liboh

Campus Party 07 #11, AJAX y la seguridad web

// July 27th, 2007 // eventos, seguridad

Los ataques web son cada vez más comunes y proteger nuestra aplicación puede llegar a convertise en toda una odisea. Desde el área de desarrolladores, nos han hablado de los peligros que conlleva utilizar AJAX, tan extendido últimamente.

Obviamente, no se trata de no utilizar AJAX, si no de ser conscientes de las implicaciones y tomar medidas especiales para protegernos.

AJAX introduce problemas de diseño, puesto que permite conocer cómo es la aplicación web, ya que hace llamadas a las funciones de la aplicación desde el navegador, desde la capa de javascript. Accediendo a dicha capa, se puede capturar información sobre los métodos o funciones disponibles.

Además, el navegador envía información al servidor de manera transparente al usuario, con lo que podría enviar información confidencial sin que el usuario se enterase.

Por tanto, algunos consejos que se nos ha dado:

• No confiar en los datos que mande el cliente al servidor.
• Validar, filtrar y sanear los datos de entrada.
• Reautenticar a los usuarios durante procesos críticos.
• No dejar comentarios en el código fuente.
• Filtrar los métodos HTTP que no van a ser utilizados.
• Establecer políticas de timeout de sesiones.
• Establecer una buena política de permisos y cifrado.

Más información | OWASP