¿Qué es la seguridad de la aplicación?

La seguridad de la aplicación abarca las medidas tomadas a lo largo del ciclo de vida del código para evitar lagunas en la política de seguridad de una aplicación o el sistema subyacente a través de fallas en el diseño, desarrollo, implementación, actualización o mantenimiento o base de datos de la aplicación. Las aplicaciones solo controlan el tipo de recursos que se les otorgan, y no qué recursos se les otorgan, ellas, a su vez, determinan el uso de estos recursos por parte de los usuarios de la aplicación a través de la seguridad de la aplicación.

Si revisara y analizara los principales problemas de seguridad en muchas aplicaciones web, vería un patrón de problemas. Al organizar estos problemas en categorías, puede abordarlos sistemáticamente. Estas áreas problemáticas son las categorías de vulnerabilidad de su aplicación.

Categorías de vulnerabilidad de aplicación

¿Qué mejor manera de medir la seguridad de un sistema que evaluar sus puntos débiles potenciales? Para medir la resistencia de seguridad de su aplicación, puede evaluar las categorías de vulnerabilidad de la aplicación. Cuando hace esto, puede crear perfiles de seguridad de aplicaciones y luego usar estos perfiles para determinar la fortaleza de seguridad de una aplicación.

Estas categorías se utilizan como marco en toda esta guía. Debido a que las categorías representan las áreas donde los errores de seguridad se cometen con mayor frecuencia, se utilizan para ilustrar la orientación para los desarrolladores y arquitectos de aplicaciones. Las categorías también se utilizan como marco de referencia cuando se evalúa la seguridad de una aplicación web. Con estas categorías, puede concentrarse constantemente en el diseño clave y las opciones de implementación que más afectan la seguridad de su aplicación. Las categorías de vulnerabilidad de la aplicación se describen a continuación.

Validación de entrada

¿Cómo sabe que la entrada que recibe su solicitud es válida y segura? La validación de entrada se refiere a cómo su aplicación filtra, elimina o rechaza la entrada antes del procesamiento adicional.

Autenticación

“¿Quién eres tú?” La autenticación es el proceso en el que una entidad prueba la identidad de otra entidad, generalmente a través de credenciales, como un nombre de usuario y contraseña.

Autorización

“¿Qué puedes hacer?” La autorización es cómo su aplicación proporciona controles de acceso para recursos y operaciones.

Gestión de la configuración

¿A quién se ejecuta su aplicación? ¿A qué bases de datos se conecta? ¿Cómo se administra su solicitud? ¿Cómo se aseguran estas configuraciones? La gestión de la configuración se refiere a cómo su aplicación maneja estos problemas operativos.

Informacion delicada

Los datos confidenciales se refieren a cómo su aplicación maneja los datos que deben protegerse en la memoria, a través del cable o en almacenes persistentes.

Manejo de sesiones

Una sesión se refiere a una serie de interacciones relacionadas entre un usuario y su aplicación web. La administración de sesiones se refiere a cómo su aplicación maneja y protege estas interacciones.

Criptografía

¿Cómo guardas secretos, secretos (confidencialidad)? ¿Cómo está manipulando sus datos o bibliotecas (integridad)? ¿Cómo proporciona semillas para valores aleatorios que deben ser criptográficamente fuertes? La criptografía se refiere a cómo su aplicación hace cumplir la confidencialidad y la integridad.

Manipulación de parámetros

Los campos de formulario, los argumentos de cadena de consulta y los valores de cookies se usan con frecuencia como parámetros para su aplicación. La manipulación de parámetros se refiere tanto a cómo su aplicación protege la alteración de estos valores como a cómo su aplicación procesa los parámetros de entrada.

Gestión de excepciones

Cuando falla una llamada de método en su aplicación, ¿qué hace su aplicación? ¿Cuánto revelas? ¿Devuelve información amigable de error a los usuarios finales? ¿Le devuelve valiosa información de excepción a la persona que llama? ¿Su aplicación falla con gracia?

