Vulnerabilidades de las cookies en aplicaciones web: Redes Sociales y Streaming
DOI:
https://doi.org/10.33936/isrtic.v7i1.5792Palabras clave:
Robo de Sesión, Redes Sociales, Plataformas de Streaming, Rubber DuckyResumen
El objetivo de esta investigación fue analizar la vulnerabilidad de los ataques relacionados con el Id de sesión y el uso de cookies en ataques Cross Site Request Forgery (CSRF) simulando un ciberataque real en un entorno controlado. La metodología empleada fue Pentesting con OWASP, se divide en cuatro fases: Reconocimiento, se enfocó en el análisis de Redes Sociales y plataformas de Streaming con el propósito de recaudar información que pueda ser utilizada para obtener acceso no autorizado al sistema o aplicación. Análisis de vulnerabilidades, se encargó de seleccionar las herramientas para explotar las vulnerabilidades identificadas. Explotación, consistió en realizar acciones para comprometer el sistema auditado utilizando herramientas automatizadas simulando un Rubber Ducky con el Arduino Raspberry Pi Pico. Post explotación, se enfocó en realizar pruebas para comprobar la información que se puede obtener al explotar las debilidades identificadas. Los resultados que se obtuvieron en base de las cookies, Facebook es la red social más vulnerable y expone la mayor cantidad de datos a los atacantes. Twitter detecta y bloquea la actividad sospechosa, mientras que LinkedIn y Reddit son las más seguras, no se pudo acceder a las cuentas utilizando las cookies extraídas. Por otro lado, YouTube es la plataforma de Streaming que brinda más información a los atacantes, mientras que Netflix es una de las más vulnerables debido a la gran cantidad de cookies encontradas.
Descargas
Citas
Aguilera, O., Pérez, Alí., y Rivero, R. (2017). La protección de la información. Una visión desde las entidades educativas cubanas. Ciencias de la información, 48(3), 41–47. Recuperado: 18/05/2023. Obtenido de: https://www.redalyc.org/articulo.oa?id=181457243006
Álvarez, P. (2022). Top 10 vulnerabilidades web de 2021. Instituto Nacional de Ciberseguridad. Recuperado: 17/05/2023. Obtenido de: https://www.incibe.es/protege-tu-empresa/blog/top-10-vulnerabilidades-web-2021
Carpio, A. (2018). Implementación de un esquema de seguridad inicial para las aplicaciones web del grupo comercial IIASA Ecuador, usando como referencia los riesgos de seguridad de aplicaciones web del apartado OWASP Top 10 2013. DSpace en Espol. Recuperado: 19/05/2023. Obtenido de: https://www.dspace.espol.edu.ec/handle/123456789/43623
Diazgranados, H. (2020). Empresas, principal objetivo de ciberataques en América Latina. Kaspersky. Recuperado: 19/05/2023. Obtenido de: https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/
Fernández-Paniagua, A. (2022). Las Redes Sociales más utilizadas: cifras y estadísticas. Thinking for Innovation. Recuperado: 19/05/2023. Obtenido de: https://www.iebschool.com/blog/medios-sociales-mas-utilizadas-redes-sociales/
Fuentes, J., Castro, S., Medina, B., Moreno, F., y Sepúlveda, S. (2018). Experimentación de controladores digitales clásicos en un sistema embebido aplicado en un proceso térmico. Revista UIS Ingenierías, 17(1), 81-92. Recuperado: 17/05/2023. Obtenido de: https://doi.org/10.18273/revuin.v17n1-2018008
González, B. y Zúniga, M. (2017). Estudio del impacto de las cookies en la seguridad de las aplicaciones web. Research gate. Recuperado: 19/05/2023. Obtenido de: https://www.researchgate.net/publication/324485783_Estudio_del_impacto_de_las_cookies_en_la_seguridad_de_las_aplicaciones_web
