Asignatura Datos del alumno Fecha

Seguridad en Apellidos: Briceo Jimnez

Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

Actividades

Trabajo: Seguridad en AJAX

Descripcin de la actividad

Realizacin de un trabajo para recopilar los problemas de seguridad que presenta la

tecnologa WEB 2.0 AJAX y las posibles soluciones a los mismos.

Pautas de elaboracin

Esta actividad sobre seguridad en aplicaciones Ajax abarca los problemas de seguridad
que tienen este tipo de aplicaciones, que caen en la categora denominada rich internet
applications y en las posibles soluciones a los mismos. Hay que consultar cuantas
fuentes relativas al tema se considere y sintetizar la informacin relevante sin limitarse
a copiar el contenido de alguna de ellas.

Criterios de valoracin

Se valorar (para todas las actividades):

Contenidos. Para la realizacin de los trabajos se deben consultar varias fuentes

para despus contrastarlas, sintetizarlas y generar un trabajo y opinin
personalizados aportando ejemplos grficos.
Estructura del documento. Debe ser planificada previamente y tener un
apartado de conclusiones y de referencias al final.
Presentacin acorde con la categora del curso.
Referencias. Se deben especificar en un apartado al final todas las fuentes
consultadas, URLs de internet, papers, artculos o libros especificando todos los
datos de la publicacin disponibles. Recalcar la obligatoriedad de la especificacin
de las referencias consultadas.

Extensin mxima: 10-15 pginas (fuente Georgia 11 e interlineado 1,5).

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

DESARROLLO DE LA ACTIVIDAD

Antes de comenzar a mencionar los problemas que tiene AJAX, merece mucho la pena
conocer un poco acerca de esta herramienta, saber que es y luego ya se pasar a hablar
de los problemas que presenta y de sus posibles formas de mitigacin.

Qu es AJAX?
En torno a consultar varios autores, podemos decir que AJAX es un acumulado de
tecnologas web que se usan en conjunto para permitir que puedan interactuar un
cliente y un servidor, esto lo hacen de manera dinmica y sin que se tenga que recargar
o refrescar la pgina web.

Por qu es utilizado AJAX?

AJAX introduce un motor AJAX entre la interaccin del usuario y servidor, con esto se
logra que el usuario jams vea una ventana en blanco cuando est navegando ni
tampoco ver un cono en forma de crculo esperando a cargar la pgina desde un
servidor.

Una que hemos conocido un poco de esta tecnologa, pasamos a desarrollar la parte
negativa del uso de AJAX, hablaremos de los problemas de seguridad que tiene y qu
hacer con algunas posibles soluciones.

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

Por qu NO AJAX?
Parece algo no muy relevante pero a la vez lo es, muchas personas no recomiendan el
uso de AJAX porque no funciona en todos los navegadores web y tampoco funciona en
todos los dispositivos; por una razn que se desprende de su propio nombre JavaScript.
Si bien muchos navegadores web y dispositivos soportan JavaScript, no todos lo hacen
y ese es un gran punto en contra de AJAX.

Problemas de Seguridad WEB 2.0 AJAX

Para poder hablar acerca de los problemas de seguridad que presenta esta tecnologa,
debemos saber cmo funciona AJAX ya que de ello depender su seguridad.

Funcionamiento:
Mientras la aplicacin se ejecuta en el navegador del cliente, la comunicacin se realiza
de manera asncrona en segundo plano con el servidor.

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

Problemas de seguridad:

XSS (DOM)
Se puede alterar el contenido de un sitio, se puede robar cookies as como
credenciales y modificar direcciones de datos que van a los usuarios.

SAME ORIGIN POLICY (SOP)

Se puede firmar el script y permitir de esta manera que un script externo
proveniente de otro sitio pueda acceder al DOM, cookies y credenciales del
usuario.

CROSS ORIGIN RESOURCE SHARING (CORS)

Con esta configuracin lo que se logra es poder hacer una llamada AJAX a
travs de un dominio distinto con la finalidad de poder acceder a algn dato que
el cliente requiera, exponiendo de esta manera y aumentando el riesgo de que
los mismos sean robados.

JSONP
Es un mtodo que nace con la finalidad de cambiar la limitacin que tiene AJAX
para realizar peticiones entre dominios, esto puede comprometer la seguridad
de los datos o credenciales del cliente.

DEPENDENCIA DE LA TECNOLOGA JavaScript

Esta tecnologa debe estar activada para que las aplicaciones puedan funcionar
y con esto existen algunas incompatibilidades entre navegadores, ya que no
todos soportan esta tecnologa.

