Seguridad Servicios Web

Cliente Servidor 2
Docente: Ing. Luis Cuenca
Alumno: Jos Chuquimarca

Seguridad en Servicios Web

Porque es necesario implementar la seguridad en los servicios web?

Que mecanismos o formas hay para implementar la seguridad en los servicios

web.

Dentro de CodeIgniter como puedo aplicar dicha seguridad.

Porque es necesario implementar la seguridad en los

servicios web?

Prevenir ataques maliciosos.

Desfiguracin de la pgina Web.

Robo de informacin.

Modificacin de datos.

Intrusin en el servidor Web.

Ataques Comunes

Inyeccin SQL (SQLi)

Este atacante disea una cadena utilizando comandos especficos de Structured

Query Language (SQL), Estas cadenas pueden introducirse en lugares como cajas de
bsqueda, formas de inicio de sesin e incluso directamente en una url para anular
las medidas de seguridad del cliente en la propia pgina.

Cross-Site Scripting (XSS) /(Permite scripts inyectados)

El atacante puede crear cdigo que se ejecuta cuando otros usuarios abren el
mismo sitio web. Esto hace que los nuevos usuarios interacten con la entidad
fondo malicioso creado por el atacante.
Una vez que una conexin se ha iniciado, por lo general a travs de tcticas de
ingeniera social para convencer a un usuario a hacer algo que no debe, el atacante
es capaz de infiltrarse en las computadoras de sus visitantes del sitio web

Posibles Soluciones

Asegurar una autenticacin entre el cliente que accede a los servicios web y
el proveedor.

Se debe mantener una poltica de autorizacin del acceso a recursos .

Creacin de canales seguros como SSL y el cifrado de partes especficas de

documentos mediante el cifrado XML .

Que mecanismos o formas hay para implementar la

seguridad en los servicios web.

La verificacin de los datos de entrada

El protocolo HTTP se utiliza por naturaleza para administrar las solicitudes, es

decir, para recibir los datos de entrada y enviar los datos de retorno.
Los datos se pueden enviar de varias maneras:

La URL de la pgina Web

En encabezados HTTP

En el cuerpo de la solicitud (solicitud POST)

A travs de una cookie

En general, la idea bsica a tener en cuenta durante el proceso de desarrollo

es que nunca se debe confiar en los datos enviados por el cliente.

Que mecanismos o formas hay para

implementar la seguridad en los servicios web.

Incluir su poltica de Seguridad de la empresa.

Proteccin Servidores.

Cifrar datos confidenciales

Dentro de CodeIgniter como puedo

aplicar dicha seguridad.

Seguridad en URI

CodeIgniter es bastante restrictivo sobre que caracteres permitir en las cadenas URI
para ayudar a minimizar la posibilidad de que datos maliciosos puedan ser pasados a su
aplicacin. Las URIs slo pueden contener lo siguiente:

Texto alfanumrico

"Tilde": ~

Punto: .

Dos puntos: :

Guion bajo: _

Guion: -

Dentro de CodeIgniter como puedo

aplicar dicha seguridad.

Consejos:

Filtrar los datos como si fueran contaminados.

Validar los datos para asegurarse que conforman el tipo correcto, largo,
tamao, etc. (a veces, este paso puede reemplazar al paso uno)

Escapar los datos entes de enviarlo a su base de datos.

Dentro de CodeIgniter como puedo

aplicar dicha seguridad.
CodeIgniter provee las siguientes funciones para asistirlo en este proceso

Filtro de XSS

CodeIgniter viene con un filtro de XSS (Cross Site Scripting). Este filtro busca
tcnicas comunmente usadas para embeber Javascript malicioso a sus datos, u
otro tipo de cdigo que intente "secuestrar" (hijack) cookies o hacer otra cosa
maliciosa. El Filtro XSS es descripto aqu.

Validar los datos

CodeIgniter tiene una Clase de Validacin que le asiste en la validacin, filtro y

preparacin de datos.