Hernández, M. (2022). Pentesting con OWASP: fases y metodología. Blog de Hiberus Tecnología. Recuperado: 19/05/2023. Obtenido de: https://www.hiberus.com/crecemos-contigo/pentesting-owasp-fases-metodologia/
Juan, A. (2018). Seguridad de la Información en las organizaciones. 2(978-958-59925-8-0), 111-121. Recuperado: 19/05/2023. Obtenido de: https://www.researchgate.net/profile/Ivan-Delgado-Gonzalez-2/publication/343167096_Seguridad_de_la_Informacion_en_las_organizaciones/links/5f19eb2345851515ef44b578/Seguridad-de-la-Informacion-en-las-organizaciones.pdf?origin=publicationDetail&_sg%5B0%5D=-
Kaspersky, (2021). Continúa la guerra del streaming: ¿Qué pasa con las ciberamenazas? Kaspersky. Recuperado: 19/05/2023. Obtenido de: https://securelist.lat/streaming-related-cyberthreats-report-2021/95772/
Marcillo, K. (2021). Análisis de las herramientas y técnicas utilizadas en prueba de penetración para la detección de vulnerabilidades en aplicaciones web. Unesum-Ciencias, 5(1), 135-144. Recuperado: 18/05/2023. Obtenido de: https://revistas.unesum.edu.ec/index.php/unesumciencias/article/view/316
Muncaster, P. (2022). Amenazas dirigidas al navegador: cómo buscar en la web de forma segura. WeLiveSecurity. Recuperado: 16/05/2023. Obtenido de: https://www.welivesecurity.com/la-es/2022/08/10/amenazas-dirigidas-navegador-web-como-buscar-forma-segura/
Roca, J., y Fernández, G. (2019). Estudios de seguridad de aplicaciones web. Repositorio Institucional del Centro Universitario de la Defensa. Recuperado: 16/05/2023. Obtenido de: http://calderon.cud.uvigo.es/handle/123456789/328
Vázquez, L. (2022). Descubre cuáles son las 4 plataformas de streaming más usadas del mundo. Uno TV. Recuperado: 19/05/2023. Obtenido de: https://www.unotv.com/ciencia-y-tecnologia/plataformas-de-streaming-mas-usadas-del-mundo-descubre-cuales-son/
Vega, E. (2021). Seguridad de la información. Área de innovación y desarrollo. 3Ciencias Recuperado: 19/05/2023. Obtenido de: https://doi.org/10.17993/tics.2021.4
Vishnu S., y Kulkarni, L. (2023). Survey on micro-controller based bad USB attacks. Journal of Positive School Psychology, 965–974. Recuperado: 17/05/2023. Obtenido de: https://www.journalppw.com/index.php/jpsp/article/view/15319
Vishnu, S., y Kulkarni, L. (2022). Enhancement and implementation of BadUSB attacks using microcontrollers. Journal of Positive School Psychology, 6(9), 563–573. Recuperado: 18/05/2023. Obtenido de: https://www.journalppw.com/index.php/jpsp/article/view/12204
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2023 Aura Dolores Zambrano Rendón, Luis Cristóbal Cedeño-Valarezo , Diego Alexander Avellán Vera , Jahir Enrique Herrera Molina , Kevin Julio Cedeño Zambrano
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Los artículos enviados a esta revista para su publicación serán liberados para su acceso abierto bajo una licencia Creative Commons con Reconocimiento No Comercial Sin Obra Derivada (http://creativecommons.org/licenses/by-nc-nd/4.0)
Los autores mantienen los derechos de autor, y, por lo tanto, son libres de compartir, copiar, distribuir, ejecutar y comunicar públicamente la obra bajo las condiciones siguientes: Reconocer los créditos de la obra especificada por el autor e indicar si se realizaron cambios (puede hacerlo de cualquier forma razonable, pero no de una manera que sugiera que el autor respalda el uso que hace de su obra. No utilizar la obra para fines comerciales. En caso de remezcla, transformación o desarrollo, no puede distribuirse el material modificado.
