{"id":3983,"date":"2017-08-22T09:30:57","date_gmt":"2017-08-22T12:30:57","guid":{"rendered":"https:\/\/www.talsoft.com.ar\/site\/?p=3983"},"modified":"2017-07-07T15:12:51","modified_gmt":"2017-07-07T18:12:51","slug":"autenticacion-sesiones-problema-seguridad-aplicaciones","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/autenticacion-sesiones-problema-seguridad-aplicaciones\/","title":{"rendered":"Autenticaci\u00f3n y Sesiones &#8211; Problema de seguridad en aplicaciones"},"content":{"rendered":"<p style=\"text-align: justify;\">Cuando u<img loading=\"lazy\" decoding=\"async\" class=\"wp-image-3914 size-medium alignleft\" src=\"https:\/\/www.talsoft.com.ar\/site\/wp-content\/uploads\/2017\/05\/15871470_10154537705264843_568877473395911827_n-400x269.png\" alt=\"\" width=\"400\" height=\"269\" srcset=\"https:\/\/www.talsoft.com.ar\/site\/wp-content\/uploads\/2017\/05\/15871470_10154537705264843_568877473395911827_n-400x269.png 400w, https:\/\/www.talsoft.com.ar\/site\/wp-content\/uploads\/2017\/05\/15871470_10154537705264843_568877473395911827_n-300x202.png 300w, https:\/\/www.talsoft.com.ar\/site\/wp-content\/uploads\/2017\/05\/15871470_10154537705264843_568877473395911827_n-260x175.png 260w, https:\/\/www.talsoft.com.ar\/site\/wp-content\/uploads\/2017\/05\/15871470_10154537705264843_568877473395911827_n.png 512w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/>na aplicaci\u00f3n <strong>no administra en forma correcta la funciona<\/strong><strong>lidad de autenticaci\u00f3n y la gesti\u00f3n de sesiones<\/strong> de usuario, podr\u00eda permitir que <strong>un atacante manipular credenciales de usuario y tokens de sesi\u00f3n<\/strong> para asumir la identidad de otros usuarios.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Una aplicaci\u00f3n podr\u00eda ser vulnerable cuando:<\/p>\n<ul>\n<li>Las credenciales de usuario no est\u00e1n protegidas cuando se almacenan.<\/li>\n<li>Las credenciales pueden ser sobreescritas por debilidad en la administraci\u00f3n de cuentas de usuarios.<\/li>\n<li>El ID de Sesi\u00f3n del usuario se expone en la URL (ej:<span style=\"color: #ff0000;\"> http:\/\/www.sitio.com\/index.php?sessionID=XXXXXX<\/span>)<\/li>\n<li>El sistema no disponga de expiraci\u00f3n de ID de sesi\u00f3n por tiempo inactivo o no tenga un Logout del sistema.<\/li>\n<li>La gesti\u00f3n de ID de sesi\u00f3n no cambia luego de ingresar al sistema correctamente.<\/li>\n<li>Las credenciales, ID de sesi\u00f3n y cualquier informaci\u00f3n confidencial se env\u00edan sobre canal no cifrados.<\/li>\n<\/ul>\n<h2>\u00bfComo puedo prevenirlo?<\/h2>\n<p>Implementar una fuerte control de autenticaci\u00f3n y administraci\u00f3n de sesiones de usuarios. Algunos controles a tener presente:<\/p>\n<ol>\n<li>Aplicar un <strong>desarrollo seguro desde el an\u00e1lisis, dise\u00f1o e implementaci\u00f3n<\/strong>.<\/li>\n<li>Realizar<strong> <a href=\"https:\/\/www.talsoft.com.ar\/site\/servicios\/seguridad-informatica\/testeo-de-seguridad-informatica\/\">auditor\u00edas de hacking \u00e9tico<\/a> al sistema, para evaluar los problemas y riesgos<\/strong> del sistema frente a un intruso<strong> y validar que las implementaciones de los controles de seguridad<\/strong> est\u00e9n funcionando correctamente.<\/li>\n<li>Utilizar <strong>librer\u00edas seguras y utilizadas internacionalmente<\/strong> por la comunidad.<\/li>\n<\/ol>\n<h3>Referencias<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.talsoft.com.ar\/site\/riesgo-seguridad-aplicaciones\/\">https:\/\/www.talsoft.com.ar\/site\/riesgo-seguridad-aplicaciones\/<\/a><\/li>\n<li><a href=\"https:\/\/www.owasp.org\/index.php\/Top_10_2017-Top_10\">https:\/\/www.owasp.org\/index.php\/Top_10_2017-Top_10 <\/a><\/li>\n<li><a href=\"https:\/\/www.owasp.org\/index.php\/Authentication_Cheat_Sheet\">https:\/\/www.owasp.org\/index.php\/Authentication_Cheat_Sheet<\/a><\/li>\n<li><a href=\"https:\/\/www.owasp.org\/index.php\/Session_Management_Cheat_Sheet\">https:\/\/www.owasp.org\/index.php\/Session_Management_Cheat_Sheet<\/a><\/li>\n<\/ul>\n<p style=\"text-align: center;\">[tw_button icon=\u00bb\u00bb link=\u00bbhttp:\/\/www.talsoft.com.ar\/site\/obtener-una-cotizacion\/\u00bb size=\u00bbmedium\u00bb rounded=\u00bbfalse\u00bb style=\u00bbborder\u00bb hover=\u00bbhover2&#8243; color=\u00bb \u00bb target=\u00bb_self\u00bb]Cont\u00e1ctanos para empezar a proteger Tu empresa[\/tw_button]<\/p>\n<p class=\"graf graf--p graf-after--p graf--last\"><strong class=\"markup--strong markup--p-strong\">Si quieres mantenerte informado sobre temas de seguridad inform\u00e1tica,<\/strong><strong class=\"markup--strong markup--p-strong\"> subscr\u00edbete a nuestro <\/strong><a class=\"markup--anchor markup--p-anchor\" href=\"http:\/\/eepurl.com\/cq0c_j\" target=\"_blank\" rel=\"nofollow noopener noreferrer\" data-href=\"http:\/\/lateralview.us1.list-manage2.com\/subscribe?u=1bb89edb08b35c2b3aae6f015&amp;id=31ad94f616\"><strong class=\"markup--strong markup--p-strong\">Newsletter<\/strong><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando una aplicaci\u00f3n no administra en forma correcta la funcionalidad de autenticaci\u00f3n y la gesti\u00f3n de sesiones de usuario, podr\u00eda permitir que un atacante manipular credenciales de usuario y tokens de sesi\u00f3n para asumir la identidad de otros usuarios. &nbsp; &nbsp; &nbsp; &nbsp; Una aplicaci\u00f3n podr\u00eda ser vulnerable cuando: Las credenciales de usuario no est\u00e1n [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-3983","post","type-post","status-publish","format-standard","hentry","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/3983","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=3983"}],"version-history":[{"count":8,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/3983\/revisions"}],"predecessor-version":[{"id":3991,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/3983\/revisions\/3991"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=3983"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=3983"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=3983"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}