Platzi
Platzi

¡Invierte en ti y celebremos! Adquiere un plan Expert o Expert+ a precio especial.

Antes:$349
$259
Currency
Antes:$349
Ahorras:$90
COMIENZA AHORA
136

5 formas en que pueden hackear tu sitio web y cómo evitarlo

3604Puntos

hace 11 días

Curso de Pentesting a Redes
Curso de Pentesting a Redes

Curso de Pentesting a Redes

Evalúa la seguridad de tu infraestructura de red para identificar puntos débiles y robustecerla. Identifica cómo funcionan varios ataques a protocolos de red, de servicio y de ingeniería social. Configura herramientas para realizar pruebas de seguridad. Elabora reportes para compartir tus hallazgos y acciones con personal no técnico.

Tu sitio web no está libre de ser vulnerable a ataques malintencionados. En el mundo todos los días hay incidentes ya sea por que eres el objetivo o por que caíste en un ataque aleatorio automatizado para buscar fallas de seguridad, sin importar que tengas un sitio de e-commerce o un sitio web para una pequeña empresa, existe el riesgo de un posible ataque.

Según el reporte de violación de datos de verizon el 85% de las fugas están relacionadas con un elemento humano, ya sea por una mala configuración o por que hay un phishing de por medio. Por eso es importante saber a que te enfrentas y cuáles son los ataques más comunes.

Aunque estos en su mayoría son específicos a la tecnología puedes proteger tu sitio para mitigar el riesgo.

DBIR Patterns.png
Patrones para categorizar los incidentes de seguridad y las violaciones de datos que comparten características similares - Verizon

Ahora vamos a revisar los 5 ataques web más comunes (Basic web application attacks) según las categorías del proyecto OWASP Top 10 (The Open Web Application Security Project) y como puedes mitigar el riesgo.


1. Cross-Site Scripting (XSS)

Es un tipo de vulnerabilidad de los sitios web que permite que los atacantes inyecten secuencias de comandos maliciosos por medio de secuencias de comandos en sitios cruzados. Los hackers pueden redirigir a otro sitio a los usuarios para robar información mediante phishing o hacer que se descargue algún malware que se ejecute en el sistema.

Como proteges tu sitio web ante XSS:

  • Configura un WAF (web application firewall) que actúa como un filtro que identifica y bloquea cualquier solicitud maliciosa a tu sitio web. Muchos hosting ya cuentan con este tipo de servicios.

Cómo te proteges como usuario:

  • Contar con una solución de seguridad actualizada para que te proteja ante la ejecución de alguna aplicación maliciosa sin tu consentimiento, también puedes instalar un complemento en el navegador para que que bloquee los scripts.
  • Usar navegadores que cuenten con filtros de seguridad para que reaccionen ante alguna redirección sospechosa.

Definición OWASP

2. Injection Attacks

Este ataque se basa en la inyección de código en el sitio con el fin de generar una fuga de información, el más popular es el de tipo SQL ya que ataca directamente a las bases de datos con información sensible. Cuando se ejecuta, el atacante inserta un fragmento de código que revela datos ocultos y entradas del usuario, permite la modificación de datos y, en general, compromete la aplicación.

Como proteges tu sitio web ante ataques de inyección

  • Siempre filtra los campos de entrada con listas blancas, es decir especifica que datos aceptas en el campo explícitamente
  • Utilizar siempre consultas parametrizadas o procedimientos almacenados para crear consultas dinámicas

Unsuccessful HTTP response
An example of a get request for the CNN website Source

Definición OWASP

3. Path (or Directory) Traversal

Este tipo de vulnerabilidad no es tan común como el XSS y las inyecciones de código, pero sigue siendo una amenaza considerable para cualquier aplicación web. Los ataques al directorio o al Path (/) tienen como objetivo la carpeta raíz web para acceder a archivos o directorios no autorizados fuera de la carpeta de destino.

Un hacker intenta inyectar patrones de movimiento dentro del directorio del servidor para ascender en la jerarquía, en caso de ser exitoso puede comprometer el acceso al sitio, los archivos de configuración, las bases de datos y otros sitios web y archivos en el mismo servidor físico.

Cómo proteges tu sitio web ante Path Traversal:

  • Siempre filtra los campos de entrada con listas blancas antes de que llegue el request al servidor (input sanitization)
  • Accede a los datos del servidor por medio de llamados tipo API

Definición OWASP

arnold-francisca-f77Bh3inUpE-unsplash.jpg

4. Distributed Denial-of-Service (DDoS)

Un ataque de denegación de servicio es cuando un atacante envía una enorme cantidad de tráfico a un sitio web en un intento de sobrecargar el servidor para interrumpir e incluso tumbar el servicio. Estos los hay de dos tipos simétricos y asimétricos, la diferencia es la cantidad de recursos que se utilizan para ejecutarlos. De este tipo de ataque no hay fuga de información y lo único que buscan es afectar la reputación del servicio.

