Core Security anuncia una nueva tecnología gratuita de protección de aplicaciones web

Esta tecnología, presentada en Black Hat USA 2007 por investigadores de CoreLabs, el brazo dedicado a investigación de Core Security, permite detectar y bloquear ataques de inyección del lado de la aplicación. Aunque la tecnología podría aplicarse a cualquier entorno de aplicaciones web y a una gran cantidad de ataques a las mismas, la compañía está proveyendo una implementación open-source de CORE GRASP para prevenir ataques de inyección de comandos SQL (SQL-injection attacks) para aplicaciones desarrolladas en PHP.

“Las aplicaciones web son el eslabón débil en la infraestructura de seguridad informática de muchas organizaciones. Esto se debe al alto número de exploits e incidentes relacionados con SQL injection, cross-site scripting y otras vulnerabilidades relacionadas con las aplicaciones web. Las aplicaciones PHP son particularmente preocupantes debido al alto y acelerado crecimiento del número de bugs que se conocen, así como de la poca consideración que se le da a la seguridad durante el desarrollo y la instalación de las mismas”, dijo Iván Arce, CTO de Core Security. “Esperamos que la contribución que hacemos con la tecnología GRASP a la comunidad de seguridad de aplicaciones web ayude a mejorar el estado de la seguridad de PHP”.

Si bien existen varias herramientas de seguridad para aplicaciones web, éstas no previenen eficientemente la explotación de inyección de SQL u otras vulnerabilidades que son vectores de ataques comunes y altamente preligrosos. Los atacantes regularmente roban o modifican la información almacenada en las bases de datos (en el back end de la aplicación) para ganar acceso al back end mismo, explotando vulnerabilidades de inyección en aplicaciones web. Adicionalmente, una vez que las vulnerabilidades son detectadas, éstas son típicamente difíciles de arreglar en tiempo y forma pues este proceso usualmente involucra identificar y corregir bugs en el código fuente y re-instalar las aplicaciones arregladas (emparchadas) en los sistemas de producción.

El pasado 2 de Agosto de 2007, los investigadores de Core Security Ezequiel Gutesman y Ariel Waissbein -durante la conferencia Black Hat USA 2007 en Las Vegas, NV, USA- presentaron los resultados de un proyecto de investigación que ataca esta problemática e introdujeron a CORE GRASP. Esta tecnología de protección de aplicaciones web se basa en una técnica de análisis dinámico granular sobre el flujo de datos reminiscente del taint analysis de Perl. No requiere acceder o hacer cambios en el código fuente de las aplicaciones web a proteger, y puede instalarse para resguardar aplicaciones ya existentes después de un mínimo esfuerzo de configuración. Durante la presentación los investigadores describieron en detalle una implementación completa para proteger PHP y demostraron explícitamente como resguarda las aplicaciones contra inyección de SQL. Gutesman y Waissbein invitaron a la audiencia a unirse al desarrollo y colaborar en el proyecto.

Compartir
Redacción Covernews

Publicado por
Redacción Covernews

Entradas recientes

  • Negocios ARG

Renault Argentina inaugura su universidad corporativa para el futuro de la movilidad

Renault Argentina anunció la apertura de ReKnow University, su universidad corporativa diseñada para el desarrollo…

6 días hace
  • Tecnología ES

Globant presenta una nueva edición de CONVERGE enfocada en la reinvención de negocios con IA

Globant, compañía global centrada en la transformación digital, anunció su evento anual CONVERGE bajo el…

6 días hace
  • Negocios ARG

Visa habilita el pago de propinas digitales en Argentina

Visa lanza su nueva funcionalidad para el pago de propinas de forma digital, alineada con…

6 días hace
  • Breves

El ITBA presenta una nueva edición de What’s Next sobre tecnologías y habilidades del futuro

La Escuela de Innovación del Instituto Tecnológico de Buenos Aires (ITBA) anunció la cuarta edición…

6 días hace
  • Management ARG

N5 designa a Diego Castronuovo como Head of Artificial Intelligence para sus operaciones globales

La empresa multinacional N5, especializada en soluciones para la industria financiera, ha nombrado a Diego…

6 días hace
  • Tecnología ARG

Aston Martin Aramco y Xerox anuncian una asociación para impulsar la tecnología en la Fórmula Uno

El equipo de Fórmula Uno Aston Martin Aramco ha anunciado una nueva asociación estratégica con…

6 días hace