GRAN SUPERFICIE DE IMPACTO

Se debe tener muy en cuenta la parte que se ejecuta o desarrolla del lado del
cliente, ya que es aqu en donde se tiene mayor exposicin a un ataque.

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

XPATH Y XML INJECTION

Los XPATH son un peligro y una accin muy similar a la SQL Injection, el
lenguaje que se utiliza es XPATH y tienen como fin malicioso atacar a los
documentos XML.

JAVASCRIPT HIJACKING
Consiste en tomar el control de una sesin web, que por lo general es controlada
o administrada por medio de un token de sesin; Javascript Hijacking
compromete el token de sesin, lo roba y de esta manera tiene acceso no
autorizado al servidor web.

Posibles soluciones:
A continuacin y base a la consulta realizada en la actividad, se proponen las siguientes
posibles soluciones a los problemas de AJAX.

Como AJAX necesariamente ejecuta JavaScript, ese cdigo debe ejecutarse con
el uso de una sandbox, de esa forma el atacante que intente colarse queda fuera
y no tendra acceso a los recursos que le pudieran interesar de un ususario.

En lo posible se debe no establecer conexiones con nombres de dominio

distintos del que se ha obtenido el script, esto se lo hace con el uso de CORS.

Una vez se han obtenido los ficheros JavaScript desde un nombre de dominio o
sitio web, los mismo no deben poder acceder a las propiedades de otro dominio.

Comprobacin siempre en los dos extremos, tanto el servidor como en el cliente,

ya que cualquier accin que sea validada por el cliente podra ser manipulada y
aprovechada por el atacante.

Requerir controles de seguridad como autenticacin en el lado del servidor.

Siempre tener en cuenta los ataques como XSS y XSRF, mediante un filtrado
correcto o con el uso de tokens.

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

Evitar almacenar datos delicados en el lado del cliente, ya que el atacante podra
acceder a ellos de forma relativamente sencilla.

Siempre utilizar mtodos criptogrficos para la transmisin de datos sensibles

entre el cliente y el servidor.

Cualquier peticin que se haga con AJAX y que tenga relacin con el acceso a
recursos protegidos, deben siempre estar autenticadas.

Conclusiones:
Como resultado del desarrollo de esta actividad, se puede concluir:

Conocer de manera introductoria que es la tecnologa WEB 2.0 AJAX y cmo

interactan cliente y servidor en una web.

Saber porque utilizar AJAX y cules son sus puntos negativos que hacen que no
termine de explotrselo al mximo.

Se pudo conocer algunos problemas de seguridad con AJAX, pero por otro lado
tambin se pudo verificar que existen mtodos para poder aplacar de cierta
forma estas fallas.

Webgrafa:

OWASP. (2014). Session Hijacking Attack. Recuperado de:

https://www.owasp.org/index.php/Session_hijacking_attack

Pablo. (2013). NotasJS: Poltica del mismo origen. Recuperado de:

http://notasjs.blogspot.com/2013/09/politica-del-mismo-origen-same-
origin.html

Hernndez, Juan. (2012). Sopa de siglas: AJAX, JSON, JSONP y CORS.

Recuperado de:
http://blog.koalite.com/2012/03/sopa-de-siglas-ajax-json-jsonp-y-cors/

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Briceo Jimnez
Aplicaciones Online 2017 09 21
y Bases de Datos Nombre: Edgar Favin

Adastra. (2014). The Hacker Way: Configuraciones inseguras con CORS.

Recuperado de:
https://thehackerway.com/2014/10/08/vulnerabilidades-comunes-en-html5-
configuraciones-inseguras-con-cors-parte-1/

Saquete, Ramn. (2013). Human Level: Cmo evitar ataques de hackers en una
pgina web? Recuperado de:
https://www.humanlevel.com/articulos/desarrollo-web/como-evitar-ataques-
de-hackers-en-una-pagina-web.html

Garrett, Jesse. (2005). AJAX: Un nuevo acercamiento a las aplicaciones web.

Recuperado de:
http://www.maestrosdelweb.com/ajax/

Fuentes, Ivn. Universidad de Alicante: Accesibilidad de las aplicaciones AJAX.

Recuperado de:
http://accesibilidadweb.dlsi.ua.es/?menu=accesibilidad-aplicaciones-ajax

Gonzlez, Pablo. (2014). Flu-Project: Seguridad en AJAX. Recuperado de:

http://www.flu-project.com/2014/04/seguridad-en-ajax-parte-i.html

TEMA 1 Actividades Universidad Internacional de La Rioja (UNIR)