIMS!
    BY THE TIME YOU KNOW IT,YOU'VE GONE TOO DEEP BEING RIPPED OFF THROUGH DIVERSE TRICKY MEANS,PLEASE BE WISE ENOUGH TO PAY ATTENTION TO THIS ARTICLE AS YOU READ THROUGH IT.
    HOW CAN YOU BE CAREFUL??

    You won't know until you fall Victim ,but can be attentive to potential danger, error or harm if you take note of these:

    1, you see uncertified email accounts carrying numberings like
    "iamhacklord1232@(gmail,yahoo or hotmailDOTcom"
    pls flee from them, BIG SCAMMERS.
    They take your money and never do your job!!

    2, you see posts like "do you need to spy on spouse?"
    All fake!
    just a way to lure you toward getting ripped OFF!.

    3, posting fake testimonies and comments to trick you into feeling save and secured.
    Pls endeavour to ignore!!

    🛑NOTE: beware as we urge you not to make respond to any "IVAN HONG,PETER SANTOS,MONICA HART...(impersonating with our post pretending to work for us)
    WE ONLY HAVE 2 EMAILS WHICH ARE LISTED BELOW THIS ARTICLE TO ATTEND TO YOU VARIOUS MANNER OF CYBER MISHAPS.

    ◾VERY IMPORTANT ◾

    For years now, We've helped organizations secure data base, so many sites USES US AS SECURITY BACK UP TEAM BECAUSE OF OUR METHODS OF HANDLING CYBER MISHAPS.
    🆗"CLEAR CRIMINAL RECORDS" 99%
    🆗"iPHONE HACK" 99%
    🆗"BINARY RETRIEVAL" 99% AND LOT MORE BEEN DONE IN SHORT TIMING!

    these are significant EXPERIENCES & RECORDS a good and effectively fully recognized organization must firmly ascertain.

    ◾OUR "AIMS" HERE ◾
    Are:
    1◾to assign a qualified agent of specific rank to particularly any sort of cyber issues you intend dealing with in short and accurate timing.

    2◾ to screen in real hackers (gurus only) in need of job with or without a degree, to speed up the availability of time given for Job contracts given to us.!!

    Thus an online binary decoding exam will be set for those who seeks employment under the teams Establishment.
    write us on:
    ◾ProtocolhacksATgmailDOTcom or
    ◾CybershieldnotchATgmailDOTcom

    COREY ROD,
    SIGNED...!
    Thank you!!!

    ResponderEliminar