Cómo evitar los ataques web más comunes

@pedroruizhidalg― Los ataques a web más comunes son fácilmente evitables mediante la adopción de ciertas técnicas sencillas y sistemáticas. Estos ataques, generalmente, entran vía formularios, donde paradójicamente es la misma web quien solicita datos y deja pasar el malware.

Valida siempre en cliente-servidor

Los formularios validados en JavaScript son espectaculares en cuanto a su usabilidad. No cabe duda, ya que en tiempo real nos muestra el error con una amplia variedad de acciones por parte del programa: cambiando de color el campo, indicándolo en una zona destinada a tal efecto, etcétera. Si embargo el código JavaScript se ejecuta en el cliente, con lo que confiar exclusivamente en la validación JavaScript es como pensar que todo el mundo es bueno y confiar que nadie te va a incluir ningún dato inválido.

La validación definitiva (doble validación si se prefiere) debe ser siempre ejecutada en el lado servidor, ya que en el servidor es mucho más compicado la admisión de datos inválidos.

El ataque XSS

Este ataque se caracteriza por la “inyección” de código ejecutable entre los datos de formulario web. Supongamos que en un formulario, en un campo apellidos se teclea en lugar de apellidos el siguiente código:

javascript:while(1)alert("Esta web no tiene seguridad XSS");

Cada vez que la web muestre “apellidos” aparecerá un mensaje emergente con el texto de nuestra elección. No profundizo más en este asunto por razones fácilmente comprensibles. Pero añadiré que no es difícil inyectar código en las web que no implementan seguridad XSS entre sus medidas.

El ataque CSRF

Una buena parte de la programación de una web está dedicada a crear un buen procedimiento de captura de datos. Para ello se crea un estructura que analiza y discrimina los formularios tal y como los espera encontrar nuestro programa. Sin embargo nada nos garantiza que el formulario que los emite resida en un ordenador externo a nuestro servidor.

En otras palabras, el atacante replica nuestro formulario y nos inunda de datos que previamente no han pasado por nuestro “circuito” y procedimientos. Aún con un filtro XSS, si no cuidamos esta vulnerabilidad es posible (a la vez que muy fácil) crear un formulario que envíe datos aleatorios al sitio atacado.
#aboutpedroruizhidalgo

[polldaddy poll=9120832]
♻ miotroblogsite ahorra papel