.gif){kind=small}
.gif){kind=small}
Es una vulnerabilidad a través de la cual el atacante identifica o conoce mediante escaneos o análisis manuales, los componentes débiles de una aplicación web como los frameworks y ejecuta el ataque.
Se refiere al uso de componentes tales como librerías, frameworks y otros módulos de software, que en muchas ocasiones funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podria facilitar la intrusión en el servidor o una perdida de datos.
IDENTIFICAR LA VULNERABILIDAD
Esta vulnerabilidad es difícil de identificar dadas las versiones de los componentes, solo se puede verificar buscando en las bases de datos de sitios con CVE (Common Vulnerabilities and Exposures ) y NVD (National Vulnerability Database), si existe ya que cada referencia de vulnerabilidad tiene un número de identificación único que detalla en que consiste la vulnerabilidad, qué versiones de software están afectadas y la posible solución, además de la configuración de los equipos para prevenirlo.
- Identificar las versiones que están usando los componentes, incluyendo dependencias, en este caso podría no usar componentes sin codificar.
- Revisar la seguridad del componente en bases de datos públicas CVE y NVD, lista de corros del proyecto y lista de correo de seguridad.
- Mantener actualizados los componentes.
- Establecer políticas de seguridad, pasar test de seguridad, licencias aceptables etc.
- Agregar capas de seguridad alrededor del componente para deshabilitar funcionalidades sin utilizar.
- Identificar los componentesde acuerdo con la version, incluyedo dependencias.
- Actualizar constantemente los componentes en bases de datos públicas. Listas de correo del proyecto y de seguridad.
- Adoptar polìticas de seguridad que regulen el uso de componentes.
- Tener la opcion de agregar capas de seguridad al componente para deshabilitar funcionalidades no utilizadas.
Reportajes e investigaciones acerca del uso de código abierto:
- https://www.pcworld.com.mx/Articulos/32188.htm
- https://cioperu.pe/articulo/16747/es-seguro-el-software-de-codigo-abierto/
- https://es.opensuse.org/Software_libre_y_de_c%C3%B3digo_abierto
Referencias externas
- CVE (Common Vulnerabilities and Exposures) diccionario de vulnerabilidades conocidas de la seguridad de la información y la comunicación. Disponible en https://cve.mitre.org/
- Lista de vulnerabilidades corregidas de Ruby on Rails con la recomendaciones de las versiones a actualizar, disponible en: https://muyseguridad.net/2016/02/02/vulnerabilidades-ruby-on-rails-saltarse-seguridad/
Reportajes e investigaciones acerca del uso de código abierto:
https://www.pcworld.com.mx/Articulos/32188.htm
https://cioperu.pe/articulo/16747/es-seguro-el-software-de-codigo-abierto/
https://es.opensuse.org/Software_libre_y_de_c%C3%B3digo_abierto
· Algunas referencias externas como CVE (Common Vulnerabilities and Exposures) diccionario de vulnerabilidades conocidas de la seguridad de la información y la comunicación. Disponible en
· Lista de vulnerabilidades corregidas de Ruby on Rails con la recomendaciones de las versiones a actualizar, disponible en:
https://muyseguridad.net/2016/02/02/vulnerabilidades-ruby-on-rails-saltarse-seguridad/
