Según el Informe de investigaciones de violaciones de datos de Verizon 2023, los ataques básicos a aplicaciones web representan casi una cuarta parte de todos los conjuntos de datos de violaciones. Aunque no son las amenazas más avanzadas, los ataques web comunes, como los ataques de relleno de credenciales y los ataques de inyección SQL, continúan causando interrupciones significativas en el espacio de la ciberseguridad, al igual que el phishing y los nuevos ataques basados en IA. Hay una buena razón.
DBIR informa que las contraseñas débiles desempeñan un papel importante en el éxito de estos ataques de bajo nivel, y la investigación de Keeper muestra que tres de cada cuatro personas todavía no utilizan contraseñas seguras. Cualquiera sea la razón, estos 10 tipos de ataques web continúan apareciendo y infiltrándose en las redes, a pesar de muchas herramientas avanzadas de próxima generación. Es bueno mantenerse al día con las amenazas que surgen hoy en día, pero una postura de seguridad integral requiere herramientas de seguridad tanto de alto como de bajo nivel. Después de todo, los problemas simples a menudo requieren soluciones simples.
Los 10 ataques web más comunes
1. Secuencias de comandos entre sitios
Los ataques de secuencias de comandos entre sitios (XSS) engañan a un navegador para que entregue secuencias de comandos maliciosas del lado del cliente al navegador de la víctima, que ejecuta automáticamente al recibirlas. Este malware puede:
Robar datos Instalar malware Redirigir a los usuarios a sitios falsificados
Prevenir ataques XSS es tan simple como desinfectar la entrada de datos. Considere rechazar caracteres y símbolos especiales para evitar la inserción de código. Los ataques de secuencias de comandos entre sitios no controlados pueden provocar secuestro de sesiones, secuestro de acciones de formulario y ataques de falsificación de solicitudes del lado del servidor.
2. Ataque de inyección SQL
Los ataques de inyección SQL son uno de los ataques web más comunes de la última década, y permiten a los atacantes manipular datos de una base de datos comprometiendo las cookies, los formularios web o las publicaciones HTTP de un servidor. Los atacantes explotan los campos de entrada (como los que se muestran en los formularios en línea) para crear scripts maliciosos diseñados para engañar a los servidores para que proporcionen información confidencial de bases de datos no autorizada (pero desprotegida).
La prevención de ataques de inyección SQL requiere un rigor similar en la entrada de datos y restricciones en la funcionalidad permitida en los comandos SQL.
3. Autenticación inadecuada
Según el DBIR 2022 de Verizon, el 67% de las filtraciones de datos se deben a credenciales comprometidas. La autenticación rota, o cualquier tipo de acceso no autorizado basado en inicio de sesión, se puede lograr de varias maneras.
Fuerza bruta Relleno de credenciales Ataque de diccionario Otros
Prevenir ataques de violación de autenticación es tan simple como crear contraseñas extremadamente seguras, pero tan confiable como cambiar a la autenticación multifactor tokenizada (MFA).
4. Descarga automática
Una descarga no autorizada ocurre cuando un usuario visita un sitio web y un agente malicioso se descarga automáticamente en la computadora de la víctima. Esto puede suceder cuando el usuario descarga algo más, abre un correo electrónico, hace clic en una ventana emergente o simplemente visita una página.
Los ataques ocultos aprovechan posibles vulnerabilidades de seguridad en aplicaciones, navegadores y sistemas operativos, por lo que es importante mantener su entorno actualizado. Limitar la cantidad de complementos y aplicaciones web que instala también reduce su superficie de ataque.
5. Ataques basados en contraseñas
Estos pueden ser parte de los exploits de “autenticación defectuosa”, pero en realidad merecen su propio lugar. La lista de ataques basados en contraseñas es diversa y extensa e incluye:
Volcado de credenciales (robar RAM para obtener información secreta), fuerza bruta (adivinar sistemáticamente la contraseña correcta) y relleno de credenciales (usar credenciales conocidas para iniciar sesión en un conjunto de otras cuentas), la técnica Pass the Hash (PtH) (robar datos hash credenciales y usarlas para crear una nueva sesión autenticada)
Implementar la firma de código, hacer cumplir requisitos de contraseñas seguras, configurar MFA y operar bajo el principio de privilegio mínimo reducirá la probabilidad de ataques basados en contraseñas.
6. Fuzzing
La prueba fuzz es un tipo de ataque web que primero ingresa una gran cantidad de datos aleatorios (fuzz) en una aplicación, lo que provoca que falle. El siguiente paso es utilizar herramientas de software fuzzer para identificar las debilidades. Si hay una laguna en la seguridad del objetivo, el atacante puede explotarla aún más.
La mejor manera de combatir los ataques de fuzzing es mantener actualizada su seguridad y otras aplicaciones. Esto es especialmente cierto para los parches de seguridad publicados con actualizaciones que los atacantes pueden aprovechar si aún no los ha actualizado.
7. Uso de componentes con vulnerabilidades conocidas
El software actual suele estar compuesto de muchas piezas individuales, situadas al final de una larga cadena de suministro de software. Por lo tanto, las vulnerabilidades y exploits ocultos en dependencias posteriores o dejados en repositorios de código fuente abierto pueden comprometer el sitio final.
