Tu sitio web no está libre de ser vulnerable a ataques malintencionados. En el mundo, todos los días hay incidentes de ciberseguridad, ya sea porque eres el objetivo o porque caíste en un ataque aleatorio automatizado para buscar fallas de seguridad, sin importar que tengas un sitio de e-commerce o un sitio web para una pequeña empresa, existe el riesgo de un posible ataque.
Según el reporte de violación de datos de verizon el 85% de las fugas están relacionadas con un elemento humano, ya sea por una mala configuración o por que hay un phishing de por medio. Por eso es importante saber a que te enfrentas y cuáles son los ataques más comunes.
Aunque estos en su mayoría son específicos a la tecnología puedes proteger tu sitio para mitigar el riesgo.
Patrones para categorizar los incidentes de seguridad y las violaciones de datos que comparten características similares - Verizon
Ahora vamos a revisar los 5 ataques web más comunes (Basic web application attacks) según las categorías del proyecto OWASP Top 10 (The Open Web Application Security Project) y como puedes mitigar el riesgo.
1. Cross-Site Scripting (XSS)
Es un tipo de vulnerabilidad de los sitios web que permite que los atacantes inyecten secuencias de comandos maliciosos por medio de secuencias de comandos en sitios cruzados. Los hackers pueden redirigir a otro sitio a los usuarios para robar información mediante phishing o hacer que se descargue algún malware que se ejecute en el sistema.
Como proteges tu sitio web ante XSS:
- Configura un WAF (web application firewall) que actúa como un filtro que identifica y bloquea cualquier solicitud maliciosa a tu sitio web. Muchos hosting ya cuentan con este tipo de servicios.
Cómo te proteges como usuario:
- Contar con una solución de seguridad actualizada para que te proteja ante la ejecución de alguna aplicación maliciosa sin tu consentimiento, también puedes instalar un complemento en el navegador para que que bloquee los scripts.
- Usar navegadores que cuenten con filtros de seguridad para que reaccionen ante alguna redirección sospechosa.
2. Injection Attacks
Este ataque se basa en la inyección de código en el sitio con el fin de generar una fuga de información, el más popular es el de tipo SQL ya que ataca directamente a las bases de datos con información sensible. Cuando se ejecuta, el atacante inserta un fragmento de código que revela datos ocultos y entradas del usuario, permite la modificación de datos y, en general, compromete la aplicación.
Como proteges tu sitio web ante ataques de inyección
- Siempre filtra los campos de entrada con listas blancas, es decir especifica que datos aceptas en el campo explícitamente
- Utilizar siempre consultas parametrizadas o procedimientos almacenados para crear consultas dinámicas
An example of a get request for the CNN website Source
3. Path (or Directory) Traversal
Este tipo de vulnerabilidad no es tan común como el XSS y las inyecciones de código, pero sigue siendo una amenaza considerable para cualquier aplicación web. Los ataques al directorio o al Path (/) tienen como objetivo la carpeta raíz web para acceder a archivos o directorios no autorizados fuera de la carpeta de destino.
Un hacker intenta inyectar patrones de movimiento dentro del directorio del servidor para ascender en la jerarquía, en caso de ser exitoso puede comprometer el acceso al sitio, los archivos de configuración, las bases de datos y otros sitios web y archivos en el mismo servidor físico.
Cómo proteges tu sitio web ante Path Traversal:
- Siempre filtra los campos de entrada con listas blancas antes de que llegue el request al servidor (input sanitization)
- Accede a los datos del servidor por medio de llamados tipo API
4. Distributed Denial-of-Service (DDoS)
Un ataque de denegación de servicio es cuando un atacante envía una enorme cantidad de tráfico a un sitio web en un intento de sobrecargar el servidor para interrumpir e incluso tumbar el servicio. Estos los hay de dos tipos simétricos y asimétricos, la diferencia es la cantidad de recursos que se utilizan para ejecutarlos. De este tipo de ataque no hay fuga de información y lo único que buscan es afectar la reputación del servicio.
Cómo proteges tu sitio web ante DDoS:
- Mitigar el tráfico por medio de un CDN (Content Delivery Network)
- Mantener actualizados todos los recursos que utilizas en tus sistemas
- Utilizar un balanceador de carga y tener recursos escalables a tu disposición en momentos importantes
- Es este caso también un WAF puede ayudar a mitigar este tipo de ataques
5. Brute force attack
Los ataques de Fuerza bruta son el pan de cada día de los atacantes, ya que esta técnica es muy simple de automatizar por medio de diccionarios y es la que mayor fuga de información sensible genera cuando funciona, pero la buena noticia es que también es muy simple de mitigar del lado del servidor y de los usuarios.
Este ataque no es mas que una combinación de usuarios y contraseñas donde el atacante intenta adivinar credenciales correctas, un trabajo de paciencia pero con los recursos adecuados el tiempo puede ser menor.
Como proteges tu sitio web ante un ataque de fuerza bruta
- Limitar el máximo de request desde una misma IP:
- Cuando hay más de 300 request desde una misma IP es sospechoso
- Utilizar desafíos tipo CAPTCHA en los formularios de entrada como el login.
- Implementar mecanismos de doble autenticación (2FA) o autenticación federada.
Ataques en los sitios web hay muchos y se pueden presentar de diversas formas, es por eso que debemos estar conscientes de ellos y mitigarlos en su mayoría.
Aun así, nunca podremos estar 100% seguros ya que todos los días reportan vulnerabilidades de día cero que afecta muchos sistemas y muchas veces estos ataques son exitosos porque descubren componentes desactualizados con vulnerabilidades conocidas que permiten tomar control de la información.
No olvides que en Platzi tenemos toda una escuela de ciberseguridad🔐 donde puedes aprender más sobre este tipo de ataques.
Curso de Pentesting a Redes
