Seguridad A.J.A.X.


Billy Hoffman dio una charla sobre seguridad AJAX “avanzada” en la pasada conferencia de Google Web Toolkit. Hoffman gestiona los Laboratorios de Seguridad de HP, que fuera SPIDynamics hasta que HP la comprara este año. Él se centra en el descubrimiento automatizado de las vulnerabilidades de aplicaciones Web y las tecnologías de Web Crawling. Su investigación incluye áreas tales como web sampling, el análisis estático de JavaScript, y cross-site scripting (XSS). Sin embargo, menciona que XSS no es necesario para el hacking AJAX; hay varias frutas más bajas que cuelgan.

En su charla, Hoffman mostró avanzados ataques contra aplicaciones AJAX, incluyendo la manipulación de la lógica del lado cliente, derrotando técnicas de protección de lógica, hijacking de funciones, hijacking de JSON (JavaScript Object Notation), hijacking y ataques de denegación de servicio (DOS). Discutió la susceptibilidad de las aplicaciones GWT a éste tipo de ataques y comparó las características de seguridad de GWT a la de otros frameworks AJAX, tales como Prototype y Dojo. Terminó hablando acerca del hacking a Google Gears, una extensión del navegador de código abierto que permite a los desarrolladores crear aplicaciones Web que se pueden ejecutar fuera de línea.

En general, Hoffman dice que si se quieren aplicaciones AJAX seguras se tienen que hacer seis cosas:

  • Realizar verificaciones de autenticación / autorización tanto en las páginas Web como en los Servicios Web
  • Agrupar las bibliotecas de código por función
  • Validar todas las entradas de la aplicación, incluidas las cabeceras HTTP, cookies, cadenas de consulta y datos POST
  • Verificar el tipo, la longitud y el formato de los datos
  • Siempre utilizar consultas parametrizadas
  • Siempre codificar (encode) apropiadamente la salida

De hecho nada nuevo, las prácticas de siempre, pero mas sin embargo muchos no las conocen y/o no las siguen…

Leer la nota completa en: Advanced AJAX Security.

Acerca de Willy Mejia

Developer, Techie, Human... http://about.me/willyxoft
Esta entrada fue publicada en .NET, Informática e Internet, Java, Seguridad. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s