ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

1. ADMINISTRACION DE REDESTEMAREDIRECCIONES Y REENVÍOS NO VALIDADOS ORLEY OROZCO NATALIA GIRALDO

2. REDIRECCIONES Y REENVÍOS NO VALIDADOS. Es una de las vulnerabilidades del Top Ten de OWASP. La vulnerabilidad que nos ocupa hoy es muy simple. Se trata de la redirección del usuario de nuestra aplicación a una página no segura donde por ejemplo, se puede haber implementado un ataque de phishing o algo similar.

3. PHISHING: Cuando hablamos de phishing hacemos referencia a una estafa que utiliza mecanismos electrónicos, como puede ser un mensaje de correo electrónico o una página web, para convencer al usuario que revele información sensible, que va desde datos personales y privados hasta las credenciales de acceso a servicios.

4. Los ataques phishing son posibles por la combinación de unos mecanismos débiles de protección de acceso que generalmente no son otra cosa que una simple combinación de usuario y contraseña, y la capacidad innata de las personas a revelar cualquier información a quien nos la pregunte.

5. El método utilizado con más frecuencia en los casos de Phishing masivo consiste en el envío de mensajes Que simulan ser Enviados por alguien sobre quien en Teoría confiamos y donde se nos informe que, por Cualquier circunstancia, es preciso revelar nuestra contraseña de usuario o bien "verificar" nuestros Datos rellenando un formulario.

6. Por qué se producen estas redirecciones: No es difícil encontrar una aplicación que en determinadas ocasiones, por necesidad de la propia aplicación se realice una redirección legítima a través de un valor obtenido por un Parámetro. Un ejemplo sería algo como: www.example.org/redirigir.php?url=example2.org

7. Esta página recogería el parámetro y haría una redirección a URL recibida. Pero, ¿qué pasa si un atacante ha conseguido modificar ese parámetro?. Pues que nuestra aplicación estaría redirigiendo a una URL ilegítima con las posibles consecuencias de ello.

8. URL: (Uniform Resource Locator) Localizador Uniforme de Recursos. Una URL es una dirección que permite acceder a un archivo o recurso como ser páginas html, php, asp, o archivos gif, ipg, etc. Se trata de una cadena de caracteres que identifica cada recurso disponible en la WWW. En conclusión es una Forma de organizar la información en la web.

9. Si nuestro usuario hiciera click en el enlace con la redirección alterada, acabaría sufriendo un ataque de phishing. Surgen varias preguntas. Estamos preparados para identificar este tipo de ataques. Tenemos la capacidad de discernir los mensajes legítimos de aquellos que no son otra cosa que una estafa en potencia.

10. Aún así este tipo de ataques son fáciles de evitar. Basta con realizar las validaciones oportunas a la hora de hacer redirecciones. Toda redirección realizada a partir de un parámetro tendría que Ser validada previamente comprobando que dicha redirección se va a realizar a un destino válido y confiable.

11. SOY VULNERABLE: La mejor forma de averiguar si una aplicación dispone de redirecciones y re-envíos no validados, es verificar que. Se revisa el código para detectar el uso de redirecciones o reenvíos (llamados transferencias en .NET). Para cada uso, identificar si la URL objetivo se incluye en el valor de algún parámetro. Si es así, verificar que el parámetro se comprueba para que Contenga únicamente un destino, o un recurso de un destino, válido.

14. COMO PUEDO EVITAR ESTO: Puede realizarse un uso seguro de redirecciones y reenvíos de varias maneras: 1.Simplemente, evitando el uso de redirecciones y reenvíos. 2.No seguir los links que aparecen en los correos porque podrían llevarte a una pagina que no existe.

15. 3.La mejor forma es nunca responder a ninguna solicitud de información personal a través de un correo electrónico. 4.Instale programas completos de seguridad y manténgalos actualizados, como el antivirus, cortafuegos y firewall pueden protegerlos de aceptar inadvertidamente este tipo de archivos.