5.1 Seguridad de navegación web

News 2023-08-12 07:33:40 views: null

Referencia de datos: oficial CISP 

Tabla de contenido

  • Conceptos básicos de la aplicación web
  • Amenazas de seguridad que enfrentan los navegadores
  • Desarrollar una buena conciencia de la seguridad de la navegación web
  • Cómo usar su navegador de forma segura

1. Conceptos básicos de la aplicación web

1. Conceptos básicos de las aplicaciones Web

Web (World Wide Web) también conocida como World Wide Web

  • fuera de independiente
  • Las aplicaciones web ocupan un lugar sumamente importante en Internet
  • El desarrollo de aplicaciones Web: Web1.0-->Web2.0-->Web3.0-->......

 

  • Web 1.0 : La era Web 1.0 es la etapa inicial de la Web, principalmente páginas web estáticas, los usuarios solo pueden navegar pasivamente y obtener información, y no pueden participar activamente en la creación y modificación de contenido.

  • Web 2.0 : Web 2.0 marca un mayor desarrollo de Internet, que enfatiza la participación e interacción del usuario. Los usuarios pueden crear y compartir contenido a través de redes sociales, blogs, foros en línea y otras plataformas, formando un entorno de red más abierto y colaborativo.

  • Web 3.0 : Web 3.0 es una visión para el futuro desarrollo de la Web, también conocida como la "Web Semántica". Su objetivo es integrar una gran cantidad de datos en Internet y utilizar tecnologías como la inteligencia artificial y el aprendizaje automático para brindar a los usuarios servicios y experiencias más inteligentes y personalizados. El objetivo de la Web 3.0 es lograr una Internet más inteligente, para que las computadoras puedan comprender y procesar más información.

Cabe señalar que la Web 3.0 aún se encuentra en la etapa de desarrollo y aún no se ha realizado por completo. A medida que la tecnología continúa avanzando, es posible que veamos el surgimiento de más aplicaciones y tecnologías web nuevas.

2. Arquitectura del sistema de aplicaciones web

Arquitectura de navegador/servidor ampliamente utilizada (B/S)

3. El punto de avance de la seguridad del sistema de aplicaciones web

  • Los problemas de seguridad web son cada vez más prominentes
  • Los problemas de seguridad del navegador son las infracciones de seguridad más comunes.

2. Amenazas de seguridad que enfrentan los navegadores

1. Ataque de secuencias de comandos entre sitios XSS

concepto basico

  • Las secuencias de comandos entre sitios son una amenaza de seguridad web común que explota las vulnerabilidades en la forma en que los sitios web procesan las entradas de los usuarios. Un atacante puede hacer esto insertando secuencias de comandos maliciosas en una página web afectada y luego pasar las secuencias de comandos a otros usuarios que visitan la página web.
  • Los scripts incluyen Javascript, Java, Vbscript, Activex, Fash e incluso declaraciones HTML ordinarias 
  • El objetivo de un ataque de secuencias de comandos entre sitios es eludir los mecanismos de seguridad de un sitio web, inyectar secuencias de comandos maliciosas en una página web y ejecutarlas cuando otros usuarios naveguen por esa página web . Los scripts maliciosos pueden realizar varias acciones, como robar información confidencial del usuario, secuestrar sesiones de usuario, modificar el contenido de la página web y más.

principio de ataque

  • Ataque reflexivo : en un ataque reflexivo, el atacante construye una URL maliciosa y envía parámetros que contienen scripts maliciosos al usuario objetivo. Cuando un usuario visita una URL que contiene código malicioso, el sitio web extrae parámetros de la URL y los inserta en la página de respuesta, y luego se ejecuta el script malicioso. Este tipo de ataque generalmente requiere que el usuario haga clic en un enlace malicioso específico para activarlo .
  • Tipo de almacenamiento : en un ataque de tipo de almacenamiento, el atacante almacena scripts maliciosos o datos maliciosos en la base de datos u otros medios de almacenamiento del sitio web de destino. Cuando otros usuarios visitan una página web que contiene scripts maliciosos, los scripts maliciosos se obtienen del servidor y se ejecutan. Los ataques basados ​​en el almacenamiento pueden comprometer a múltiples usuarios, no solo a una sola víctima.
  • Tipo DOM : en un ataque de tipo DOM, el atacante aprovecha una vulnerabilidad en el procesamiento del código del script del lado del cliente de la página web (generalmente JavaScript). Los atacantes manipulan la estructura y las propiedades del Modelo de Objetos de Documento (DOM) para hacer que se ejecuten scripts maliciosos. A diferencia de los ataques de reflexión y almacenamiento, los ataques DOM no dependen de la respuesta del servidor, sino que aprovechan las vulnerabilidades en el análisis y la ejecución de los scripts del lado del cliente.

