150. CSV INJECTION - Ataques

Platiquemos de este tipo de ataque, los archivos CSV son un tipo de archivos muy común, los cuales se emplean para compartir información entre diversos sistemas de manera sencilla, este formato es empleado por varias aplicaciones tanto comerciales como propias de una empresa.

Existen algunos programas comerciales, como Excel, open office etc, que permiten interpretar la información con algunas formulas ( en algunos casos un desarrollador llega a buscar interpretar campos de un CSV para poder obtener ciertos datos o ejecutar ciertos procesos)

La inyección de CSV, consiste en aprovechar esta capacidad, y en vez de enviar un dato, enviar una formula, esperando que el servidor sea capaz de interpretarla, comúnmente se emplea el signo = y posteriormente se escribe la formula.

Ahora me preguntaran ¿Que daño puede hacer?, realmente puede hacer mucho daño, se puede poner un hyperlink, ejecutar un comando externo un comando externo nos puede dar acceso a un servidor etc.

En muchas ocasiones el tomar una funcionalidad que existe para dar mucha flexibilidad a nuestros aplicativos, abre una puerta para poder causar daños mayores, vean que puertas abren, aprendan a construir sus barreras.

Felices lineas

149. Ataques

Platicando con un amigo surgió un tema en la conversación, la seguridad en nuestras aplicaciones, ¿creamos aplicaciones seguras?, ¿Realmente es muy difícil encontrar una aplicación verdaderamente segura?

Por desgracia la respuesta es no, no creamos aplicaciones seguras hoy en día, hemos caído en un problema muy grabe, en que sistemas es fácil de aprender, y en que desarrollamos para funcionalidad, no para seguridad. Y aunque nos duela los de .net estamos mucho mas lejos todavía de una programación segura, entonces me dirán, pero ejecuto las reglas básicas de seguridad que vienen en Visual Studio, ejecuto los análisis de código, eso ayuda, pero eso no es un diseño en el que se pueda validar la seguridad.

Entonces deberíamos hablar de los diseños y la seguridad, pero no, no voy ha hablar de eso, ¿por que?, por algo sencillo, para poder diseñar la contención, primero es necesario sabe como es un ataque.

Entonces te pregunto ¿Cuantos tipos de ataques conoces?, ¿Has intentado romper tus propios sistemas con ellos?, no estoy pidiendo nada raro, ni complejo, solo ejecuta ataques a tu sistema y veamos que pasa.... Instala un Kali linux y prueba algunos ataques genéricos... cualquier sistema debería poder resistirlos.

Pero volvemos a lo mismo, como construimos una muralla, si yo no se como es el ejercito que me va a a tacar.

Construyo una pared para un ataque por aire?, ¿como debo diseñar mi software?

La respuesta es para poder armar tu defensa conoce al atacante.

Necesitamos aprender ¿Que tipos de ataque existen? ¿Como hacerlos? y ¿Como detenerlos?, y esto debemos tenerlo en mente desde el momento en el que construimos nuestra aplicación.

En próximas entradas pondré una breve descripción de diferentes tipos de ataque, primero quiero que los conozcas, después veremos como hacerlos y controlarlos, no estoy diciendo que ataque un sistema que no es tuyo, estoy diciendo que sepas como defenderte.

felices lineas

48. Reflexión sobre seguridad

Una muralla impenetrable puede ser derribada muy fácilmente, si el enemigo ya se encuentra dentro de nuestro hogar..., algo que se ha hablado por mucho tiempo incluso desde antes de que la informática existiera, y que mayor ejemplo que lo que es el caballo de trolla.

Las mayores fugas y problemas de seguridad dentro de una organización no ocurren desde afuera, ocurren desde dentro, el hecho de que los miembros de una organización no se sientan parte de ella abre brechas de seguridad muy importantes. 

Crear desconfianza entre los integrantes de la organización es el peor error que podemos cometer, ya que el ser humano tiende a revelarse, la mejor seguridad que podemos construir es en base a la confianza, a ser una empresa, y a trabajar como un verdadero equipo.

Por seguridad basada en la confianza no me refiero a abrir todas las puertas, sino me refiero a que debo confiar en mi organización, transmitir ese sentimiento de confianza para crear una responsabilidad compartida, para que los integrantes de mi organización se sientan parte de ella, se sientan comprometidos y por ende no traicionen a la organización.

Una seguridad basada en la confianza nos ayuda a protegernos mutuamente, en vez e buscar el pretexto para enviar un correo broma (cosa que en muchas organizaciones ocurre) cuando alguien deja su sesión abierta con el pretexto de dar una lección a esta persona, cerramos la sesión considerando el elemento como parte del equipo de trabajo, de un equipo con el mismo objetivo.

Ahí vamos a otro tema, los integrantes de esta organización segura deben tener objetivos similares, y un plan de vida definido, saber a donde van, ese saber a donde van da estabilidad, y nos permite incorporarlos a un plan único de la organización.

La mejor seguridad siempre se construye desde el interior.

Bueno es solo un comentario