Llevando la seguridad web a la capa 8

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Como dijimos en una nota anterior, los navegadores Chrome a partir de ahora, marcan sitios inseguros que no son HTTPS en la actualidad, mientras que en la actualidad existen múltiples sitios marcados en rojo que pueden cargarse sin protección criptográfica.

El cifrado HTTPS adecuado es de hecho muy importante hoy en día. Sin embargo, una encriptación TLS mal implementada o simplemente faltante es más una debilidad, no una vulnerabilidad explotable.

Muchos de los sitios web más populares todavía son propensos a las inyecciones de SQL y los ataques XXE (XML External Entity), y mucho menos a las omnipresentes vulnerabilidades XSS (Cross-Site Scripting) y CSRF (Cross-Site Request Forgery).

Estas vulnerabilidades de seguridad conllevan un grado mucho más alto de riesgo y pueden permitir la violación de todo el sitio web y todos los registros, PII o datos financieros manejados o almacenados por el sitio web.

En la mayoría de los casos, el cifrado TLS débil o faltante de un tráfico HTTP puede exponer el tráfico web de los usuarios que se encuentran en el mismo segmento de red que el atacante, un caso relativamente poco frecuente.

Por lo tanto, los equipos de seguridad a menudo subestiman la importancia de la implementación correcta e integral de HTTPS.

Es necesario que pruebe su SSL (Secure Sockets Layer o capa de sockets seguros)  / TLS (Transport Layer Security, seguridad de la capa de transporte)  en cumplimiento con PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard)) y NIST(National Institute of Standards and Technology), descubrir sus subdominios y probar automáticamente su HTTPS.

No son pocas las compañías que les resulta muy útil este tipo de pruebas, ya que con frecuencia las iniciativas HTTPS se limitan al sitio web “www”, lo que deja el microservicio y los subdominios en HTTP.

 

Por Josep Verdura – Analista de Seguridad de Vintegris