LLegamos al final de este pequeño manual. Terminamos con los modos de defensa y hacemos una pequeña conclusión.
Defendiendo Nuestros Usuarios.
Las formas más sencillas de defender nuestros usuarios son mediante las siguientes acciones:
Cookies:
Evitar almacenar datos vitales de nuestros usuarios en las cookies como:
Como regla inviolable encriptar todas las cookies que genere nuestro sitio.
Sesiones de Usuario:
También debemos pensar en la encriptación de las sesiones de usuario y las variables que arrastre en caso de que lo hiciera, además de fijar un tiempo prudente de caducidad de sesión y la destrucción de las cookies de sesión al finalizar la misma.
SSL:
Utilizar Secure Socket Layer en lugares en donde se procese información de gran importancia, pero siempre con la prudencia de crear un complemento de protección de datos debido a que el SSL no es completamente eficaz contra el Cross-Site-Scripting, pero es una medida más para combatirle, además como sugerencia utilizar certificados de seguridad de una entidad certificada, para una mayor protección.
Conclusión
En este artículo pudimos hacer una revisión de los ataques más frecuentes de Cross-Site-Scripting hacia los usuarios y a los aplicativos, donde pudimos encontrar agresiones que van desde las más sencillas hasta las más violentas, dejando en evidencia que este es un tipo de ataque realmente peligroso y que no podemos subestimar.
Pero también debemos saber que en este documento no se encuentran contemplados todos los tipos de agresiones con XSS, así que recomiendo mantenerse en una periódica actualización de este tipo de ataque y también hacer una revisión del ataque de tipo XST (Cross-Site-Tracing), que deriva del XSS.
También una buena medida para la creación de una defensa eficaz es el desarrollo de un registro de eventos, en donde podremos almacenar los errores o mal funciones de nuestro aplicativo en un determinado momento, sirviéndonos estos documentos como bases para la detección de debilidades y fallos, y poder corregirlos de una manera mas eficiente reforzando cada vez mas nuestras aplicaciones.
Como punto final, la clave de un buen desarrollo seguro es una constante actualización en los temas de seguridad, además de revisiones periódicas de nuevos tipos de ataques, la creación de políticas de seguridad dentro de nuestra organización, elaboración de manuales y procedimientos de seguridad, entrenamiento y asesoramiento constante, además de darnos cuenta que el Internet es un ambiente totalmente hostil, que aunque no lo veamos, nuestras aplicativos en alguno o en muchos momentos será puesto a prueba con ataques reales de todo tipo.
Muchas Gracias
Las formas más sencillas de defender nuestros usuarios son mediante las siguientes acciones:
Cookies:
Evitar almacenar datos vitales de nuestros usuarios en las cookies como:
- Nombre de usuario y Contraseña.
- Numero de tarjeta de crédito, fecha de vencimiento y nombre del propietario.
- Cuentas Bancarias.
- Direcciones de correos electrónicos.
Como regla inviolable encriptar todas las cookies que genere nuestro sitio.
Sesiones de Usuario:
También debemos pensar en la encriptación de las sesiones de usuario y las variables que arrastre en caso de que lo hiciera, además de fijar un tiempo prudente de caducidad de sesión y la destrucción de las cookies de sesión al finalizar la misma.
SSL:
Utilizar Secure Socket Layer en lugares en donde se procese información de gran importancia, pero siempre con la prudencia de crear un complemento de protección de datos debido a que el SSL no es completamente eficaz contra el Cross-Site-Scripting, pero es una medida más para combatirle, además como sugerencia utilizar certificados de seguridad de una entidad certificada, para una mayor protección.
Conclusión
En este artículo pudimos hacer una revisión de los ataques más frecuentes de Cross-Site-Scripting hacia los usuarios y a los aplicativos, donde pudimos encontrar agresiones que van desde las más sencillas hasta las más violentas, dejando en evidencia que este es un tipo de ataque realmente peligroso y que no podemos subestimar.
Pero también debemos saber que en este documento no se encuentran contemplados todos los tipos de agresiones con XSS, así que recomiendo mantenerse en una periódica actualización de este tipo de ataque y también hacer una revisión del ataque de tipo XST (Cross-Site-Tracing), que deriva del XSS.
También una buena medida para la creación de una defensa eficaz es el desarrollo de un registro de eventos, en donde podremos almacenar los errores o mal funciones de nuestro aplicativo en un determinado momento, sirviéndonos estos documentos como bases para la detección de debilidades y fallos, y poder corregirlos de una manera mas eficiente reforzando cada vez mas nuestras aplicaciones.
Como punto final, la clave de un buen desarrollo seguro es una constante actualización en los temas de seguridad, además de revisiones periódicas de nuevos tipos de ataques, la creación de políticas de seguridad dentro de nuestra organización, elaboración de manuales y procedimientos de seguridad, entrenamiento y asesoramiento constante, además de darnos cuenta que el Internet es un ambiente totalmente hostil, que aunque no lo veamos, nuestras aplicativos en alguno o en muchos momentos será puesto a prueba con ataques reales de todo tipo.
Muchas Gracias
Kenyie Araya Ramos