TEORIA

Model d'Amenaces i Riscos en Entorns Web

Identifiquem com, on i per què una aplicació web pot ser atacada: de la teoria a l'anàlisi pràctica de vulnerabilitats.

1

Superfícies d'Atac: Client vs. Servidor

En un entorn web hem de protegir dos fronts clarament diferenciats. Cada costat té els seus propis objectius d'atac i vulnerabilitats característiques:

🖥️

Seguretat en el Client (Frontend)

  • Focus: L'usuari final i el seu navegador.
  • Objectiu de l'atacant: Robar cookies de sessió, suplantar la identitat o redirigir a l'exterior.
  • Atacs clau: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) i Clickjacking.
🗄️

Seguretat en el Servidor (Backend)

  • Focus: La infraestructura, el servidor d'aplicacions i la base de dades.
  • Objectiu de l'atacant: Accedir a dades massives, executar ordres al SO o deixar el servei inoperatiu.
  • Atacs clau: Injecció SQL, Buffer Overflow i DoS/DDoS.
Diagrama superfícies d'atac Client vs Servidor
Diagrama: Exemple d'atacs a Client vs Servidor images/teoriaM03/Session_Attacks_Fixation.jpg
Llegir guia: OWASP Web Security Testing Guide — owasp.org
2

Vectors d'Atac Comuns

Els vectors d'atac són els mètodes que fan servir els ciberdelinqüents per explotar les vulnerabilitats d'un sistema:

🧠

Enginyeria Social

Manipulació psicològica per obtenir dades sensibles. Un atacant es fa passar per suport tècnic per aconseguir credencials. Inclou tècniques com el pretexting o el baiting.

🎣

Phishing

Suplantació d'identitat mitjançant correus o webs falses dissenyades per capturar credencials de l'usuari de forma enganyosa.

💣

Malware i Ransomware

Software maliciós que compromet sistemes o xifra fitxers per demanar un rescat econòmic (extorsió). És un dels atacs més lucratius per als ciberdelinqüents.

🐛

Vulnerabilitats de Software

Errors en el codi (com els recollits per OWASP) que permeten l'explotació tècnica directa de l'aplicació o la infraestructura.

3

OWASP Top 10: Vulnerabilitats Crítiques

L'estàndard d'OWASP classifica els 10 riscos més importants per a les aplicacions web, ordenats per impacte i probabilitat. Aquí els més rellevants per a les pràctiques:

OWASP Top 10 2021
Diagrama: OWASP Top 10 images/teoriaM03/owasp-top10.png
Llegir estàndard: OWASP Top 10 — owasp.org
A01

Broken Access Control

No es validen correctament els permisos d'usuari. Un usuari autentat modifica la URL per accedir a dades d'un altre client (IDOR).

Mitigació: Validar permisos al servidor. Principi de menor privilegi.
A02

Cryptographic Failures

Contrasenyes en text pla o protocols obsolets com HTTP o TLS 1.0 exposen dades sensibles.

Mitigació: HTTPS/TLS 1.3 i hash forts (Argon2, Bcrypt).
A03

Injection

Dades no fiables executades com a ordres. SQL Injection: ' OR '1'='1. XSS: Scripts al navegador de la víctima.

Mitigació: Consultes parametritzades i sanejament d'entrades.
A04

Insecure Design

Manca de controls de seguretat ja en la fase de disseny de l'aplicació, no en la implementació.

Mitigació: Cicle SSDLC i modelat d'amenaces des del primer dia.
A06

Vulnerable Components

Ús de llibreries o frameworks amb fallades conegudes. Cas real: Equifax va ser vulnerat per un Apache Struts sense parchear.

Mitigació: Actualitzar dependències i auditar el SBOM.
A07

Auth Failures

Problemes en la verificació d'identitat: contrasenyes febles o sense protecció contra atacs de força bruta.

Mitigació: Autenticació Multifactor (MFA).
💡
Recordatori: L'OWASP Top 10 no és una llista de bugs concrets sinó de categories de riscos. Aplicar les seves mitigacions de forma sistemàtica és la base de qualsevol auditoria de seguretat web.
4

Avaluació de Riscos i Mitigació

Davant de qualsevol amenaça identificada, hem de seguir un procés estructurat de tres fases:

1

🗂️ Identificació d'Actius

Llistar els elements crítics del sistema: bases de dades, credencials, APIs i qualsevol dada de valor per a l'empresa o els usuaris.

2

🔍 Anàlisi de Vulnerabilitats

Identificar quins atacs de l'OWASP podrien afectar els actius. Exemple: "La base de dades és vulnerable a SQL Injection (A03)".

3

🛡️ Plans de Mitigació

Definir accions concretes per reduir el risc: còpies de seguretat xifrades, segmentació de xarxa i validació estricta d'entrades.

⚠️
Recorda: La mitigació no elimina el risc al 100%, sinó que el redueix fins a un nivell acceptable. L'objectiu és gestionar el risc residual de forma conscient i documentada.
Diagrama avaluació de riscos i mitigació
Diagrama: Avaluació de Riscos i Mitigació images/teoriaM03/why-are-risk-assessments-important-scaled.jpg
Llegir recurs: Risk Management — isaca.org

🗂️ Resum Ràpid

Superfície Client XSS, CSRF, Clickjacking → Robar sessions i suplantar identitats.
Superfície Servidor SQL Injection, Buffer Overflow, DoS → Accés massiu i inoperativitat.
Vectors d'Atac Enginyeria Social · Phishing · Malware/Ransomware · Vulnerabilitats.
OWASP A01–A07 Broken Access Control, Crypto Failures, Injection, Insecure Design...
Avaluació de Riscos Identificar Actius → Analitzar Vulnerabilitats → Plans de Mitigació.
Risc Residual Mai s'elimina al 100%. L'objectiu és gestionar-lo de forma conscient.