Cómo evitar hackeo web

21 Ene Cómo evitar hackeo web

Posted at 16:58h in Seguridad Web by seguridadweb 0 Comments

0 Likes

Protegerse contra entradas malintencionadas
Como regla general, nunca se debe dar por sentado que la entrada proveniente de los usuarios es segura. A los usuarios malintencionados les resulta fácil enviar información potencialmente peligrosa desde el cliente a la aplicación. Para protegerse contra las entradas malintencionadas, siga estas instrucciones:
En las páginas Web ASP.NET, filtre la entrada de los usuarios para comprobar si existen etiquetas HTML, que pueden contener un script. Para obtener información detallada, vea Cómo: Proteger una aplicación Web frente a ataques mediante secuencias de comandos aplicando codificación HTML a las cadenas.
Nunca repita (muestre) entrada de los usuarios sin filtrar. Antes de mostrar información que no sea de confianza, codifique los elementos HTML para convertir cualquier script potencialmente peligroso en cadenas visibles, pero no ejecutables.
No almacene nunca información proporcionada por el usuario sin filtrar en una base de datos.
Si desea aceptar algún elemento de código HTML de un usuario, fíltrelo manualmente. En el filtro, defina explícitamente lo que aceptará. No cree un filtro que intente eliminar cualquier entrada malintencionada, ya que es muy difícil anticipar todas las posibilidades.
No dé por sentado que la información obtenida del encabezado de solicitud HTTP (en el objeto HttpRequest) es segura. Proteja las cadenas de consulta, cookies, etc. Tenga en cuenta que la información que el explorador envía al servidor (información del agente de usuario) puede ser suplantada, en caso de que resulte importante para la aplicación en cuestión.
Si es posible, no almacene información confidencial en un lugar accesible desde el explorador, como campos ocultos o cookies. Por ejemplo, no almacene una contraseña en una cookie.

Crear mensajes de error seguros
Si no se es cuidadoso, un usuario malintencionado puede deducir información importante sobre la aplicación a partir de los mensajes de error que ésta muestra. Siga estas instrucciones:
No escriba mensajes de error que presenten información que pudiera resultar útil a los usuarios malintencionados, como un nombre de usuario.
Configure la aplicación para que no muestre errores detallados a los usuarios. Si desea mostrar mensajes de error detallados para la depuración, determine primero si quien los recibirá es un usuario local con respecto al servidor Web. Para obtener información detallada, vea Cómo: Mostrar mensajes de error seguros.
Utilice el elemento de configuración customErrors para controlar quién ve las excepciones desde el servidor.
Cree un sistema de administración de errores personalizado para las situaciones que sean propensas a los errores, como el acceso a las bases de datos. Para obtener más información, vea Control de errores en aplicaciones y páginas ASP.NET.
Protegerse contra amenazas de denegación de servicio
Un modo indirecto en el que un usuario malintencionado puede comprometer una aplicación es haciendo que ésta no esté disponible. El usuario malintencionado puede mantener la aplicación demasiado ocupada como para que pueda servir a otros usuarios, o si puede simplemente bloquearla. Siga estas instrucciones:
Use un control de errores (por ejemplo, try-catch). Incluya un bloque final en el que se liberen los recursos si se produce un error.
Configure los servicios IIS para utilizar la regulación de procesos, que evita que una aplicación use una cantidad desproporcionada del tiempo de la CPU.
Compruebe los límites de tamaño de la entrada del usuario antes de usarla o almacenarla.
Incluya límites de tamaño para las consultas a las bases de datos. Por ejemplo, antes de mostrar los resultados de las consultas en una página Web ASP.NET, asegúrese de que no hay un número excesivo de registros.
Establezca un límite de tamaño para las cargas de archivos, si éstas forman parte de la aplicación. Puede establecer un límite en el archivo Web.config usando sintaxis como la siguiente, donde el valor maxRequestLength está en kilobytes:
<configuration>
<system.web>
<httpRuntime maxRequestLength=”4096″ />
</system.web>
</configuration>
Asimismo puede utilizar la propiedad RequestLengthDiskThreshold para reducir la sobrecarga de memoria de grandes cargas y devoluciones de formularios.
Comprueba la seguridad de tu sitio
Encuentra bugs, vulnerabilidades y otros errores.

Encuentra bugs, vulnerabilidades y otros errores.

