ANEXO II Medidas de seguridad\5 Medidas de protección [mp]5 Medidas de protección [mp]\5.8 Protección de los servicios [mp.s]\5.8.2 Protección de servicios y aplicaciones web [mp.s.2]

5.8.2 Protección de servicios y aplicaciones web [mp.s.2]

dimensiones

todas

categoría

básica

media

alta

 

aplica

=

+

 

Los subsistemas dedicados a la publicación de información deberán ser protegidos frente a las amenazas que les son propias.

a)      Cuando la información tenga algún tipo de control de acceso, se garantizará la imposibilidad de acceder a la información obviando la autenticación, en particular tomando medidas en los siguientes aspectos:

1.      Se evitará que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado.

2.      Se prevendrán ataques de manipulación de URL.

3.      Se prevendrán ataques de manipulación de fragmentos de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en terminología inglesa como "cookies".

4.      Se prevendrán ataques de inyección de código.

b)      Se prevendrán intentos de escalado de privilegios.

c)      Se prevendrán ataques de "cross site scripting".

d)      Se prevendrán ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como "proxies" y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como "cachés".

 

Nivel BAJO

Se emplearán "certificados de autenticación de sitio web" acordes a la normativa europea en la materia.

 

Nivel ALTO

Se emplearán "certificados cualificados de autenticación del sitio web" acordes a la normativa europea en la materia.

 

principio