Seguridad

Protección contra ataques de Cross Site Scripting (XSS) y ClickJacking

Las vulnerabilidades XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la víctima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Clickjacking es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen click en páginas web aparentemente inocentes.

AUTENTICAR aplica protecciones para proteger a todos los usuarios de ambos ataques anteriormente indicados.

Protección contra exposición de datos sensibles

Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador.

AUTENTICAR permite que todas las conexiones sean seguras utilizando HTTPS con el fin de evitar que atacantes puedan capturar tráfico de red y obtener un token de acceso.

Protección contra Redirecciones y reenvíos no validados

Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing, malware o utilizar reenvíos para acceder páginas no autorizadas. AUTENTICAR requiere que todas las aplicaciones y clientes registrados registren al menos un patrón URI de redirección.

AUTENTICAR comprobará el URI de redireccionamiento en comparación con la lista de patrones URI registrados válidos,cada vez que un cliente solicita a AUTENTICAR que realice una redirección.

Protección contra Cross Site Request Forgery (CSRF)

Un ataque de CSRF obliga al navegador de una víctima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la víctima.

AUTENTICAR utiliza la especificación de inicio de sesión de OAuth 2.0 para que todos los inicios de sesión estén protegidos.