Comprueba la seguridad de tu sitio web
Crear una página web y subirla online no es tarea fácil, aunque gracias a las herramientas actuales cada vez cuesta menos, en esfuerzo y dinero. Con ayuda de WordPress, Joomla o Drupal y de un servidor estándar gratuito, en cuestión de minutos habrás configurado tu propio sitio web, que podrás personalizar gracias a las plantillas disponibles, la mayoría muy logradas. Además, con ayuda de utilidades SEO podrás colocarla en una buena posición en cualquier buscador.
Pero es posible que no hayas pensado en todo, por ejemplo, en la seguridad de tu página web. Con el tiempo, es posible que olvides actualizar tu gestor de contenido, o simplemente no hayas activado las opciones pertinentes y tu sitio sea vulnerable a ciertos ataques, haciendo que se cuelgue o que deje de funcionar correctamente.
OCULTAR PUBLICIDAD
A continuación vamos a ver algunas herramientas de análisis que te servirán para comprobar la seguridad de tu página web, encontrando errores de diseño, vulnerabilidades y otros descuidos que podrás solventar para que tu site sea más estable. Son gratuitas, funcionan desde el navegador y te darán resultados muy completos en pocos minutos.

Ten en cuenta que solamente detectan los problemas. Para solucionarlos tendrás que activar las opciones correspondientes en tu CMS, instalar la última versión (incluyendo plugins y extensiones) o, si careces de conocimientos suficientes, optar por la ayuda de un profesional o de alguien más experimentado. Además, para afinar mejor los resultados es conveniente usar dos o más de estas herramientas y comparar resultados.

Observatory by Mozilla

Empezamos con Observatory, la herramienta que ofrece Mozilla de forma desinteresada. Los responsables de Firefox facilitan así esta tarea de análisis a desarrolladores, administradores de sistemas, profesionales de la seguridad y, en general, a cualquiera que tenga su propia página web y no pueda permitirse que ésta se caiga por un descuido en la seguridad.

Scan My Server

Uno de los buscadores de vulnerabilidades web más solventes y completos es Scan My Server, que analiza posible malware y vulnerabilidades SQL, PHP y XSS, entre otros.

Los resultados se muestran en forma de gráficos donde se categorizan los problemas de seguridad en función de su gravedad. También puntúa de 1 a 100 y con letras (de A a F) y muestra la lista de errores encontrados con una breve explicación.
Qualys FreeScan

Previo registro gratuito, Qualys FreeScan ofrece un informe muy extenso sobre vulnerabilidades encontradas organizadas por nivel de peligrosidad e la lista de errores encontrados con una breve explicación.

Para ello utiliza los parámetros del proyecto OWASP (Open Web Application Security Project) y el protocolo SCAP (Security Content Automation Protocol), dos estándares internacionales de seguridad y vulnerabilidades web.

Como aliciente, indica también los parches y actualizaciones necesarios para resolver los errores encontrados, muy práctico para corregir el problema por nuestra cuenta sin tener que consultar otra fuente.

Quttera Scan

Quttera ofrece asesoramiento y soluciones de seguridad web, y entre sus herramientas dispone también de un escáner de vulnerabilidades y malware, gratuito y compatible con la mayoría de CMS actuales, como WordPress, Drupal o Magento.

Con Quttera Scan obtendrás información sobre posibles archivos maliciosos que infecten tu página web y a quienes acceden a ella. El análisis toma su tiempo, pero los resultados te darán una idea en forma de informe detallado.

Sucuri SiteCheck

Otra buena opción para detectar posible malware, errores y software desactualizado es Sucuri SiteCheck, que también indica si tu página ha sido incluida en alguna lista negra de herramientas de seguridad como Norton, ESET o SiteAdvisor.

El análisis es gratuito, si bien ofrece soluciones a los problemas que encuentre a través de una suscripción mensual de pago que incluye limpieza de malware, monitorización, etc.

EL DESAFÍO DE AUMENTAR LA SEGURIDAD DE LAS APLICACIONES WEB
Seguridad de las aplicaciones web: descripción general de la situación

Los ataques en el nivel de aplicación plantean una amenaza común cada vez mayor a la seguridad de la web. Utilizan varios medios para paralizar y penetrar en un sitio web, con resultados que van desde la ralentización del rendimiento del sitio hasta filtraciones de datos e infraestructuras expuestas.

Varios objetivos

Los ataques de inyección y de nivel de aplicaciones web pueden afectar a diversos tipos de funcionalidades dentro de un sitio. Intentan atacar a la misma aplicación web o reenviar lógicas a la base de datos, donde realmente pueden poner en peligro la información almacenada dentro de la base de datos. Si almacena información confidencial en su sitio web, o tiene un sitio web que funciona como un mero sitio promocional, los ataques dirigidos a aplicaciones web pueden tener un impacto negativo tanto en el rendimiento de la actividad empresarial como en la marca en general.

Hay tres tipos principales de ataques:

Inyección SQL, donde las consultas falsas dirigidas a las bases de datos se utilizan para desbordar o infiltrarse en aplicaciones y bases de datos esenciales
Filtro de scripts de sitios (XSS), donde las vulnerabilidades del XSS permite a los atacantes introducir un script que se ejecuta en el navegador del usuario
Ejecución de archivos maliciosos, donde los atacantes son capaces de introducir datos y códigos hostiles mediante la explotación de la vulnerabilidad de una aplicación y la inclusión de un archivo remoto
¿Qué es un firewall de aplicaciones web?

Un firewall de aplicaciones web es una medida de seguridad aplicada entre un cliente web y un servidor web que realiza una “inspección en profundidad” de cada solicitud y respuesta de cada tipo común de tráfico web. Protege el servidor web frente a un ataque al identificar el tráfico anómalo o malicioso y, a continuación, aísla y bloquea ese tráfico para evitar que llegue al servidor.

Kona Site Defender ofrece protección contra los ataques dirigidos a aplicaciones web

Kona Site Defender es una capa de defensa de amplio espectro que incorpora un completo firewall de aplicaciones web (WAF) basado en tecnología exclusiva patentada que proporciona a los clientes una protección altamente escalable contra los ataques dirigidos a aplicaciones web. El firewall de aplicaciones web de Akamai, implantado en línea en toda la plataforma distribuida mundialmente de Akamai de decenas de miles de servidores, ayuda a detectar y detener las amenazas en el tráfico HTTP y HTTPS por medio de la emisión de alertas o el bloqueo del tráfico de ataque cerca de la fuente, antes de que llegue al origen del cliente.

Protección en el perímetro: ventajas clave

Las soluciones basadas en la nube como Kona Site Defender y el firewall de aplicaciones web son eficaces por varias razones. En primer lugar, porque se despliegan en el perímetro en lugar de en el centro de datos del host, y son capaces de identificar y mitigar el tráfico sospechoso sin afectar al rendimiento ni la disponibilidad del servidor de origen. En segundo lugar, porque se ejecutan en una plataforma sólida y global, y pueden ajustar la escala instantáneamente para gestionar los picos en el tráfico malicioso cada vez más común. Por último, las soluciones basadas en la nube pueden ofrecer una protección significativamente mejorada sin necesidad de invertir en nuevas infraestructuras de seguridad de TI, lo que contribuye a contener los gastos.

Productos de seguridad web

Este tipo de soluciones permiten proteger la conectividad web en todos los dispositivos, usuarios y ubicaciones, lo que defiende a las organizaciones de las amenazas sofisticadas. Al reunir el filtrado web, la inspección del contenido, el antivirus, antimalware zero-day, inspección de SSL, prevención de fuga de datos y tener una amplia capacidad de integración, nuestra cartera cuenta con una solución integral disponible de forma local, como servicio en la nube o híbrida.

McAfee Web Protection
Combine la seguridad y control web avanzados con la flexibilidad de implantación. Tanto si busca el control que ofrece una solución local con McAfee Web Gateway, la facilidad de administración basada en la nube con McAfee Web Gateway Cloud Service, o una combinación híbrida de ambas, McAfee Web Protection permite desplegar la seguridad web de la forma que mejor se adapte a sus necesidades.

McAfee Web Gateway
Se puede desplegar localmente con appliances o en entornos virtuales para contar con una protección potente y proactiva frente a las amenazas zero-day, el spyware y los ataques selectivos. McAfee Web Gateway combina esta seguridad avanzada con el control diferenciado y flexible, lo que permite a las empresas aprovechar al máximo la Web sin exponerse a ningún riesgo.

McAfee Web Gateway Cloud Service
Elimina las restricciones de la seguridad web en red conectando a los usuarios desde cualquier dispositivo o ubicación a Internet a través de nuestra nube, manteniendo la protección donde quiera que vayan.
medidas de seguridad que debes adoptar para evitar que hackeen tu web
Todo sitio web está expuesto a las inclemencias y riesgos de la red. Todo sitio web corre el riesgo de ser hackeado, aunque sea una web desconocida, aunque lo tengas todo actualizado hasta la última versión, aunque lo hayas puesto en marcha hace 10 días, …

Nosotros, como proveedor de hosting, implementamos infinidad de medidas de seguridad para minimizar al máximo el riesgo de que tu web sea hackeada. Aún así, el riesgo siempre está allí.