DB es la abreviatura de "XSS basado en DOM", que se refiere al ataque de secuencias de comandos entre sitios de tipo DOM 

 

proceso de ataque

XSS reflejado

  1. Los atacantes construyen enlaces que contienen scripts maliciosos.
  2. El atacante envía un enlace malicioso al usuario objetivo.
  3. El usuario hace clic en un enlace malicioso.
  4. El navegador del usuario envía una solicitud al servidor, incluyendo el script malicioso como parámetro en la solicitud.
  5. El servidor toma los parámetros del script malicioso de la solicitud y los refleja en el resultado de la respuesta.
  6. La respuesta se envía de vuelta al navegador del usuario.
  7. El navegador del usuario analiza la respuesta y ejecuta el script malicioso que contiene.

XSS almacenado

  1. El atacante carga un código de script malicioso en la base de datos del sitio web objetivo.
  2. Un usuario visita una página que contiene un script malicioso.
  3. Los scripts maliciosos recuperados de la base de datos se incluyen en los resultados de la respuesta.
  4. El navegador del usuario analiza la respuesta y ejecuta el script malicioso que contiene.

XSS tipo DOM

  1. Los atacantes insertan dinámicamente código de script malicioso a través de la manipulación de DOM.
  2. Un usuario desencadena un evento que contiene un script malicioso, como hacer clic en un botón o enviar un formulario.
  3. El navegador vuelve a analizar y ejecutar la estructura DOM modificada.
  4. El navegador ejecuta el script malicioso y provoca el ataque.

dañar

  • Ejecución de comandos : los scripts maliciosos pueden ejecutar código JavaScript arbitrario en el entorno del navegador del usuario, lo que puede permitir que los atacantes realicen operaciones no autorizadas, como obtener información confidencial, modificar el contenido de la página o redirigir a los usuarios a otros sitios web maliciosos.

  • Secuestro de sesiones de usuario : al secuestrar sesiones de usuario, los atacantes pueden falsificar identidades de usuario, acceder a cuentas de usuario y realizar diversas actividades en su nombre, como pronunciar discursos, modificar información personal y realizar transacciones financieras.

  • Insertar contenido malicioso : los atacantes pueden insertar contenido malicioso en el sitio web afectado a través de ataques XSS, como anuncios, enlaces maliciosos, formularios falsos, etc., que pueden engañar a los usuarios, guiarlos para que hagan clic en enlaces maliciosos o divulgar información confidencial.

  • Redirigir el acceso de los usuarios : los atacantes pueden usar las vulnerabilidades XSS para redirigir a los usuarios a otros sitios web maliciosos, lo que puede implicar ataques de phishing, propagar malware o inducir a los usuarios a revelar información personal confidencial.

  • Robo de información de sesión de usuario : a través de ataques XSS, los atacantes pueden robar información de sesión de usuario, como ID de sesión, datos de cookies, etc., para obtener permisos de usuario y credenciales de autenticación.

  • Información privada : los atacantes pueden inyectar scripts maliciosos para robar información confidencial de los usuarios, incluida información de identificación personal, números de tarjetas de crédito, contraseñas, etc. Esta información puede ser utilizada para fines ilegales como el robo de identidad, actividades fraudulentas, etc.

  • Descarga de gusanos y troyanos en la computadora de la víctima : algunos ataques XSS avanzados pueden hacer que se descargue y ejecute software malicioso, como gusanos, troyanos u otros programas maliciosos en la computadora del usuario, lo que permite al atacante controlar completamente la computadora de la víctima.

