elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Seguridad HTTPS		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Seguridad HTTPS  (Leído 2,615 veces)
Agata33

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Seguridad HTTPS
« en: 2 Enero 2018, 12:51 pm »
Hola:
Estoy creando una aplicación para móvil de notificación de incidencias, donde se puede enviar avisos de desperfectos en el mobiliario urbano indicando la dirección donde se encuentra el desperfecto y también se puede enviar una foto. Si atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias.
Por otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema?
Gracias
En línea
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Seguridad HTTPS
« Respuesta #1 en: 2 Enero 2018, 16:20 pm »
si atacan y te rompen HTTPS estás en un problema muy grave... en este caso la seguridad de tu servidor para nada sirve ya y tus usuarios están en riesgo...

por otro lado

Citar
Si atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias.

esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado... cambiar la localización de la incidencia es facil con un sistema de "falsificación de ubicacion gps", son programas que le dicen al telefono que leer en lugar del gps

Citar
Por otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema?

nope, violados los mecanismos anteriores no hay forma de validar, se llaman "ataques de confianza"
En línea
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
HardC0d3

Desconectado Desconectado

Mensajes: 49



Ver Perfil
Re: Seguridad HTTPS
« Respuesta #2 en: 3 Enero 2018, 23:49 pm »
Pregunto desde la ignorancia:


Citar
engel lex:
Si atacan y te rompen HTTPS estás en un problema muy grave...
¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado?
Sé que se puede "trampear" pero ¿El estandar HSTS no protege contra SSLstrip y demás ataques?


Citar
Agata33:
... podrían modificar las propiedades de la incidencia.

engel lex:
Esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado.

¿Cómo se protegen las webs y aplicaciones contra esto?

Gracias.
En línea
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Seguridad HTTPS
« Respuesta #3 en: 4 Enero 2018, 01:10 am »
Citar
¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado?

a la primera, basicamente no, no se puede actualmente a menos que use un metodo de cifrado inseguro... sin embargo un atacante podría ponerse en el medio y usar su cifrado, aunque hsts te protege de eso, no es infalible

a la segunda, instalas un certificado fijo, así no hay cifrado intermedio que valga ya que el cifrado tiene que coincidir con la firma digital...


Citar
¿Cómo se protegen las webs y aplicaciones contra esto?
no te puedes proteger contra que el usuario mande datos alterados, por esto se llama "ataque de confianza", es como detectar que quien introduce la contraseña no es el humano que la creó...
En línea
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Averigua el nivel de seguridad SSL de una página web (HTTPs)
Noticias 		wolfbcn 2 2,682 Último mensaje 16 Junio 2011, 20:45 pm
por el-brujo
Los sitios web con seguridad HTTPS son inseguros
Noticias 		wolfbcn 0 1,621 Último mensaje 29 Abril 2012, 01:33 am
por wolfbcn
seguridad https wireshark
Seguridad 		membricoptero 4 3,468 Último mensaje 5 Diciembre 2015, 18:42 pm
por 83RT1
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines