Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Fallas de seguridad comunes que debe verificar en sus sistemas web basados ​​en Linux


Al realizar evaluaciones de vulnerabilidad y pruebas de penetración, a menudo nos vemos atrapados en vulnerabilidades a nivel del sistema operativo y terminamos pasando por alto los problemas de la Capa 7. Esta es una trampa peligrosa en la que quedar atrapado, ya que hay mucha más superficie de ataque en cualquier sistema Linux que solo telnet y SSH. De hecho, la mayoría de las fallas basadas en Linux que veo están en la capa de aplicación. Ya sea con Apache, PHP u OpenSSL, o simplemente configuraciones erróneas generales: si se puede acceder a las vulnerabilidades a través de HTTP (y, por lo tanto, generalmente abiertas al mundo), entonces cualquier cosa es un juego limpio.

Más sobre la seguridad del servidor de aplicaciones web de Linux
Cómo proteger GRUB en Red Hat Enterprise Linux 5.

Cómo fortalecer los sistemas operativos Linux

Preguntas y respuestas sobre el servidor web del estándar de seguridad de datos y la industria de tarjetas de pago (PCI DSS)

Existen las vulnerabilidades comúnmente citadas, como la inyección de SQL y la secuencia de comandos entre sitios, pero hay más en la ecuación de seguridad web de Linux. Los siguientes son algunos de los otro Vulnerabilidades de seguridad web que veo a menudo en sistemas basados ​​en Linux; cosas que puede verificar para ayudar a minimizar los riesgos relacionados con la web:

  • Inyección de código PHP que permite la ejecución directa de código malicioso. He visto motores de scripting del lado del servidor que aceptan entrada PHP sin filtrar y la ejecutan en el servidor que proporciona acceso a nivel de sistema al servidor.
  • Los nombres de usuario y las contraseñas se pasan mediante solicitudes HTTP GET en lugar de solicitudes POST. Esta falla puede crear un escenario que permita la escalada de privilegios tanto en la aplicación web como en los niveles del sistema operativo.
  • Las contraseñas débiles a menudo se combinan con la falta de bloqueo de intrusos. Descubrí que al usar un descifrador automático de contraseñas como Brutus o adivinar el inicio de sesión antiguo, a menudo es muy simple obtener acceso no autorizado al sitio web / aplicación cuando hay inicios de sesión débiles.
  • Permisos débiles de archivos y directorios que permiten la enumeración del sistema. Por lo general, encuentro archivos de respaldo / prueba que contienen código antiguo y no mantenido que brindan información e información que no todos necesitan ver.
  • Versiones desactualizadas de Apache, PHP y código relacionado vulnerables a DoS y ejecución remota de código. Recientemente vi una falla de OpenSSL que permitía la denegación de servicio remota simplemente usando código de explotación disponible gratuitamente en Internet.
CONTENIDO RELACIONADO  Base de datos Oracle / Información de aplicaciones, noticias y consejos

Algunas otras vulnerabilidades relacionadas con la Web que son de menor prioridad, pero que son predecibles y potencialmente problemáticas de todos modos, incluyen la falta de cumplimiento de SSL consistente en todo el sitio, cifrados SSL de bajo cifrado (menos de 128 bits), SSL versión 2 que es susceptible a Ataque cuando el tráfico se captura de una red inalámbrica no segura o una red cableada donde alguien está usando la herramienta gratuita Cain para realizar enrutamiento de veneno ARP y cookies que no están marcadas como seguras (y por lo tanto solo se transmiten cuando SSL está presente).

Las debilidades de seguridad web como estas se descubren mejor utilizando un comercial (obtiene lo que paga) Escáner de vulnerabilidades web como Acunetix Web Vulnerability Scanner, WebInspect, N-Stalker o NTOSpider. Dichos hallazgos, cuando se repiten constantemente a lo largo del tiempo, pueden hacer o deshacer una evaluación de seguridad o una auditoría de PCI DSS. La buena noticia es que la mayoría de estas debilidades son muy sencillas de solucionar. Ya sean ajustes de Linux, parches o cambios de código relativamente simples, su entorno web puede pasar de obtener una clasificación de seguridad «regular» o «mala» a una «muy buena» o «excelente» en cuestión de días, todo sin tener gastar un centavo.

SOBRE EL AUTOR: Kevin Beaver es consultor de seguridad de la información, testigo experto, líder de seminarios y orador principal de Principle Logic, LLC, con sede en Atlanta. En la industria durante más de dos décadas y después de haber trabajado para sí mismo durante los últimos ocho años, Kevin se especializa en realizar evaluaciones de seguridad independientes y ayudar a los profesionales de TI a lograr todo lo que pueden en sus carreras. Es autor / coautor de siete libros sobre seguridad de la información, incluido Hackear para tontos y el recién actualizado Hacking For Dummies, tercera edición. Además, es el creador de la Seguridad sobre ruedas libros de audio sobre seguridad de la información y blogs de seguridad que brindan aprendizaje sobre seguridad para los profesionales de TI sobre la marcha. Puede comunicarse con Kevin en www.principlelogic.com.

