Página principal



Xss-recsi dvi

Descargar 211.5 Kb.
Ver original pdf

Xss-recsi dvi





Descargar 211.5 Kb.
Ver original pdf
Página1/9
Fecha de conversión02.05.2018
Tamaño211.5 Kb.
  1   2   3   4   5   6   7   8   9

ACTAS DE LA X RECSI

1

Prevención de ataques de Cross-Site Scripting

en aplicaciones Web

J. Garcia-Alfaro

†,‡

y G. Navarro-Arribas

Resumen—La seguridad se está convirtiendo en una de las

principales preocupaciones de desarrolladores de servicios Web

y otros recursos basados en tecnologías relacionadas con Internet.

Dichos servicios, además, se están haciendo omnipresente en

todo tipo de modelos económicos e industriales. Las aplica-

ciones basadas en servicios Web deben garantizar, además del

valor esperado por sus usuarios, mecanismos de confianza que

garanticen su seguridad. En este trabajo, nos centramos en el

problema específico de los ataques de tipo cross-site scripting.

Presentamos un estudio sobre este tipo de ataques, así como un

estado del arte en cuanto a mecanismos y recursos existentes

para su prevención. Analizamos las ventajas y limitaciones

de algunas de las propuestas más recientes; e introducimos

una solución alternativa que hace uso de certificados X.509 y

políticas de seguridad especificadas en lenguaje XACML. Nuestra

propuesta pretende dar apoyo tanto a desarrolladores como

a administradores de aplicaciones Web. Por un lado, nuestra

contramedida ayuda a especificar desde el lado del servidor todos

aquellos requerimientos de seguridad asociados con el uso de

recursos de la aplicación (por ejemplo, cookies e identificadores de

sesión). Por otra lado, nuestra propuesta garantiza el despliegue

de los mecanismos de protección necesarios en el cliente. Estos

mecanismos han de garantizar la correcta ejecución de la política

descrita en el lado del servidor por parte del cliente (es decir,

el navegador Web). Nuestra estrategia se integra adecuadamente

en aplicaciones Web de comercio electrónico a través del uso de

estándares compatibles con SSL y HTTP.

Palabras Clave—Seguridad en redes informáticas (Computer

network security), protección de aplicaciones remotas (software

protection), ataques de inyección de código (cross-site-scripting

attacks), políticas de seguridad (security policies).

I. I

NTRODUCCIÓN

E

L uso de la tecnología Web se está consolidando como

el paradigma de desarrollo preferido por la gran mayoría

de compañías de software actuales [1]. El uso del paradigma

Web permite el diseño de todo tipo de aplicaciones; desde

simples procesadores de texto [2] a complejas redes sociales

[3], [4], las aplicaciones basadas en la Web se abren en la

actualidad a millones de usuarios potenciales conectados a

Internet. La existencia de nuevas tecnologías como Ajax [5]

permite además una mejora substancial a las características

Web tradicionales. Como resultado, los desarrolladores e in-

genieros de software de hoy día cuentan con todos los medios

necesarios para la concepción de herramientas y servicios Web

que ya no deberán estar restringidas nunca más a determinados

sistemas operativos.

Universitat Autònoma de Barcelona.

Universitat Oberta de Catalunya.

Este trabajo está financiado por el Ministerio de Ciencia y Educación, a

través de los proyectos CONSOLIDER CSD2007-00004 TSI2006-03481, y

el programa de becas de la Fundación “la Caixa”.

Sin embargo, la inclusión de mecanismos de seguridad

eficaces en este tipo de aplicaciones se está consolidando

también como una preocupación generalizada [6]. Más allá

del valor esperado por los usuarios de una aplicación Web,

ésta debe contar con suficientes mecanismos de seguridad que

garanticen la protección de los datos de sus usuarios, así como

cualquier otro recurso asociado con la aplicación tanto en el

lado del cliente como en el lado del servidor. Los enfoques

de seguridad tradicionales en el desarrollo de aplicaciones

son a menudo insuficientes cuando se trate de desarrollo de

aplicaciones remotas. El caso de la Web no es una excepción.

A menudo, este tipo de aplicaciones dejan a sus usuarios como

responsables finales de la protección de aspectos relacionados

con la seguridad de los servicios que utilizan. Esta situación

debe evitarse a toda costa. De lo contrario, el uso inapropiado

de una aplicación Web por parte de sus usuarios dará lugar a

violaciones de todo tipo respecto a los requisitos básicos de

su seguridad y privacidad.

En este trabajo nos centramos en el caso concreto de los

ataques de tipo Cross-Site Scripting (a menudo referenciados

en la literatura como ataques XSS). Este tipo de ataques tratan

de explotar vulnerabilidades en el código de aplicaciones Web

con el fin de comprometer la relación de confianza entre un

usuario y el sitio Web asociado con la aplicación. A través de

una inyección de código malicioso, un ataque de XSS tratará

de evitar los controles del navegador que garantizan que el

acceso a recursos de la aplicación se produzca únicamente

desde el sitio Web que los creó.

Existen en la literatura diferentes tipos de ataques XSS

y/o escenarios de ataque. En este trabajo estudiamos dos de

los ataques XSS más representativos en la actualidad: (i)

ataques XSS de tipo persistente y (ii) ataques XSS de tipo

no-persistente. Presentamos también técnicas y mecanismos

propuestos en la literatura actual para mitigar estos ataques.

Estos mecanismos de prevención engloban principalmente (a)

el uso de técnicas para el filtrado de contenidos Web y (b) el

uso de procesos de análisis (desde servidores y/o clientes) de

scripts potencialmente hostiles

1

. Discutimos sobre las ventajas

y limitaciones de algunos casos particulares de estas propues-

tas. Finalmente, presentamos una solución alternativa basada

en el uso de certificados X.509 para intercambiar políticas de

autorización de recursos entre servidores y clientes. Dichas

políticas son especificadas por parte de los desarrolladores

de una aplicación Web y deberán expresar las necesidades

de seguridad que el cliente (en este caso, el navegador Web)

1

Algunas categorías alternativas, tanto para el tipo de ataque como para los

mecanismos de prevención, pueden ser consultados en [7]


  1   2   3   4   5   6   7   8   9

Similar:

Xss-recsi dvi iconFormulario dvi

Xss-recsi dvi iconEcuAlg dvi

Xss-recsi dvi icon16calculoiii dvi

Xss-recsi dvi iconCombustion dvi

Xss-recsi dvi iconFormulario(14 15)(apaisado) dvi

Xss-recsi dvi iconVulnerabilidades csrf en aplicaciones web
A diferencia de los ataques xss, que se basan en explotar la confianza que tiene un usuario en un determinado sitio web o aplicación,...
Xss-recsi dvi iconFormulario Academia edo dvi



Descargar 211.5 Kb.
Ver original pdf