Auditoría y registro

¿Quién hizo qué y cuándo? La auditoría y el registro se refieren a cómo su aplicación registra eventos relacionados con la seguridad.

Principios de seguridad

Las recomendaciones utilizadas en esta guía se basan en principios de seguridad que han demostrado su eficacia a lo largo del tiempo. La seguridad, como muchos aspectos de la ingeniería de software, se presta a un enfoque basado en principios, donde los principios básicos se pueden aplicar independientemente de la tecnología de implementación o el escenario de aplicación. Los principales principios de seguridad utilizados en esta guía se resumen a continuación.

Compartimentar

Reduce la superficie de ataque. Pregúntese cómo contendrá un problema. Si un atacante se hace cargo de su aplicación, ¿a qué recursos puede acceder? ¿Puede un atacante acceder a los recursos de la red? ¿Cómo estás restringiendo el daño potencial? Los firewalls, las cuentas menos privilegiadas y el código menos privilegiado son ejemplos de compartimentación.

Use el menor privilegio

Al ejecutar procesos usando cuentas con privilegios mínimos y derechos de acceso, usted reduce significativamente las capacidades de un atacante si el atacante logra comprometer la seguridad y ejecutar el código.

Aplicar defensa en profundidad

Usa múltiples guardianes para mantener a raya a los atacantes. La defensa en profundidad significa que no confía en una sola capa de seguridad, o considera que una de sus capas puede ser ignorada o comprometida.

No confíes en la entrada del usuario

La entrada de usuario de su aplicación es el arma principal del atacante cuando apunta a su aplicación. Suponga que todas las entradas son maliciosas hasta que se demuestre lo contrario, y aplique una estrategia de defensa en profundidad para la validación de entradas, tomando precauciones particulares para asegurarse de que la entrada se valida cada vez que se cruza un límite de confianza en su aplicación.

Revisa en la puerta

Autentique y autorice a las personas que llaman temprano, en la primera puerta.

Fallar de forma segura

Si una aplicación falla, no deje accesibles los datos confidenciales. Devuelve errores amigables a los usuarios finales que no exponen detalles internos del sistema. No incluya detalles que puedan ayudar a un atacante a explotar vulnerabilidades en su aplicación.

Asegure el eslabón más débil

¿Existe una vulnerabilidad en la capa de red que un atacante puede explotar? ¿Qué hay del anfitrión? ¿Es segura su aplicación? Cualquier eslabón débil en la cadena es una oportunidad para la seguridad violada.

Crear valores predeterminados seguros

¿La cuenta predeterminada está configurada con el menor privilegio? ¿La cuenta predeterminada está deshabilitada de manera predeterminada y luego explícitamente habilitada cuando es necesario? ¿La configuración utiliza una contraseña en texto sin formato? Cuando se produce un error, ¿se filtra información confidencial al cliente para ser utilizada potencialmente contra el sistema?

Reduce tu superficie de ataque

Si no lo usa, elimínelo o desactívelo. Reduzca el área de superficie de ataque deshabilitando o eliminando servicios, protocolos y funcionalidades no utilizados. ¿Su servidor necesita todos esos servicios y puertos? ¿Su aplicación necesita todas esas características?

Un número cada vez mayor de ataques apunta a su aplicación. Pasan directamente a través de la puerta principal de su entorno mediante HTTP. El modelo de fortaleza convencional y la dependencia del firewall y las defensas del host no son suficientes cuando se usan de forma aislada. Asegurar su aplicación implica aplicar seguridad en tres capas: la capa de red, la capa de host y la capa de aplicación. Una red segura y una infraestructura de plataforma de host es imprescindible. Además, sus aplicaciones deben diseñarse y construirse utilizando pautas de diseño y desarrollo seguras siguiendo principios de seguridad obsoletos. Avani Technology Solutions Inc es un proveedor líder de soluciones de seguridad de TI.

informáticaInternetProgramación informáticaseguridadseguridad de

¿TrueCrypt sigue siendo (en 2015) considerado el mejor software de cifrado para la mayoría de los usuarios?