CONTENIDO RELACIONADO  IoT en la cadena de suministro de alimentos: invitar a la tecnología a la fiesta navideña

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Cuál es la diferencia entre DBMS y RDBMS?

Las bases de datos almacenan conjuntos de datos sobre productos, clientes, pedidos y otras facetas de las operaciones comerciales para su uso … en procesamiento de transacciones o aplicaciones de BI y análisis. Un sistema

¿Qué es la ejecución remota de código (RCE)?

La ejecución remota de código es la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo. Las vulnerabilidades pueden proporcionar

¿Qué es AWS Import / Export Snowball?

AWS Import / Export Snowball es un dispositivo de transporte de datos físicos que permite a las empresas migrar una gran cantidad de datos hacia o desde la nube pública de Amazon Web Services. El

¿Qué es la gestión de relaciones con proveedores (SRM)?

La gestión de relaciones con proveedores (SRM) es el enfoque sistemático para evaluar a los proveedores que suministran bienes, materiales y servicios a una organización, determinando la contribución de cada proveedor al éxito y desarrollando

¿Qué es AWS Security Token Service?

AWS Security Token Service es una herramienta de software de Amazon Web Services (AWS) que permite a un administrador de TI otorgar a los usuarios de confianza credenciales de acceso temporal y limitado a los

Ejecución del cmdlet Invoke-Command para operaciones masivas

El cmdlet Invoke-Command realiza operaciones masivas de PowerShell en varios destinos. Esto le permite administrar más fácilmente grandes cantidades de máquinas virtuales porque puede ejecutar el cmdlet en varios hosts de Hyper-V. Simplemente incluya el

Una mirada estratégica al almacenamiento en la nube

Con la informática en la nube más prevalente e importante que nunca, las organizaciones necesitan optimizar el gasto en almacenamiento en la nube para ofrecer el mejor rendimiento a sus presupuestos. También deben asegurarse de

Oracle RAC en VMware no recibe soporte de Oracle

Oracle no admitirá a los clientes que ejecutan Oracle RAC en VMware, por razones que muchos dicen que son políticas y técnicamente obsoletas. El razonamiento de la compañía de software detrás de la posición es

Determine el poder de su kit de herramientas de IoT

IoT ahora se reconoce como una herramienta madura para resolver problemas comerciales. Sin embargo, la mayor parte de la literatura de marketing de los proveedores y los artículos escritos por expertos en IoT continúa enfocándose

¿Qué es la cantidad de sustancia (cantidad de material)?

La cantidad de sustancia, también llamada cantidad de material, es una expresión adimensional del número de partículas en una muestra. Las partículas suelen ser átomos, pero pueden ser protones, neutrones, electrones o partículas más fundamentales

¿Su implementación de Hyper-V debe incluir una GUI?

despliegues a gran escala. Microsoft ofrece tres tipos diferentes de implementación de Hyper-V: como una instalación de Windows Server 2016, que proporciona la experiencia de escritorio completa, incluida una GUI; como una función de servidor

Lista de verificación del programa de socios de IBM

IBM ofrece una variedad de productos de TI para empresas y pymes, que incluyen software de almacenamiento, sistemas de cinta y disco, SAN, NAS, sistemas operativos y servidores. Esta lista de verificación proporciona una descripción

Aquí hay dragones: Bitcoin e Internet de las cosas

Para que cualquier moneda se pueda utilizar para IoT, existen algunos requisitos no negociables: Soporte para transacciones, especialmente pequeñas. Almacén de valor estable Baja latencia predecible Soporte para volúmenes de tráfico muy altos A primera

¿Qué es copia carbón (cc)?

En el correo electrónico, una copia de carbón (abreviado «cc» y, a veces, «fcc» para «primera copia de carbón») es una copia de una nota enviada a un destinatario que no es el destinatario principal.

El panel de MSPWorld mira hacia atrás, hacia el 2016

LAS VEGAS – La conferencia de otoño MSPWorld 2015 se inauguró el lunes con un panel de discusión que abordó varias tendencias que dan forma al mercado actual de servicios administrados. Los factores definitorios incluyeron

Microsoft irrumpe en DaaS con Windows Virtual Desktop

ORLANDO, Fla. — Microsoft tiene como objetivo capitalizar el creciente mercado de escritorio como servicio con Windows Virtual Desktop… en Azure y emule el éxito de Amazon Workspaces. El servicio, que entrará en versión preliminar

¿Qué es AMD-V (virtualización AMD)?

¿Qué es AMD-V? AMD-V (virtualización AMD) es un conjunto de extensiones de hardware para la arquitectura del procesador X86. Advanced Micro Dynamics (AMD) diseñó las extensiones para realizar tareas repetitivas normalmente realizadas por software y

Deja un comentario