Guia HCIP Seguridad H12 722 Principios Básicos Web II

53 0 1 0

PRINCIPIOS BÁSICOS WEB PARTE II


Antes de continuar, te invito a que visites el siguiente post que contiene la información inicial del tema para que lo tengas como antecedente:

https://forum.huawei.com/enterprise/es/guia-hcip-seguridad-h12-722-principios-b%C3%A1sicos-web-i/thread/571867-100233



Estructura de un Paquete HTTP de Respuesta

·        Un paquete HTTP de respuesta también consiste en tres partes: línea de estatus, encabezado de respuesta y datos de respuesta.


233451eu2kkbt522m42gz4.png?image.png


·        En un mensaje de respuesta HTTP, la primera línea es la línea de estado, la cual contiene el número de versión de HTTP, los tres dígitos del código de estado y la secuencia de la descripción del estado. Las tres partes están separadas por espacios. La línea de estado está en un formato parecido a HTTP-Version-Code Reason-Phrase CRLF , por ejemplo HTTP/1.1 200Ok. En la información que precede, HTTP-Version  indica la versión del servidor de HTTP, Status-Code indica el estado del código de respuesta que regresa el servidor, y Reason-Phrase  es la descripción del código de estatus. El código de estado consiste en 3 dígitos, en el cual el primer digito define el tipo de respuesta y puede ser cualquiera de los siguientes valores:


§  1xx: Informativo- La petición es recibida y puede ser procesado más allá.

§  2xx: Exitoso- La acción fue recibida de manera satisfactoria, entendida y aceptada. Por ejemplo 200 OK indica que que la petición fue exitosa.

§  3xx: Redirección- Una acción adicional debe ser tomada pata completar la petición.

§  4xx: Error en la petición- la petición contiene un error de sintaxis o no puede ser cumplida. Por ejemplo 400 BAD REQUEST indica que la petición que ha realizado el cliente contiene errores de sintaxis que no pueden ser interpretados por el servidor. 403 FORBIDDEN indica que el servidor recibe la petición pero se rehúsa a cumplirla. 404 NO ENCONTRADO indica que la fuente de la petición no existe

§  5xx: Server Error- El servidor falla al cumplir una petición valida. Por ejemplo, 503 SERVIDOR NO DISPONIBLE indica que el servidor no puede procesar la petición del cliente. 


·        La línea de encabezado consiste en una palabra clave y valores pares. Cada línea tiene un par. La palabra clave y los valores están separados por dos puntos (:). Cada línea termina en un CRLF. La línea de encabezado contiene información acerca del servidor y el paquete. Por ejemplo:

 

§  Servidor: notifica al buscador el nombre y la versión del servidor, por ejemplo Apache/2.2.10.

§  Tipo de Contenido: una entidad de encabezado para especifica el tipo de medio enviado a un recipiente, por ejemplo: tipo de contenido text/html.

 

·        Línea en Blanco

§  Siguiendo el último encabezado de la petición está una línea en blanco para enviar un transporte con los caracteres que regresan y una nueva línea de caracteres para informar al servidor que ahí no hay un encabezado de petición.

 

·        Ejemplos de un paquete de respuesta de HTTP

§  HTTP/1.1 200OK\r\n: línea de estado, indica que la petición es exitosa, y la información que contiene el paquete de respuesta se puede leer.

§  Date: Fri, 11Sep 2009 05:58:46 GMT\r\n: fecha y hora de cuando el paquete se envió

§  Server: Apache\r\n: indica que el paquete es generado por in servidor Apache.

§  Longitud del Contenido: 570: indica la longitud de la entidad.

§  Conexión: Keep-Alive\r\n: informa al cliente mantener la conexión “viva” después de que se envía el paquete.

§  Tipo de Contenido: application/x-javascript\r\n: indica el tipo de objeto en la entidad

§  \r\n: {CRLF}

 

Un Vistazo al Concepto Cookie.

·        Cookie es una tecnología que mantiene el estado de la información de HTTP en un cliente. El servidor WEB envía el paquete de respuesta cargando cokies hacia el buscador el cliente.

135954m7demlvtl8ghkevf.png?image.png

Observemos en la imagen la captura de un paquete donde se señala que en el encabezado se alojan las cookies.



·        Cuando un buscador accede a los recursos de un servidor WEB, este servidor agrega una pieza de datos en el mensaje de respuesta de HTTP y envía el mensaje de respuesta hacia el buscador. Tal pieza de datos se conocida como cookies. El servidor WEB puede enviar diferentes datos a cada buscador.

·        El buscador determina si salva los datos. Una vez que los datos son almacenado, el buscador WEB debe enviar los datos hacia el servidor web en un paquete de petición HTTP cada vez que el buscador acceda al servidor.

·        Aparentemente, las cookies son enviadas primeramente por el servidor WEB, el cual determina si envía las cookies y especifica el contenido de las cookies que se van a enviar.

 

El Concepto de Sesión.

En conceptos técnicos ¿qué es una sesión?

·        Una sesión es un espacio de almacenamiento en un servidor que es mantenido por la aplicación de algún servidor. Cuando un usuario se conecta a un servidor, este servidor genera un ID único de identificación. Este ID de sesión es usado como identificador de la sesión que se almacena en el servidor.

·        Y como ya se ha hecho mención, la sesión es almacenada en el servidor.

 

La Relación entre los Conceptos Cookie y Sesión.

·        Cuando un usuario necesita usar la página de sesión, el servidor WEB genera una sesión y un ID de sesión y responde con una cookie temporal (Key=sessionID). Cuando el usuario solicita acceder a la página por segunda ocasión, la información almacenada en la cookie será transmitida en el paquete de petición. El servidor WEB recibe la petición, lee la sesión a través del ID de sesión, y regresa la información al usuario. Los ID´s de sesión serán enviados al servidor para almacenar los datos de la sesión. Este proceso no involucra la intervención del departamento de TI. Una vez que la cookie se deshabilita en el buscador del cliente, la sesión se vuelve inválida.


140109as06zi7guvq1q1mw.png?image.png

Ø Describamos lo que sucede en el proceso mostrado en la imagen:

 

1.   Petición para la página de sesión.

2.   El servidor crea el ID de la sesión

3.   El servidor responde a la petición con una cookie temporal (key=sessionID)

4.   Petición para la página de sesión incluyendo la cookie.

5.   El servidor lee la sesión usando el ID que contiene la cookie.

6.   Respuesta hacia el usuario.

 

·        Las cookies son almacenadas en el buscador del cliente, lo cual hace que se vuelvan poco fiables. Aunque la sesión es almacenada en el servidor, el usuario obtiene el número de sesión de las cookies almacenadas, por tanto, hace que la sesión se vuelva insegura. Algunas herramientas de captura de paquetes pueden ser usados para robar información de la sesión.

·        Se puede configurar fechas de expiración, agregar firmas ó restringir las direcciones IP para mejorar la seguridad de las sesiones  y la confiabilidad de las cookies.


Hasta aquí la información de la publicación, no olvides comentar y compartir. Si te ha sido útil, no olvides dejar tu ♥

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión