DEV Community

Cover image for 🔐 AppSec desde los Protocolos: Cómo HTTP, Cookies y CORS Definen tu Superficie de Ataque
Noruz
Noruz

Posted on

🔐 AppSec desde los Protocolos: Cómo HTTP, Cookies y CORS Definen tu Superficie de Ataque

#webdev #appsec #security #web

En la transición de un rol de desarrollo puro hacia AppSec o DevSecOps, el cambio más importante no es solo técnico, sino de mentalidad. Debemos dejar de ver nuestras aplicaciones únicamente a través del “camino feliz” (happy path) y empezar a entender cómo cada protocolo y componente puede ser manipulado por un atacante.

En esta lección, exploraremos los pilares fundamentales de la comunicación web que todo ingeniero debe dominar para construir software resiliente.

1. 🌐 HTTP: El Protocolo de “Conversación”

Imagina que el protocolo HTTP es como pedir comida en un restaurante: el cliente hace un pedido (request) y el servidor entrega el plato (response). Sin embargo, en AppSec partimos de una premisa crítica: cada byte de esa solicitud (headers, parámetros, cuerpo) está bajo el control total del atacante.

  • El riesgo: Los desarrolladores suelen confiar ciegamente en los datos del cliente, lo que abre la puerta a ataques de manipulación de parámetros y escalada de privilegios.
  • La defensa: La validación en el lado del servidor no es negociable. Nunca debemos procesar lógica de negocio (como precios de productos o roles de usuario) basándonos en lo que el cliente envía en la solicitud; esa información debe provenir de nuestra propia base de datos.

2. 🔒 TLS y HTTPS: Mucho Más que un Candado

Si HTTP es una postal que cualquiera puede leer en el camino, TLS es un sobre de acero sellado que garantiza confidencialidad e integridad.

  • Confidencialidad: Los datos están cifrados 🔐.
  • Integridad: Los datos no pueden ser modificados sin ser detectados 🧩.
  • Autenticación: El cliente verifica que el servidor es quien dice ser mediante certificados 🪪.

Mejor práctica: Implementar HSTS (HTTP-Strict-Transport-Security) para forzar al navegador a usar siempre HTTPS, evitando ataques de degradación como el TLS stripping.

3. 🍪 Cookies y el Manejo de Sesiones

Dado que HTTP es un protocolo sin estado (stateless), las cookies actúan como “tickets de guardarropa” que identifican al usuario. Si un atacante roba este ticket, se convierte en el usuario sin necesidad de contraseña.

Para protegerlas, es vital configurar correctamente sus atributos:

  • HttpOnly: Evita que scripts maliciosos (XSS) lean la cookie 🧪.
  • Secure: Asegura que la cookie solo se envíe sobre conexiones cifradas HTTPS 🔑.
  • SameSite (Strict / Lax): Controla el envío de cookies en solicitudes entre sitios, siendo la defensa principal contra el ataque CSRF (Cross-Site Request Forgery) 🛑.

4. 🧭 La Frontera del Navegador: SOP y CORS

La Política de Mismo Origen (SOP, Same-Origin Policy) es el mecanismo de seguridad más básico del navegador; impide que un sitio malicioso (malware.com) lea datos de tu cuenta en otro sitio (banco.com).

Sin embargo, las aplicaciones modernas necesitan compartir recursos entre dominios. Aquí entra CORS (Cross-Origin Resource Sharing), que es esencialmente una “lista de invitados” donde el servidor le dice al navegador qué dominios externos tienen permiso para leer sus respuestas.

  • Error común: Configurar Access-Control-Allow-Origin: * (comodín) en endpoints que manejan datos sensibles o credenciales, lo que anula las protecciones del SOP.

5. 🔑 Seguridad en APIs y Tokens

Las APIs exponen la lógica de negocio directamente, a menudo sin la capa de desinfección de una interfaz de usuario tradicional.

  • Asignación Masiva (Mass Assignment): Ocurre cuando un API acepta campos JSON que no debería (por ejemplo, isAdmin: true) y los guarda directamente en la base de datos.
  • Manejo de tokens (JWT): Existe un gran debate sobre dónde almacenar los tokens. La recomendación en AppSec suele ser usar cookies HttpOnly y Secure en lugar de localStorage, ya que este último es vulnerable al robo mediante XSS.

6. 🔄 WebSockets y Webhooks: Los Puntos Ciegos

A diferencia del modelo de “carta” de HTTP, los WebSockets son como una “llamada telefónica” abierta donde ambas partes pueden hablar en cualquier momento. Esto complica el control de velocidad y la autorización, que debe validarse en cada mensaje y no solo al inicio de la conexión.

Por otro lado, los webhooks son “timbres” que servicios externos tocan para notificarnos de un evento. Dado que son endpoints públicos, es crítico verificar las firmas HMAC para asegurar que la notificación realmente proviene de un proveedor confiable (como Stripe o GitHub) y no de un impostor.

🛡️ Conclusión: Defensa en Profundidad

La seguridad no se trata de una única herramienta, sino de capas. Combinar validación de entrada, flags de cookies, configuraciones estrictas de CORS y monitoreo continuo es lo que realmente protege una aplicación.

Si solo recuerdas una cosa de esta lección, que sea esta:

la seguridad empieza en los protocolos, no en el framework.

Y, sobre todo, nunca confíes en el cliente 🚨.

Top comments (0)