¿Puedo tener una lista de hackers falsos?

¿Cuál es la mejor manera de obtener una buena primera pasantía / trabajo con un certificado de seguridad cibernética de un colegio comunitario sin experiencia previa?

¿Debería especializarme en inglés o ciberseguridad?

¿Cómo fuerza bruta una clave criptográfica?

¿Cuáles son algunas ideas geniales para alentar positivamente la adopción de nuevas tecnologías en el lugar de trabajo?

Según techopedia

La seguridad de las aplicaciones es la práctica general de agregar características o funcionalidades al software para evitar una variedad de amenazas diferentes. Estos incluyen ataques de denegación de servicio y otros ataques cibernéticos, y violaciones de datos o situaciones de robo de datos.

Según techtarget

La seguridad de las aplicaciones es el uso de software, hardware y métodos de procedimiento para proteger las aplicaciones de amenazas externas.

Una vez que se pensó en el diseño de software, la seguridad se está convirtiendo en una preocupación cada vez más importante durante el desarrollo a medida que las aplicaciones se vuelven más accesibles a través de las redes y, como resultado, son vulnerables a una amplia variedad de amenazas. Las medidas de seguridad integradas en las aplicaciones y una rutina de seguridad de aplicación sólida minimizan la probabilidad de que el código no autorizado pueda manipular las aplicaciones para acceder, robar, modificar o eliminar datos confidenciales.

Kalpesh Patel

Como su nombre lo indica, está destinado a proteger su aplicación de ataques y exploits. Comienza adoptando la seguridad de las aplicaciones como parte integral de la habilitación comercial y abrazándola como parte integral de la existencia de su empresa. Ahora que me ha hecho la pregunta, también me tomaré la libertad de hacer una autopromoción sobre lo que hacemos en este espacio. Eliminamos este dolor de la evaluación continua de seguridad de las aplicaciones de las empresas para que puedan centrarse en sus negocios. y nos encargamos de proporcionar sitios web / aplicaciones de seguridad que permitan a las empresas centrarse en sus puntos fuertes y dejar la experiencia en seguridad con nosotros.

Hacemos esto con nuestro producto AppTrana al incluir las siguientes capacidades

a- proporciona escaneo de aplicaciones automatizado ilimitado a pedido para encontrar problemas de seguridad de aplicaciones y riesgos explotables para el negocio (ex SQLi, XSS y otros vectores de ataque y estándares OWASPtop10)

b- proporcione una evaluación de seguridad de la aplicación más detallada a pedido y servicios manuales de PT para identificar los riesgos de seguridad de la lógica empresarial y los defectos explotables

c- Protección instantánea de estos riesgos de seguridad en la aplicación con nuestro cortafuegos de aplicaciones web con cero tiempo de inactividad y protección en cuestión de minutos frente a vectores de ataque comunes como DDOS y exploits de aplicaciones y una garantía de falsos positivos de Zero WAF respaldada con nuestro SLA

d- Gestión continua con actualizaciones de la política de seguridad en nuestro WAF basadas en la detección de riesgos en la aplicación y otros nuevos vectores de ataque y fuentes que obtenemos, incluida la protección contra nuevos ataques de día cero en el día cero.

Ofrecemos una prueba gratuita de 14 días con la opción de una aplicación gratuita para siempre (para la auditoría básica de seguridad de la aplicación).

Puedes registrarte para esto en Prevención continua de pirateo – AppTrana (no se requiere tarjeta de crédito para registrarte)

Pooja Pandey

Una aplicación web o aplicación web es cualquier programa que se ejecuta en un navegador web. Se puede acceder a las aplicaciones web a través de los navegadores web. Existen aplicaciones programadas con lenguajes de programación que son compatibles con los navegadores web como JavaScript, HTML, CSS y PHP, etc.

Ejemplos: Gmail, Facebook, también son aplicaciones web.