Que un intruso consiga modificar tu web, que envíe SPAM a través de la misma o que aloje una web de phishing en la misma son algunas de las acciones más habituales. Nuestra labor y la tuya consiste en reducir al máximo la posibilidad de que eso ocurra.
1 – Usa contraseñas complejas
El número de usuarios que usan contraseñas como 12345, qwertyuiop, su propio nombre de pila, el nombre del dominio o el nombre de su empresa es enorme. Usando este tipo de contraseñas el riesgo de tu web o cuenta de correo sea hackeada es muy grande.

Debes definir contraseñas complejas en todos los sitios: FTP, correo, el gestor de contenidos de tu web, etc. Una contraseña compleja es 6y&.TrE$1Dp%aBpFd, cualquier contraseña de la que puedas acordarte fácilmente no es una buena contraseña.

Con el objetivo de facilitarte esta tarea, es decir, la asignación de contraseñas complejas, hemos implementado un mecanismo en nuestro Panel de Hosting y cPanel, el cual impide que definas contraseñas fáciles de adivinar.
2 – Mantén actualizado el gestor de contenidos de tu web
Hoy en día la mayoría de sitios web hacen uso de algún gestor de contenidos como WordPress, Joomla, Moodle, Prestashop, … Son herramientas fantásticas pero el hecho de que sean tan usadas incrementa el número de intrusos intentando acceder a ellas.

Cualquier gestor de contenidos que no este actualizado está en riesgo, ya que seguramente tendrá agujeros de seguridad conocidos y que pueden ser aprovechados por terceras personas para hackear tu web.

Por ello, si usas un gestor de contenidos en tu web debes actualizarlo constantemente. Hacerlo no es difícil y te puede ahorrar más de un disgusto.

Por suerte contáis con la fantástica herramienta Softaculous, que está incluida en todos nuestros servicios de hosting, que os permite actualizar fácilmente cualquier aplicación que hayáis instalado.

3 – Desinstala el software de tu web que no uses
Es tan fácil instalar aplicaciones con Softaculous, instalar un nuevo plugin en WordPpress o instalar una extensión en Joomla, que muchos sitios web terminan llenos de software que no usáis para nada.

Todo software puede ser vulnerable a ataques, por tanto, cuanto menos tengas mejor. ¡Haz una limpieza de tu web ahora mismo!

4 – Mantén tu ordenador personal actualizado
Esta es una de las medidas más efectivas, ya que un altísimo porcentaje de los robos de contraseña e intrusiones tienen su origen en malware o virus existente en los ordenadores de lo usuarios.

Mantener tu ordenador actualizado no es difícil. Solo es cuestión de que aceptes todas las actualizaciones que te sugiere tu propio ordenador. El software que necesariamente debes mantener actualizado es el propio sistema operativo (Windows, OSX, Linux, …) de tu ordenador, Java, Adobe Flash y Adobe Reader.

5 – Usa protocolos de comunicación seguros
Si usas protocolos de comunicación no cifradas corres el riesgo de que un tercero capture tus contraseñas. Empezar a usar protocolos cifrados en lugar de los no cifrados es muy sencillo, sólo tienes que cambiar algunos hábitos:

No uses FTP si puedes usar SCP o SFTP. Hoy en día todos los clientes FTP soportan SCP o SFTP, por tanto, úsalos.
Activar SSL/TLS en tu cliente de correo, tanto para el servidor de correo entrante como para el saliente.

Ataques “springboard”

Las pequeñas empresas tampoco son inmunes al espionaje. Las empresas con poca protección son cada vez más a menudo el trampolín (springboard) a ataques más importantes contra organizaciones más grandes de las cuales son proveedores.

Por ejemplo, un intruso podría robar información y archivos personales relacionados con uno de sus grandes clientes para crear un correo electrónico perfectamente diseñado y dirigido a un miembro de esta organización (esto se conoce como “ingeniería social”). Su sitio web o aplicación podría también usarse para facilitar la instalación de malware en las computadoras de una organización específica que se sabe utiliza el sitio o la aplicación. Esto se consigue al inyectar códigos en su sitio web para redirigir al usuario a un sitio diferente, que luego infecta la computadora de destino (lo que se conoce como un ataque watering hole).

21 Ene Cómo evitar hackeo web

No Comments

Post A Comment