2. Falsificación de solicitud entre sitios (CSRF)

concepto basico

  • La falsificación de solicitudes entre sitios es un método de ataque que realiza operaciones no deseadas en una aplicación web actualmente conectada como usuario.
  • En la nueva versión de OWASP Top10 lanzada en 2017, CSRF ocupa el octavo lugar

principio de ataque 

  • CSRF (Cross-Site Request Forgery) es un ataque que se hace pasar por un usuario para realizar operaciones normales, en lugar de apuntar directamente al servidor.
  • Este tipo de ataque suele ocurrir cuando el servidor no filtra y verifica estrictamente la solicitud.

El flujo general de un ataque CSRF es el siguiente:

  1. Inicio de sesión de la víctima : la víctima inicia sesión en el sitio web de destino y las credenciales de la sesión (como las cookies) se almacenan en el navegador.

  2. Construcción de una página o enlace malicioso : el atacante crea una página web maliciosa o construye un enlace malicioso y atrae a la víctima para que la visite.

  3. Solicitud falsificada : la página maliciosa contiene una solicitud para el sitio web de destino. Esta solicitud suele ser una operación no convencional (como cambiar una contraseña, iniciar una transferencia de fondos, etc.) y el atacante activa automáticamente esta solicitud a través de JavaScript u otros métodos.

  4. Enviar solicitud : cuando la víctima visita la página maliciosa, la solicitud contenida se ejecuta en el navegador de la víctima. Dado que la víctima ha iniciado sesión en el sitio web de destino y tiene credenciales de sesión válidas, el navegador llevará automáticamente estas credenciales para enviar la solicitud al sitio web de destino, y el sitio web de destino no puede saber si la víctima misma envió la solicitud.

  5. Completar el ataque : después de recibir la solicitud, el sitio web de destino pensará que es una solicitud legítima iniciada por la propia víctima y realizará las operaciones correspondientes, lo que resultará en un ataque exitoso.

Cabe señalar que el atacante debe encontrar una vulnerabilidad adecuada y un sitio web de destino para realizar con éxito los ataques CSRF. Los desarrolladores pueden reducir la tasa de éxito de los ataques CSRF implementando medidas defensivas para proteger la seguridad de los usuarios y los sitios web.

dañar

modificar la información del usuario

  • Modificar información personal
  • Modificar dirección de envío

realizar acciones maliciosas

  • cambiar la contraseña
  • estafa de identidad falsa

3. Página web caballo colgante

concepto basico

  • El caballo colgante de la página web es un atacante que construye una página web que contiene un programa de caballo de Troya. Cuando un navegador accede a la página web, el caballo de Troya se descarga en el sistema del usuario y se ejecuta explotando las vulnerabilidades del sistema, las vulnerabilidades del navegador o la falta de seguridad. conciencia del usuario, realizando así Atacar el sistema del usuario.

principio de ataque

Troyanos en páginas web - formas comunes

  • Explotación de vulnerabilidades del sistema operativo y del navegador : al descubrir vulnerabilidades en el sistema operativo o en el navegador, los atacantes aprovechan estas vulnerabilidades para inyectar código malicioso en las páginas web. Cuando un usuario visita una página web con código malicioso, el código malicioso se descarga en la computadora del usuario y se ejecuta.

  • Explotación de las vulnerabilidades de los componentes de terceros : además de las vulnerabilidades del sistema operativo y del navegador, los atacantes también pueden aprovechar las vulnerabilidades de los componentes de terceros (como complementos, extensiones, etc.) a los que se hace referencia en las páginas web para llevar a cabo ataques. Estas vulnerabilidades pueden existir en componentes de uso común como Flash, Java, Adobe Reader, etc.

  • Métodos de ingeniería social : los atacantes pueden usar métodos de ingeniería social como correos electrónicos de phishing, anuncios engañosos o inducir a los usuarios a hacer clic en enlaces maliciosos para guiar a los usuarios a visitar páginas web implantadas con códigos maliciosos.

Troyanos web - Daño

  • robar información personal
  • Vuelva a escribir el disco, destruya el sistema informático.

4. Suplantación de identidad

concepto basico

  • Phishing (Phishing) es el uso de correos electrónicos, mensajes de texto, mensajes de redes sociales, etc. fraudulentos para inducir a los usuarios a hacer clic en enlaces o proporcionar información personal confidencial.

