Las 10 vulnerabilidades en aplicaciones web más comunes:

1. Cross Site Scripting (XSS)

Los XSS ocurren cada vez que una aplicación coge los datos suministrados por el usuario y los envía sin primero validar o codificar ese contenido. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden obtener las sesiones del usuario, desfigurar los sitios webs, introducir posiblemente gusanos, etc.

2. Injection Flaws

Los fallos de inyección, particularmente la inyección SQL, son comunes en aplicaciones web. La inyección ocurre cuando los datos suministrados por el usuario son enviados a un intérptrete como parte de un comando o consulta. Los datos hostiles de los atacantes trucan el intérprete ejecutando comandos involuntarios y cambiando datos.

3. Malicious File Execution

El código vulnerable a la inclusión remota de archivos (IRF) permite a los atacantes incluir código y datos hostiles, resultando en ataques devastadores, como el compromiso total del servidor. Estos ataques malignos afectan a PHP, XML y cualquier framework que acepte nombre de archivos o archivos por los usuarios.

4. Insecure Direct Object Reference

Una referencia a objeto directa ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, como un archivo, directorio, registro de base de datos, o clave, como una URL o parámetro de un formulario. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin autorización.

5. Cross Site Request Forgery (CSRF)

Un ataque CSRF fuerza un registro del navegador de la víctima a enviar una respuesta pre-autenticada a una aplicación web vulnerable, la cual fuerza entonces al navegador de la víctima a realizar una acción hostil en beneficio del atacante. El CSRF puede ser tan poderoso como la aplicación web a la que ataca.

6. Information Leakage and Improper Error Handling

Las aplicaciones pueden mostrar sin intención información sobre su configuración, funcionamientos internos, o violación de la privacidad a través de una variedad de problemas de la aplicación. Los atacantes utilizan esta debilidad para robar datos sensibles, o dirigirse a ataques más serios.

7. Broken Authentication and Session Management

Las credenciales de la cuenta y las cadenas de la sesión a menudo no son protegidas correctamente. Los atacantes comprometen contraseñas, claves o cadenas de autenticación para asumir las identidades de otros usuarios.

8. Insecure Cryptographic Storage

Las aplicaciones web raramente utilizan funciones criptográficas correctamente para proteger los datos y las credenciales. Los atacantes utilizan los datos debilmente protegidos para realizar robo de identidad y otros crímenes, tales como fraudes con tarjetas de créditos.

9. Insecure Communications

Las aplicaciones frecuentemente fallan al cifrar el tráfico de la web cuando es necesario proteger las comunicaciones sensibles.

10. Failure to Restrict URL Access

Con frecuencia, una aplicación solo protege la funcionalidad sensible no mostrando los enlaces o URLs a usuarios no autorizados. Los atacantes pueden usar esta debilidad para tener acceso y realizar operaciones no autorizadas al acceder a estas URLs directamente.

Fuente: OWASP

Hace unas semanas dije que en esta nueva temporada se iban a avecinar grandes cambios en mi vida. Pues bien, uno de esos ya se ha producido.

Desde hace unos 10 días he entrado a formar parte de la extensa plantilla de Indra Sistemas como programador Java. El primer mes estoy en formación aprendiendo distintas tecnologías y frameworks Java: Struts, Hibernate, JSP… A ver que tal resulta todo

Ese es el motivo por el que he tenido un poco abandonado el blog los últimos días. Entre unas cosas y otras, después de permanecer fuera de casa unas 11 o 12 horas (de ellas, 8 o 9 horas delante de la pantalla) estoy bastante cansado y no me apetece mucho escribir en el blog. Pero bueno, habrá que sacar tiempo de donde sea XD

PD: En un mes más o menos se aproxima otro cambio en mi vida, éste uno muchísimo más importante y que llevamos esperando 8 meses

Una explicación sobre la trama de espionaje que ha sacudido la F1 este año y en la que McLaren ha sido multado con 100 millones de dólares y la pérdida de todos sus puntos este año en el mundial de constructores.

La animación está hecha con muñecos de Lego XD

Ver animación

Black Hat SEO son técnicas y métodos que no son “legales” y aunque se obtiene un buen posicionamiento al principio Google puede penalizar la página. Algunas de estas técnicas son:

• Google Attacks
• Cloaking
• Link Baiting
• Texto Oculto
• Uso de “noscript” y “noframes”
• Keyword “Spamming” y alta densidad
• Red propia de enlaces o Páginas Traseras
• Granjas de Enlaces “Link Farms”
• Clonar contenidos
• Intercambio de Enlaces con Portales no Relacionados
• Comprar enlaces

En webstylemallorca.com se explican cada una de estas técnicas.

La siguiente función modifica el contenido de un String buscando una secuencia de caracteres y reemplazándolos por otros:

Se trata de una función muy corta pero que puede ser muy útil. Veamos algún ejemplo de utilización:

Yo tengo este tipo de funciones agrupadas en una misma clase como funciones estáticas. De este modo puedo utilizar estas funciones en todos mis proyectos sin tener que copiar y pegar la función en cada proyecto nuevo. Tan sólo tengo que importar mi clase StringUtils (es el nombre de la clase, no es muy original pero se entiende bien lo que contiene) que tengo guardada en mi librería de clases.

Juas, esto es una crítica constructiva O_o sobre lo que puedes encontrar en cualquier fotolog o página de MySpace:

Visto en soyborracho.com

Bajar películas es robar. Si lo haces te enfrentarás a las consecuencias...

Por cierto, os recomiendo que veáis The IT Crowd, una serie muy geek y muy divertida. Por aquí teneis enlaces para descargarse The IT Crowd.

Hoy 8 de septiembre se celebra el día de Extremadura, la fiesta de mi región ^^

Les invito a que vean el vídeo y conozcan un poco los paisajes y la cultura extremeña

Y ya que estamos de fiesta... ¡ barra libre para tod@s ! :beer:

Vídeo con fotos de Extremadura, de diversos autores. El poema "Aquí no tenemos mieo" es del poeta castuo, Javier Feijóo, de Badajoz y la música del maestro, también pacense, Candido de Quintana, "Tierra de Conquistaores".