Si bien vemos las problemas que se encuentran en la red con respecto a las vulnerabilidades podemos destacar las principales detalles que a los programadores se les olvidan. Programar no es una tarea fácil , sin embargo a veces descuidamos ciertos detalles que nos puede costar la integridad del sitio
1.- USO DE PLUGINS , TEMPLATES. APPS.
Es cierto que un sitio web atractivo es un sitio con más visitas y más reputación , pero cuando hablamos del manejo de datos , como contraseñas , correos, cuentas bancarias , e información personal , pues tendremos que poner un poco de enfoque a la seguridad. Las parte fronted puede poner en peligro la integridad del sitio. Algunos CMS como wordpress, drupal , joomla manejan variedad de Plugins y algunas otras funciones extras que son programados por usuarios para mejorar la experiencia en el sitio para los visitantes, pero desde luego al instalar los plugins se le generan confianza para poder; tener acceso a la base de datos, obtener ficheros de directorios, modificar y crear archivos , crear consultas sql , etc.
Las vulnerabilidades que se encuentren van a depender desde el manejo que pueda tener la aplicación sobre el sitio , por ejemplo , si es de una tabla donde demuestre alguna noticia , esta tendría que tener una consulta mysql y como respuesta alojaría la noticia, esta consulta nos puede comprometer el sitio y si no está bien estructurada podría ser capaz de realizarse una Inyección sql.
Otras veces suele pasar que de manera muy explícita suelen mandar a llamar archivos por método GET. donde por ahi obtienen la ruta del archivo ,
ejemplo wp/wp-content/plugins/brandfolder/callback.php?wp_abspath=../directorio/imagen.jpg
Suele suceder , es posible hacer ese tipo de métodos para llamar un archivo desde luego esta tiene que ser filtrada, es decir, poder especificar que tipo de archivos. Con esta simple vulnerabilidad podemos llamar archivos de mucha importancia como wp-config.php donde en wordpress se almacena los datos de la base de datos, Esta vulnerabilidad puede ser explotada por LFI/RFI
ejemplo wp/wp-content/plugins/brandfolder/callback.php?wp_abspath=../directorio/imagen.jpg
Suele suceder , es posible hacer ese tipo de métodos para llamar un archivo desde luego esta tiene que ser filtrada, es decir, poder especificar que tipo de archivos. Con esta simple vulnerabilidad podemos llamar archivos de mucha importancia como wp-config.php donde en wordpress se almacena los datos de la base de datos, Esta vulnerabilidad puede ser explotada por LFI/RFI
La confianza que se le otorga a los plugins y aplicaciones webs pueden ser demasiada, por eso es importante mantener la versión más actualizada de todo lo que ocupemos, y estar en la vanguardia en las posibles vulnerabilidades de las versiones de CMS o plugin, esto podría salvarnos la vida, pues si el reporte que se encuentra en internet se trata sobre un plugin o template es posible desinstalarlo, y en caso de que fuese un problema de sistema , al instante que salga a la luz la vulnerabilidad los programadores de los CMS sacan los parches para evitar ser hackeado.
No hay comentarios:
Publicar un comentario