Hoy en día, la mayoría de las empresas dependen en gran medida de las aplicaciones web para entregar contenido a los clientes y vender sus productos.

Ahora, las aplicaciones web para bancos realizan transacciones monetarias, los datos confidenciales se almacenan en las bases de datos y la información confidencial se ingresa todo el tiempo. Con la evolución de los medios web, los ataques también han surgido con el tiempo. Las aplicaciones a menudo están rodeadas de vulnerabilidades que los atacantes utilizan para obtener acceso al servidor web o al servidor de la base de datos. Pueden pasar muchas cosas como

◆ Desfigurar un sitio web

◆ Robar información de la cuenta

◆ Robar información almacenada en la base de datos

◆ Acceso a contenido restringido

Y mucho más…

Para defender la aplicación web de los atacantes, es importante asegurarse de que su aplicación web sean servicios.

Estas son las siguientes referencias que pueden guiarlo con los conceptos básicos de la seguridad de las aplicaciones web.

Top 10-2017 Top 10

Espero que sea útil comprender el concepto de seguridad de las aplicaciones web.

Venkatesh Sundar

¡Creemos que la seguridad de las aplicaciones es un viaje! No se puede limitar a una evaluación de vulnerabilidad de una sola vez ni a las pruebas de penetración tradicionales. Requiere un enfoque multinivel.

Nuestros hackers de sombrero blanco no solo prueban la resistencia de su aplicación web, sino que cubren una gran cantidad de pruebas para garantizar que su aplicación se pruebe a fondo según los estándares de seguridad de primer nivel como OWASP Top 10 y las clases WASC. También buscamos fallas de lógica de negocios y realizamos pruebas inusuales como DoS, DDoS, ataques de día cero, etc.

1 EVALUACIONES OFENSIVAS

Nuestros hackers certificados de sombrero blanco comienzan con evaluaciones ofensivas y ataques en tiempo real en su aplicación.

2 MONITOREO PROACTIVO

Ayudamos a sus desarrolladores a corregir los errores identificados. Supervisamos y revisamos de manera proactiva su código para garantizar que sea seguro en cada versión e implementación. Ayudamos a su equipo con las mejores prácticas de seguridad y nos aseguramos de que codifiquen de forma segura. Se realizan múltiples rondas de pruebas y capacitaciones hasta que su equipo logre las mejores prácticas de seguridad. Así es como incorporamos “Seguridad por diseño” en su ADN.

3 SEGURIDAD GESTIONADA PRAGMÁTICA

Realizamos pruebas exhaustivas en la nube / infraestructura que aloja el código seguro y mantenemos sus procesos de forma pragmática para garantizar una seguridad continua.

Para más detalles: https://entersoftsecurity.com/we …

Nikita Parmar

En general, cuando hablamos de seguridad de la información, debemos pensar en tres cosas: confidencialidad, integridad y disponibilidad. Por lo tanto, podemos definir la seguridad de la aplicación como proteger la aplicación web del atacante ante cualquier violación de la confidencialidad, integridad y disponibilidad.

La confidencialidad significa datos confidenciales seguros de personas no autorizadas.

La integridad significa no atemperar los datos durante todo su ciclo de vida.

Disponibilidad significa el acceso a la aplicación web cuando sea necesario por un usuario genuino.

Para obtener más preguntas sobre la seguridad de las aplicaciones web, haga clic en el siguiente enlace:

Kalpesh Patel

More Interesting

¿Cuáles son las soluciones actuales de detección y detección de amenazas cibernéticas, cuáles recomendaría para una empresa a gran escala y por qué (10k + puntos finales)?

¿Cuál es la reputación de DEF CON a los ojos de los hackers y desarrolladores actuales de Silicon Valley?

¿Cómo funcionan los virus informáticos y cómo puedes deshacerte de ellos?

¿Qué tan bueno es el programa PG en ciberseguridad en el IIDT en Tirupati?

¿Cómo puede un software antivirus ayudarlo a disfrutar de la seguridad?

Cómo proteger mi sitio web PHP de hackers