Phishing - Técnicas primarias

  • Envíe correos electrónicos para atraer a los usuarios a la trampa con información falsa
  • Configurar sitios web falsos de banca en línea y valores en línea para defraudar las contraseñas de las cuentas de usuario por robo
  • Fraude utilizando comercio electrónico falso
  • Use mensajes de texto de teléfonos móviles, QQ, WeChat para llevar a cabo varios "phishing"
  • El robo se lleva a cabo después de robar información del usuario mediante el uso de troyanos y tecnología de piratería.
  • Use vulnerabilidades como contraseñas débiles de usuario para descifrar y adivinar cuentas y contraseñas de usuario

Phishing - Porcentaje de vector de ataque

        Durante el primer trimestre de 2020, los ataques de phishing se volvieron más serios debido a la epidemia, lo que provocó que más personas usaran Internet en casa y confiaran en el correo electrónico y las plataformas en línea para trabajar, estudiar y socializar. Los atacantes han aprovechado esta oportunidad para aumentar la escala y la frecuencia de los ataques de phishing.

  • Los ataques EMA (correo electrónico) representaron el 18% : El correo electrónico es una de las formas más comunes de propagar los ataques de phishing. Los atacantes envían correos electrónicos de phishing haciéndose pasar por organizaciones o individuos legítimos para inducir a las víctimas a hacer clic en enlaces maliciosos, descargar archivos adjuntos maliciosos o proporcionar información personal confidencial.

  • Los ataques web (página web) representaron el 59 % : a través de sitios web falsificados o inyección maliciosa de códigos maliciosos, los atacantes utilizan la plataforma web para llevar a cabo ataques de phishing. Cuando los usuarios visitan sitios web falsos, se les puede pedir que ingresen información personal o que realicen otras acciones engañosas.

  • Los ciberataques móviles representan el 23 por ciento : con la proliferación de teléfonos inteligentes y aplicaciones móviles, los atacantes también utilizan cada vez más plataformas móviles para ataques de phishing. Esto incluye engañar a los usuarios para que hagan clic en enlaces maliciosos o proporcionen información personal confidencial a través de aplicaciones móviles falsas, mensajes de texto o mensajes de redes sociales.

Suplantación de identidad: estudio de caso

  • En 2018, se transfirieron US$888.000 de la Oficina de Auditoría de EE. UU.
  • Estos sitios parecen familiares www.1cbc.com www.1enove.com  …
  • Publicar información de venta de productos falsa
  • Caballo de Troya roba contraseña de cuenta
  • Contraseña bancaria descifrada por contraseña débil 

3. Desarrollar una buena conciencia de la seguridad de la navegación web

1. ¿Por qué debemos desarrollar una buena conciencia de la seguridad en la navegación web?

  • El 75% de los ataques a la seguridad de la información ocurren en la capa de la aplicación web en lugar de la capa de la red.
  • Entre los riesgos de seguridad que enfrentan las aplicaciones web, los problemas de seguridad del navegador son el punto de avance de seguridad más común.

2. Cómo desarrollar una buena conciencia de seguridad en la navegación web

  • Tenga en cuenta los problemas de privacidad mientras navega por la web : tenga en cuenta las políticas de privacidad y las prácticas de recopilación de datos de los sitios web cuando utilice su navegador web. Elija sitios con calificaciones altas de confianza e intente evitar proporcionar información personal a sitios no confiables.
  • Utilice la función de guardado automático de contraseñas con precaución : no se recomienda utilizar la función de guardado automático de contraseñas del navegador, ya que puede dar lugar a la divulgación de la contraseña. En su lugar, use un administrador de contraseñas para guardar y administrar contraseñas y mantenerlas seguras.
  • Principio de privilegio mínimo en la navegación web : al navegar por la web, los permisos otorgados al navegador y los complementos deben minimizarse. Permita solo los permisos necesarios para reducir los posibles riesgos de seguridad.
  • Mantenga sus contraseñas de inicio de sesión seguras : use contraseñas seguras para mantener sus cuentas seguras y cámbielas regularmente. Evite el uso de contraseñas fáciles de adivinar y no inicie sesión en cuentas en entornos de red no seguros.
  • Confirmación de visitas a enlaces desconocidos : antes de hacer clic o visitar enlaces desconocidos, verifique y confirme primero. Evite hacer clic en enlaces no confiables para evitar ataques de phishing, malware o estafas.
  • Preste atención a la información de archivo del sitio web : cuando visite un sitio web, puede ver la información de archivo del sitio web. Esto puede ayudarlo a juzgar la legitimidad y confiabilidad de un sitio web.

