Page 46

UNIDAD 5 APACHE

además del permiso de escritura, para que el usuario pueda subir formatos ejecutables. La vulnerabilidad es provocada por un simple error tipográfico en la lista de tipos de ficheros que están sujetos a este filtro, de forma que no contempla los ejecutables .COM. Esta vulnerabilidad sólo afecta a la lista distribuida con IIS 5.0. (IIS 4.0 y 5.1 están libres del error). Para que un atacante pueda aprovechar con resultados la vulnerabilidad debe tener acceso de escritura en un directorio para subir el ejecutable .COM y, además, permisos de ejecución para poder lanzarlo. -Cross-Site Scripting, CSS (IIS 4.0, 5.0 y 5.1) Implicaciones: Permite a un atacante inyectar código en las páginas que sirve un servidor web a un usuario. Cross-Site Scripting es una vulnerabilidad bien conocida que afecta a numerosas aplicaciones web. En el caso de IIS se encuentra en numerosas páginas web que se distribuyen en el servidor web para tareas de administración y documentación. Como suele ocurrir en estos casos la inyección de código es posible debido a que no se filtran de forma adecuada las entradas.

5.3.9 SEGURIDAD Una programación segura es muy importante, pero no podemos olvidar la plataforma del servidor en la que la aplicación reside, empezando por el sistema operativo y llegando hasta el software encargado de prestar el servicio HTTP, por lo que ciertos consejos de seguridad en lo referente a este último nunca deben despreciarse. Sin embargo debido a los diferentes tipos de servidores web y sistemas operativos, estos consejos pueden variar sustancialmente aunque los principios de protección sean los mismos.

En este artículo especialmente vamos a centrar nuestra atención en el Internet Information Service (conocido comúnmente como IIS) que es la plataforma que

1.

42

Apache Server Unidad 5  

Sistemas Web

Apache Server Unidad 5  

Sistemas Web

Advertisement