La tercera aula de empresa a la que asistí fue LCFIB. LCFIB es el Laboratorio de Cálculo de la FIB (Facultat de Informática de Barcelona). Ellos se encargan del mantenimiento de la página principal de la facultad, de su intranet (el Racó) y además trabajan en muchas otras cosas que no me atrevo a citar.
El seminario hablaba de Tecnologías Web, y hemos visto un poco por encima los siguientes temas: Tecnologías basadas en Cliente, J2EE (Ahora JEE), Seguridad en Aplicaciones Web y algunos casos prácticos.
La parte que mas me gustó fue la de Seguridad. Jaume Moral nos explicó cuatro cosas sobre la seguridad en aplicaciones web.
Resulta que por mucha seguridad que tengamos en el servidor con firewalls, y en nuestra conexión con protocolos seguros (SSL), si nuestra aplicación no es segura los intrusos pueden entrar disfrazados por la puerta de entrada.
La mayoría de nuestros errores de seguridad los podemos tener en las entradas de nuestros formularios. Jaume insistió en que teníamos que validar todas nuestros parámetros que recibimos vía formularios, pues de lo contrario existen varias técnicas para modificar el comportamiento normal de una aplicación web.
Cross Site Javascript
Esta técnica consiste en insertar código JavaScript. Este cogido puede hacer cosas tan variadas que van desde mostrar un mensaje cada vez que se entre en una URL hasta desviar el tráfico a otra URL cualquiera.
Inyección de Código
Mayoritariamente en SQL. Cuando nos pide el login y el password, podemos pensar en la sentencia que va a ejecutar la aplicación… algo así como:
SELECT * FROM users WHERE user = ‘param1’ and pass = ‘param2’
Podríamos poner un password como: ‘’param2’ or ‘1’=’1’
SELECT * FROM users WHERE user = ‘param1’ and pass = ‘param2’ or ‘1’= ‘1’
Así podríamos entrar en una aplicación con cualquier usuario.
Esto es solo un pequeño ejemplo de lo mucho que nos explicó, así que podéis encontrar más información en la página del seminario de LCFIB.
No comments yet.