4. Cómo utilizar el navegador de forma segura

1. Borrar datos de navegación

datos de caché del navegador

  • Historial de navegación
  • información de la página
  • historial de descargas
  • Galleta
  • Nombre de usuario/contraseña y otros datos de inicio de sesión
  • Autocompletar datos de formulario
  • configuración del sitio web
  • Datos de la aplicación administrada

 

Acostúmbrese a borrar su historial de navegación regularmente

2. Prevenir el seguimiento

¿Qué son las galletas?

  • Las cookies son pequeños archivos en formato de texto utilizados por los navegadores para almacenar información como la información del usuario y las preferencias del usuario .
  • Generalmente, puede ver las cookies de los sitios web que visita en la configuración de su navegador.
  • Las cookies suelen estar encriptadas

 

El papel de las cookies

  • Para probar que soy yo : verificar identidad
  • Estado adicional del protocolo HTTP : a través del estado adicional, el servidor puede mantener la información de estado de un cliente específico entre múltiples solicitudes.
  • La causa raíz es resolver el problema sin estado y sin conexión del protocolo ht

En general, las cookies desempeñan un papel en la prueba de identidad, la realización de la gestión del estado, la personalización, el análisis de datos y la promoción en la navegación e interacción web, y resuelven el problema del protocolo HTTP sin estado y sin conexión. Sin embargo, se deben tener en cuenta las consideraciones de privacidad y seguridad, y el cumplimiento de las normas y mejores prácticas pertinentes. 

Riesgos de seguridad de las cookies

  • Suplantación de cookies : los atacantes pueden hacerse pasar por otros usuarios falsificando cookies. Esto se puede lograr robando la información de cookies de otros usuarios o construyendo manualmente una cookie legítima. Una vez que un atacante obtiene una cookie válida, puede obtener acceso a la cuenta del usuario engañado y realizar acciones no autorizadas.

  • Manipulación de cookies : un atacante puede modificar el contenido de una cookie para obtener acceso no autorizado o cambiar la configuración y las preferencias de un usuario. Al interceptar y modificar los datos de las cookies transmitidas, los atacantes pueden manipular sus valores, como modificar los ID de usuario, roles, permisos, etc., para obtener permisos más altos o realizar operaciones maliciosas.

Configuración de seguridad en su navegador para evitar el seguimiento

  • Evite la manipulación de cookies de terceros en modo de incógnito
  • Borrar cookies y datos del sitio al salir
  • Configuración de las solicitudes de 'No rastrear' de su navegador
  • Establecer opciones en la "Configuración del sitio" para controlar los permisos del sitio web

3. Evite el llenado automático de contraseñas

  • La función de autocompletar del navegador puede guardar la contraseña de inicio de sesión ingresada por el usuario
  • Si la computadora no es segura y controlable, el uso de la función de autocompletar traerá el riesgo de fuga de información de inicio de sesión
  • Las cuentas y contraseñas de los sitios web más importantes no deben completarse automáticamente, y mucho menos guardarse en la nube
  • Puede administrar cuentas y contraseñas autocompletadas

  

4. Usa los servidores proxy con precaución

Modo de acceso al servidor proxy

Implicaciones de seguridad del modo de acceso del servidor proxy

  • En el modo proxy, la información de acceso del usuario debe procesarse a través del servidor proxy
  • Si no se puede garantizar la seguridad del servidor proxy, se debe evitar en la medida de lo posible.

Supongo que te gusta

Origin blog.csdn.net/weixin_43263566/article/details/132212152
Recomendado
Clasificación
Diario
Más
2024-06-13(0)
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)

Code World

© 2018 codetd.com