La segunda semana de 2009 se celebró en Washington D.C. una convección de seguridad en la que se presentó un documento elaborado por SANS y MITRE en la que se analizaban los 25 errores de programación mas peligrosos que solían cometer los desarrolladores.
Este año han actualizado esta lista de vulnerabilidades entre las que se encuentran las conocidas SQL Injection (segundas en la lista), XSS (a la cabeza de la lista), PHP File Inclusion (la 13 en la lista), etc. La verdad este documento da que pensar en que en muchas ocasiones se sigue sin tener en cuenta la seguridad a la hora de desarrollar las aplicaciones. Este documento es una buena recomendación aunque solo sea para comenzar a concienciar a los desarrolladores.
En mi web os he colgado los documentos del 2009 y del 2010 para que podáis comparar la lista del año pasado con la de este, podéis bajároslas desde aquí:
http://elblogdecalles.es/estandares.html
A raíz de este documento se me ocurrió la idea de que podría ser interesante para proteger los activos de una organización que utilice como servidor web un Microsoft Server 2008 o 2008 R2 la programación de módulos para IIS7 e IIS7.5. El desarrollo de estos módulos es un tema que ya fue tratado en los post que os pongo a continuación:
Creación e Instalación de Módulos para IIS 7 (I de III)
Creación e Instalación de Módulos para IIS 7 (II de III)
Creación e Instalación de Módulos para IIS 7 (III de III)
Para la cadena de post que hoy doy comienzo, como ejemplo, voy a implementar un pequeño módulo para el IIS que permita proteger los ataques que se podrían realizar contra una base de datos SQL Server a través de los servicios web de nuestra organización y que permitirían obtener información privilegiada debido al mal desarrollo de las aplicaciones que acceden a una BBDD. Para ello utilizaré un metaservicio en XML, donde se irán actualizando distintos patrones de ataque que podrían ser utilizados para vulnerar una base de datos y comprobaré que las distintas peticiones que se hagan al servicio web no contenga ningún patrón de ataque.
En el próximo post, os explicaré la arquitectura del sistema y comenzaremos el desarrollo del módulo.
saludos!
Enviado
abr 09 2010, 04:47
por
Juan Antonio