Vulnerabilidades en aplicaciones Web – Estadísticas

Recientemente me he encontrado con un documento muy interesante acerca de datos estadísticos de las vulnerabilidades en aplicaciones Web de los tres últimos años. Todavía no se incluyen datos del año que está a punto de terminar, por lo tanto estamos hablando de datos de los años 2010, 2011 y 2012.

A continuación veremos interesantes datos estadísticos organizados por años y por categorías según tipo de vulnerabilidades identificadas.

Vulnerabilidades en aplicaciones Web

Como primera curiosidad y según la gráfica anterior, durante el año 2012 la media de vulnerabilidades por aplicación Web era ligeramente inferior a la de los años 2010 y 2011, aunque en valores muy cercanos. Quiero entender que las técnicas de desarrollo seguro empieza a dar sus frutos.

Las vulnerabilidades identificadas se han ido agrupando en distintas categorías; configuración del servidor, fuga de información, sistema débil de autenticación, manejo inseguro de sesiones, debilidades en la validación de datos o vulnerabilidades en los cifrados son algunas de las categorías usadas para la recopilación de los datos.

Vulnerabilidades en aplicaciones Web

En la gráfica anterior se puede comprobar que la categoría con más vulnerabilidades identificadas es la contempla todas aquellas relacionadas con la mala configuración del servidor. A continuación la fuga de información, autenticación o manejos de sesión destacan entre las categorías que más se repiten cuando se identifican vulnerabilidades en una aplicación Web.

En este mismo blog ya hemos referencia en varias ocasiones a la importancia de facilitar la menor cantidad de posible a posibles atacantes, como puede ser la tecnología servidor usada, para evitar que, en caso de vulnerabilidades conocidas, le estemos facilitando el trabajo al atancante. Técnicas de seguridad por oscuridad, aunque no son la solución a nuestros problemas, al menos dificultarán el trabajo de recopilación de información al que quiera atacar nuestra aplicación Web.

Vulnerabilidades en aplicaciones Web

Facilitar información de las cabeceras HTTP, mostrar mensajes de error, no tener un control de qué contenidos se indexan por parte de los buscadores o vulnerabilidades en las versiones del software son algunas de las amenazas más importantes en la categoría de configuración del servidor.

Muchas de estas vulnerabilidades están presentes por una mala configuración del servidor o por dejar los parámetros por defecto del software, que obviamente puede ser conocido por cualquier atacante que conozca el funcionamiento de dicho software.

Vulnerabilidades en aplicaciones Web

Por último, pero no menos importante son las vulnerabilidades relacionadas con la no validación de entrada de datos en las aplicaciones Web. Aquí es donde aparece dos de las vulnerabilidades más famosas en los entornos de aplicaciones o páginas Web: Cross Site Scripting (XSS) y SQLi (SQL Injection).

En esta categoría podemos apreciar como XSS toma una importante ventaja en esta “carrera” de ser la vulnerabilidad más “famosa” y presente en las aplicaciones Web.

Como podéis observar son muchos los factores que pueden hacer que nuestra aplicación Web sea vulnerable. Son muchos los vectores de ataque posibles, de ahí que toda medida que tomemos para aumentar el nivel de seguridad de nuestra aplicación, aunque nunca alcancemos el ansiado “100% seguro“, ayudará para blindar y dificultar los ataques de posibles atacantes.

Habrá que ver qué nos ha deparado el 2013 en cuanto a vulnerabilidades Web se refiere.

Como siempre, espero que la información haya sido de vuestro interés.

Saludos,

Miguel Ángel Arroyo

Leave a Reply

You must be logged in to post a comment.