El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
HOME Mis cursos Finalizados
◄ Anterior

Caso de Estudio 1: Análisis de un Incidente de Seguridad

Siguiente ►

En este caso de estudio, analizaremos un incidente de seguridad real para comprender cómo se desarrolló, qué vulnerabilidades fueron explotadas y cómo se podrían haber mitigado. Este ejercicio práctico te ayudará a aplicar los conocimientos adquiridos en los módulos anteriores y a desarrollar habilidades críticas para la identificación y resolución de incidentes de seguridad.

Descripción del Incidente

Contexto

Una empresa de comercio electrónico, "E-Shop", sufrió un ataque que resultó en la exposición de datos sensibles de sus clientes. El ataque se llevó a cabo mediante una vulnerabilidad de inyección SQL en su sistema de gestión de pedidos.

Detalles del Incidente

  • Fecha del Incidente: 15 de marzo de 2023
  • Duración del Incidente: 3 horas
  • Impacto: Exposición de datos personales y financieros de 10,000 clientes
  • Método de Ataque: Inyección SQL
  • Vulnerabilidad Explotada: Falta de validación y sanitización de entradas en el formulario de búsqueda de pedidos

Análisis del Incidente

Paso 1: Identificación de la Vulnerabilidad

Código Vulnerable

El siguiente fragmento de código muestra la consulta SQL vulnerable utilizada en el formulario de búsqueda de pedidos:

<?php
$order_id = $_GET['order_id'];
$query = "SELECT * FROM orders WHERE order_id = '$order_id'";
$result = mysqli_query($conn, $query);
?>

Explicación

  • Falta de Sanitización: El valor de order_id se inserta directamente en la consulta SQL sin ninguna validación o sanitización.
  • Riesgo de Inyección SQL: Un atacante puede manipular el valor de order_id para ejecutar comandos SQL arbitrarios.

Paso 2: Ejecución del Ataque

Ejemplo de Inyección SQL

Un atacante podría enviar el siguiente valor en el parámetro order_id:

' OR '1'='1

Esto modificaría la consulta SQL a:

SELECT * FROM orders WHERE order_id = '' OR '1'='1'

Resultado

La consulta devolvería todos los registros de la tabla orders, exponiendo así los datos de todos los pedidos.

Paso 3: Impacto del Incidente

Datos Expuestos

  • Información Personal: Nombres, direcciones, números de teléfono
  • Información Financiera: Números de tarjetas de crédito, fechas de vencimiento

Consecuencias

  • Pérdida de Confianza: Los clientes afectados pueden perder la confianza en la empresa.
  • Repercusiones Legales: La empresa puede enfrentar multas y sanciones por no proteger adecuadamente los datos de los clientes.

Mitigación y Prevención

Paso 4: Corrección del Código Vulnerable

Código Corregido

El siguiente fragmento de código muestra cómo se puede corregir la vulnerabilidad utilizando consultas preparadas:

<?php
$order_id = $_GET['order_id'];
$stmt = $conn->prepare("SELECT * FROM orders WHERE order_id = ?");
$stmt->bind_param("s", $order_id);
$stmt->execute();
$result = $stmt->get_result();
?>

Explicación

  • Consultas Preparadas: Utilizar consultas preparadas con parámetros evita la inyección SQL al tratar los valores de entrada de manera segura.
  • Validación de Entradas: Siempre validar y sanitizar las entradas del usuario antes de utilizarlas en consultas SQL.

Paso 5: Implementación de Controles Adicionales

Controles de Seguridad

  • Validación del Lado del Servidor: Implementar validaciones estrictas en el servidor para todas las entradas del usuario.
  • Escaneo de Vulnerabilidades: Utilizar herramientas como OWASP ZAP para escanear y detectar vulnerabilidades en la aplicación.
  • Capacitación en Seguridad: Capacitar a los desarrolladores en prácticas de codificación segura y concienciación sobre seguridad.

Ejercicio Práctico

Ejercicio

  1. Identificación de Vulnerabilidades: Revisa el código de una aplicación web y encuentra posibles vulnerabilidades de inyección SQL.
  2. Corrección de Vulnerabilidades: Modifica el código para corregir las vulnerabilidades utilizando consultas preparadas y validación de entradas.
  3. Escaneo de Seguridad: Utiliza OWASP ZAP para escanear la aplicación y verificar que las vulnerabilidades han sido corregidas.

Solución

Código Vulnerable

<?php
$user_id = $_GET['user_id'];
$query = "SELECT * FROM users WHERE user_id = '$user_id'";
$result = mysqli_query($conn, $query);
?>

Código Corregido

<?php
$user_id = $_GET['user_id'];
$stmt = $conn->prepare("SELECT * FROM users WHERE user_id = ?");
$stmt->bind_param("s", $user_id);
$stmt->execute();
$result = $stmt->get_result();
?>

Escaneo de Seguridad

  1. Configura OWASP ZAP: Configura OWASP ZAP para escanear la aplicación.
  2. Ejecuta el Escaneo: Realiza un escaneo completo de la aplicación.
  3. Analiza los Resultados: Revisa los resultados del escaneo y asegúrate de que no se detecten vulnerabilidades de inyección SQL.

Conclusión

En este caso de estudio, hemos analizado un incidente de seguridad real, identificando la vulnerabilidad explotada y el impacto del ataque. También hemos aprendido cómo corregir la vulnerabilidad y cómo implementar controles adicionales para prevenir futuros incidentes. Este ejercicio práctico refuerza la importancia de la validación y sanitización de entradas, así como el uso de herramientas de escaneo de seguridad para proteger las aplicaciones web.

◄ Anterior
Siguiente ►

Curso de OWASP: Directrices y Estándares para la Seguridad en Aplicaciones Web

Módulo 1: Introducción a OWASP

Módulo 2: Principales Proyectos de OWASP

Módulo 3: OWASP Top Ten

Módulo 4: OWASP ASVS (Application Security Verification Standard)

Módulo 5: OWASP SAMM (Software Assurance Maturity Model)

Módulo 6: OWASP ZAP (Zed Attack Proxy)

Módulo 7: Buenas Prácticas y Recomendaciones

Módulo 8: Ejercicios Prácticos y Casos de Estudio

Módulo 9: Evaluación y Certificación

El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
© Copyright 2024. Todos los derechos reservados