INFORMACIÓN EN ESTE CAPÍTULO:• Resumen del libro y puntos clave de aprendizaje• Audiencia de libros• Cómo está organizado este libro• A dónde ir desde aquíElija su cliché o metáfora favorita que haya escuchado sobre la Web. El aforismopodría describir genéricamente la seguridad web o evocar una imagen mental de las amenazas que enfrentapor y que emana de sitios web. Este libro intenta iluminar los caprichos deSeguridad web abordando ocho grupos de debilidades y vulnerabilidades de seguridadmás comúnmente explotado por piratas informáticos. Algunos de los ataques sonarán muy familiares.Otros ataques pueden ser inesperados o parecer desconocidos simplemente porque noadornar una lista de los 10 mejores ni hacer titulares. Los atacantes pueden optar por el mínimo comúndenominador, que es la razón por la que vulnerabilidades como secuencias de comandos entre sitios e inyección SQLatraen tanta atención, tienen una desafortunada combinación de omnipresenciay facilidad de explotación. Los atacantes decididos pueden apuntar a ambigüedades en el diseñode los flujos de trabajo o suposiciones de un sitio: explotaciones que resultan en una ganancia financiera significativaque pueden ser específicos de un solo sitio, pero dejan algunos de los signos reveladores de compromisomise que los ataques más brutales como la inyección de SQL hacen.En la Web, la información es igual a dinero. Claramente, las tarjetas de crédito tienen valor para piratearers; Han aparecido sitios clandestinos de "tarjetas" que tratan con tarjetas robadas; completarcon foros, comentarios de los usuarios y valoraciones del vendedor. Sin embargo, nuestra información personal,palabras, cuentas de correo electrónico, cuentas de juegos en línea, etc., tienen valor para lacomprador adecuado, sin mencionar el valor que personalmente damos a mantener tales cosas en privado.Considere los reinos turbios del espionaje económico y la red patrocinada por el estadoataques que tienen la atención popular y grandes reclamos, pero una escasez de público confiableinformación. (No es que le importe a la seguridad web que la "guerra cibernética" exista o no; enese tema nos importa más WarGames y Wintermute para este libro.) Es posiblepara mapear casi cualquier estafa, trampa, truco, artimaña y otros sinónimos del mundo realconflicto entre personas, empresas y países a un ataque análogo ejecutadoEn la red. No hay falta de motivación para intentar obtener acceso ilícito a la riqueza.de información en la Web, ya sea por gloria, país, dinero o pura curiosidad.
RESERVA RESUMEN Y PUNTOS CLAVE DE APRENDIZAJECada uno de los capítulos de este libro presenta ejemplos de diferentes ataques contra la Web.aplicaciones. Se explora la metodología detrás del ataque y se muestra suimpacto potencial. Un impacto puede afectar la seguridad de un sitio o la privacidad de un usuario.Es posible que un hack ni siquiera se preocupe por comprometer un servidor web,centrarse en el navegador. La seguridad web afecta tanto a las aplicaciones como a los navegadores. Despuéstodo, ahí es donde está la información.Luego, el capítulo pasa a explicar posibles contramedidas para diferentesaspectos del ataque. Las contramedidas son una bestia engañosa. Es importante comprenderReconozca cómo funciona un ataque antes de diseñar una buena defensa. Es igualmente importantecomprender las limitaciones de una contramedida y cómo otras vulnerabilidades puedenevitarlo por completo. La seguridad es una propiedad emergente del sitio web; no es una sumamación de protecciones individuales. Algunas contramedidas aparecerán varias veces,otros hacen sólo una breve aparición.RESERVAR AUDIENCIACualquiera que utilice la Web para consultar su correo electrónico, comprar o trabajar se beneficiará de sabercómo la información personal en esos sitios podría verse comprometida o cómo los sitiosalbergar contenido malicioso. La mayor carga de seguridad recae en los desarrolladores de un sitio.Los usuarios también tienen su propio papel que desempeñar. Especialmente en términos de mantener unnavegador de fechas, tenga cuidado con las contraseñas y desconfíe de los ataques no técnicoscomo la ingeniería social.Los desarrolladores de aplicaciones web y los profesionales de la seguridad se beneficiarán de la tecnologíaDetalles técnicos y metodología detrás de los ataques web cubiertos en este libro. El primeroLos pasos para mejorar la seguridad de un sitio son comprender las amenazas a una aplicación.y las malas prácticas de programación conducen a debilidades de seguridad que conducen ahabilidades que conducen a millones de contraseñas que se roban de datos no cifradosTienda. Además, varios capítulos se sumergen en contramedidas efectivas independientes de lalenguajes de programación o tecnologías que sustentan un sitio específico.La gerencia de nivel ejecutivo se beneficiará de comprender las amenazas a una Websitio y, en muchos casos, cómo un simple truco, que no requiere más herramientas que un navegadory un cerebro: impacta negativamente en un sitio y sus usuarios. También debería ilustrar que inclusoAunque muchos ataques son simples de ejecutar, las buenas contramedidas requieren tiempo yrecursos para implementar correctamente. Estos puntos deben proporcionar argumentos sólidos paraAsignar fondos y recursos a la seguridad de un sitio para proteger la riqueza deinformación que administran los sitios web.Este libro asume cierta familiaridad básica con la Web. Ataques de seguridad webmanipular el tráfico HTTP para inyectar cargas útiles o aprovechar las deficiencias en elprotocolo. También requieren comprender HTML para manipular formularios oinyectar código que ponga el navegador a merced del atacante. Este no es un requisito previopara comprender los trazos generales de un pirateo o aprender cómo los piratas informáticos comprometen
ESTÁS LEYENDO
Hackear aplicaciones web
Non-FictionDetectar y prevenir WebProblemas de seguridad de la aplicación