Cómo proteges tu sitio web ante DDoS:

  • Mitigar el tráfico por medio de un CDN (Content Delivery Network)
  • Mantener actualizados todos los recursos que utilizas en tus sistemas
  • Utilizar un balanceador de carga y tener recursos escalables a tu disposición en momentos importantes
  • Es este caso también un WAF puede ayudar a mitigar este tipo de ataques

Definición OWASP

5. Brute force attack

Los ataques de Fuerza bruta son el pan de cada día de los atacantes, ya que esta técnica es muy simple de automatizar por medio de diccionarios y es la que mayor fuga de información sensible genera cuando funciona, pero la buena noticia es que también es muy simple de mitigar del lado del servidor y de los usuarios.

Este ataque no es mas que una combinación de usuarios y contraseñas donde el atacante intenta adivinar credenciales correctas, un trabajo de paciencia pero con los recursos adecuados el tiempo puede ser menor.

Como proteges tu sitio web ante un ataque de fuerza bruta

  • Limitar el máximo de request desde una misma IP:
    • Cuando hay más de 300 request desde una misma IP es sospechoso
  • Utilizar desafíos tipo CAPTCHA en los formularios de entrada como el login.
  • Implementar mecanismos de doble autenticación (2FA) o autenticación federada.

Definición OWASP


shamsudeen-adedokun-VH9DjmiQ_VY-unsplash (1).jpg

Ataques en los sitios web hay muchos y se pueden presentar de diversas formas, es por eso que debemos estar conscientes de ellos y mitigarlos en su mayoría.

Aun así, nunca podremos estar 100% seguros ya que todos los días reportan vulnerabilidades de día cero que afecta muchos sistemas y muchas veces estos ataques son exitosos porque descubren componentes desactualizados con vulnerabilidades conocidas que permiten tomar control de la información.

No olvides que en Platzi tenemos toda una escuela de seguridad informática 🔐 donde puedes aprender más sobre este tipo de ataques.

Curso de Pentesting a Redes
Curso de Pentesting a Redes

Curso de Pentesting a Redes

Evalúa la seguridad de tu infraestructura de red para identificar puntos débiles y robustecerla. Identifica cómo funcionan varios ataques a protocolos de red, de servicio y de ingeniería social. Configura herramientas para realizar pruebas de seguridad. Elabora reportes para compartir tus hallazgos y acciones con personal no técnico.
Paula
Paula
pauveelez

3604Puntos

hace 11 días

Todas sus entradas
Escribe tu comentario
+ 2
Ordenar por:
4
17515Puntos

Wow, no sabia que la ingeniería social representaba mas de un tercio del total de causas de fugas de datos. Es un numero impresionante y alarmante a la vez, hay que ser precavido en ese sentido.
Los consejos que das de como protegerse como usuario es información muy valiosa que todos deberíamos tener en cuenta.

Muchas gracias Paula!!!

2
2462Puntos
11 días

En los cursos de platzi mencionan esta frase que me parece maravillosa

"una cadena es tan fuerte como su eslabón más debil"
1
3604Puntos
10 días

El factor humando en los ataques más famosos y costosos de la historia siempre juega un papel importante.

Pronto sacare un blog con mas datos sobre Phishing

2

En el 4 donde dice utilizar un balanceador de carga y tener recursos escalables a tu disposición en momentos importantes, debes identificar el trafico si es real, por que si lo dejas que el balanceador haga su chamba te va a salir una buena factura de servidores, no lo veo como una solución.

1
3604Puntos
10 días

Es una solución en momentos críticos y siempre como Plan B si lo tienes monitoreado y con buenas reglas puedes evitar la factura costosa, pero tienes razón el riesgo existe

2
2003Puntos

Wow, que interesante para tenerlo en cuenrta.

2
2003Puntos

Wow, que interesante para tenerlo en cuenrta.

2
114Puntos

Bien interesantes informaciones

2
2372Puntos

Alguien me quiera hacer su beneficiario para pagar mitad mitad? estoy llevando unos cursos, y ya no cuento con el dinero para renovar mi plan de expert +, podriamos pagar mitad mitad quiza, me manda un mensaje al interno, gracias.

2
2893Puntos

Hola, ¿alguna recomendación de curso en Platzi o buena guía práctica para gestión de seguridad en sitios web sobre Wordpress? ¡Gracias!

2
2113Puntos

muy interesante , gracias por el post

2
11118Puntos

Excelente info.

2
104Puntos

Bastante interesante ver como se las arreglan para hacer sus fechorías

2

Te falto ocultar la versión de cms y librerías que se usen, ya que pueden usar las vulnerabilidades reportadas en los foros de las comunidades correspondientes.

1
2462Puntos
11 días

Supongo que aunque es una de las principales preocupaciones de un desarrollador (o debería) y tiene organizaciones enteras dedicadas a esto (como la CVE), no es lo suficientemente dañino ni común como este top 5 que mencionan

2
3604Puntos
10 días

La fuga de información en headers y cookies es el pan de cada día, perfecto para empezar la fase de reconocimiento.

Lo tenia en la lista y lo olvide gracias por recordármelo va justo en el 1, el 2 y el 4

1
9 días

También los propios lenguajes hay que actualizar, como es el caso que algunos usan PHp 5.6.

2
6336Puntos

De las principales fallas que he visto es la de no especificar el tipo de dato a recibir en los campos de los formularios y peor aun con aquellos que te permiten adjuntar archivos, muy buenos tips ❤️

1
3604Puntos
7 días

Y lo mejor es que son tips muy fáciles de implementar.

1
388Puntos

¡¡Gracias por la información!! 💚