Seguridad Ataques Web

Porque cuando programamos no pensamos en la seguridad. Por desconocimiento ? o creemos que ya esta solucionado? o decimos a nosotros no nos pasa?. Es un grave error pensar así, es tarea del desarrollador pensar que la aplicación puede tener estas vulnerabilidades 

Top 10 de Ataques

Aquí listamos los 10 ataques más detectados en el año 2013 según OWASP.

• Inyección de SQL 
• Pérdida de Autenticación y gestión de sesiones 
• Secuencia de comandos en sitios cruzados (XSS) 
• Referencia directa insegura a objetos 
• Configuración de Seguridad incorrecta 
• Ausencia de datos sensibles 
• Ausencia de control de acceso a funciones 
• Falsificación de petición en sitios cruzados (CSRF) 
• Utilización de componentes con vulnerabilidades conocidas 
• Redirecciones y reenvíos no validados

Demostraciones

• Fuerza Bruta
• Command Execution
• Sql Inyection
• CSRF
• XSS Almacenado
• Sql Injection Blind
• XSS Reflected

Vulnerabilidades en empresas importantes

Movistar: Expuso movimientos de lineas

El incidente fue reportado por un estudiante de ingeniería en informática de la UBA; la vulnerabilidad, que está siendo analizada por la compañía, permitía acceder al registro de actividades de cualquier línea de la operadora.

Cualquier usuario con acceso a la página de consultas online.movistar.com.ar podía tener acceso al registro de cualquier otro cliente de la compañía.

Alcanzaba con tener un usuario y contraseña de Movistar y tipear la dirección :
https://online.movistar.com.ar/services/movimientoServlet?fechaDesde=14042014&fechaHasta=14042014&categoria=&orden=0&numeroLinea=XXXXXXXXXX
para acceder a todos los movimientos de una línea determinada.