Nunca piense “sólo es un sitio web”.
La cantidad de sitios web y las aplicaciones que se ven comprometidos a diario por atacantes buscando datos sensibles o siendo usados como vector de ingreso a las empresas, sigue llegando a nuevos niveles. Las contraseñas de clientes, información personal identificable (ley 1581 de protección de datos personales), datos financieros, datos de salud o propiedad intelectual, que tienen los sitios web y los servicios relacionados son extremadamente importantes para las organizaciones. Los factores de riesgo de intrusión son muchos y están creciendo continuamente. Incluso un simple plugin o tema de diseño puede llevar a una violación de los datos de sus organizaciones y potencialmente, la red interna. No permita que su empresa este en las noticias por ser una organización comprometida.
Mucho en riesgo
Es fácil ver un sitio web como un blog como una aplicación inofensiva. La realidad, sin embargo, es que el software del blog, sus complementos y sus temas están creando una gran superficie de ataque para ser explotada. La contraseña del blog de un usuario puede ser la misma que las cuentas de su VPN o Intranet. Además, muchos sitios web externos no están debidamente segmentados de otros recursos de red, lo que permite un compromiso de algo más que una publicación en un blog.
No se necesita habilidad
La mayoría de los recursos orientados a Internet para muchas empresas son aplicaciones web. Sabiendo esto, conjuntos de herramientas completos y programas de evaluación de vulnerabilidad están dedicados a evaluar y explotar cuidadosamente el código de la aplicación web. Con muchas de estas técnicas que requieren poco esfuerzo por parte de un atacante, la capacidad de escanear un servidor web y robo sin problemas debe ser una gran preocupación para cualquier organización.
Es fácil dejar la puerta abierta.
Desarrollar aplicaciones web seguras es bastante difícil si no se da un enfoque en la seguridad durante todo el proceso. Incluso los desarrolladores experimentados de aplicaciones web nunca habrán oído hablar de los tipos de explotación comunes contra su plataforma de desarrollo. Con vulnerabilidades posibles no sólo en su propio código, sino en las bibliotecas y marcos que utilizan, el potencial de explotación es bastante alto. Además, el servidor de aplicaciones web y los módulos soportados también pueden conducir a la explotación en casos de franja dependiendo de la configuración.
A diferencia de otras plataformas de desarrollo, las aplicaciones web están generalmente abiertas a toda Internet con una cantidad desconocida de atacantes y bots que exploran el código débil. Un solo desliz-para arriba con el escape de una secuencia o la comprobación para una entrada apropiada de una forma puede conducir a un compromiso de la aplicación completa. A medida que un sitio web crece en complejidad y añade elementos dinámicos (como el acceso a bases de datos o la carga de complementos), los riesgos aumentan exponencialmente debido a la posibilidad de que exista una vulnerabilidad en el producto o sitio.
Incluso si usted confía en su proveedor de aplicaciones web de su elección, pocas empresas tienen un registro impecable. Ya sea que su equipo desarrolle su propio código, modifique la aplicación web de otra empresa o simplemente descargue un software de un sitio gratuito, la única garantía que puede tener de que no es vulnerable es que los profesionales de seguridad calificados revisen la aplicación para problemas. Hay demasiado en riesgo para no hacerlo.