Para evitar esto, muchas empresas examinan el cumplimiento de la seguridad de los proveedores externos antes de contratarlos y aprovechan la firma de código, las políticas de control de calidad y la detección de amenazas internas para evitar que se escapen dependencias vulnerables.
8. DDoS (Denegación de Servicio Distribuido)
Los ataques DDoS tienen como objetivo saturar el servidor web objetivo con solicitudes, haciendo que el sitio no esté disponible para otros visitantes. Las botnets suelen realizar un gran número de solicitudes y distribuirlas a ordenadores previamente infectados. Además, este tipo de ataques web se utilizan a menudo junto con otros métodos, siendo el objetivo del primero confundir los sistemas de seguridad mientras se explotan las vulnerabilidades.
La protección de su sitio contra ataques DDoS generalmente es multifacética e incluye:
En primer lugar, debe utilizar redes de entrega de contenido (CDN), equilibradores de carga y recursos escalables para reducir el tráfico pico. A continuación, también deberías implementar un firewall de aplicaciones web (WAF) en caso de que el ataque DDoS oculte otra técnica de ciberataque, como la inyección o XSS.
9. MiTM (ataque de intermediario)
Los ataques de intermediario a menudo ocurren en sitios donde los datos no están cifrados cuando se envían desde el usuario al servidor (sitios que usan HTTP en lugar de HTTPS). Un atacante intercepta datos mientras se transfieren entre dos partes. Si los datos no están cifrados, los atacantes pueden leer fácilmente información personal, información de inicio de sesión y otra información confidencial enviada entre dos ubicaciones de Internet.
La forma más sencilla de mitigar los ataques de intermediario es instalar un certificado Secure Sockets Layer (SSL) en su sitio. Este certificado cifra toda la información entre las partes y un atacante no puede descifrarlo fácilmente. Por lo general, la mayoría de los proveedores de hosting modernos ya tienen certificados SSL en sus paquetes de hosting.
10. Recorrido del directorio
Los ataques transversales de directorio (o ruta) tienen como objetivo la carpeta raíz web y acceden a archivos o directorios no autorizados fuera de la carpeta de destino. Un atacante intenta ascender en la jerarquía inyectando patrones de movimiento dentro del directorio del servidor.
Un recorrido exitoso del camino puede comprometer:
Acceso al sitio, archivos de configuración, bases de datos y otros sitios web y archivos en el mismo servidor físico.
La desinfección de las entradas es importante para proteger su sitio de ataques de recorrido de ruta. Es decir, mantiene segura la entrada del usuario y no se puede restaurar desde el servidor. La sugerencia más simple aquí es estructurar su código base para que ninguna información del usuario pase a la API del sistema de archivos.
¿Cómo puede ayudar la cartera de soluciones de Fortra?
Los tiempos están cambiando y los detalles de los ataques web pueden cambiar, pero los principios detrás de ellos nunca cambian. Si bien el actor de la amenaza es ciertamente malicioso, el 82% de los ciberataques se pueden prevenir reduciendo el error humano.
WAF de Alert Logic
El firewall de aplicaciones web administrado de Fortra de Alert Logic proporciona la funcionalidad integral que necesita para proteger sus aplicaciones web y API.
Listas de permitidos, listas de bloqueo, bloques basados en firmas, motores de aprendizaje que comparan anomalías con una línea base de tráfico bueno conocido, etc.
El WAF de nivel empresarial y sin complicaciones de Alert Logic proporciona una solución totalmente administrada y habilitada para la nube. Esto le permite diferenciar entre tráfico seguro y peligroso en tiempo real y tomar decisiones informadas cuando más importa.
WAS para la defensa digital
Digital Defense de Fortra también ofrece herramientas de escaneo de aplicaciones web para probar periódicamente sus aplicaciones web en busca de vulnerabilidades. El escaneo de aplicaciones web (WAS) de primera línea proporciona las siguientes características:
Hallazgos priorizados Seguimiento de vulnerabilidades y tendencias Recomendaciones de remediación
Las aplicaciones web cambian constantemente y es difícil garantizar que estén a salvo de ataques. Digital Defense le ayuda a comprender el estado de seguridad de las aplicaciones web de su organización.
Gestión de configuración de seguridad Tripwire
La solución de gestión de configuración de seguridad de Tripwire proporciona herramientas poderosas para identificar configuraciones erróneas de seguridad e indicadores de compromiso, protegiendo a los usuarios de todo tipo de ataques web. Tripwire Enterprise tiene las siguientes características:
Visibilidad profunda del sistema Cumplimiento automatizado Detección en tiempo real
Reducir su superficie de ataque significa reforzar sus entornos locales y de nube. La plataforma y las políticas listas para usar de Tripwire le permiten estar preparado para el futuro mientras mantiene la protección contra los ataques más comunes de la actualidad.
Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las opiniones de Tripwire.
Fuente: https://www.tripwire.com/state-of-security/most-common-website-security-attacks-and-how-to-protect-yourself