Seguridad en Aplicaciones Web

4,193 views
4,002 views

Published on

Desarrollo de Seguridad en las aplicaciones web

Published in: Education, Business, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,193
On SlideShare
0
From Embeds
0
Number of Embeds
68
Actions
Shares
0
Downloads
192
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguridad en Aplicaciones Web

  1. 1. HACKEO Y DEFENSA PARA APLICACIONES WEB<br />PRESENTADO POR: ABEL ESTRELLA HUANCAYO<br />
  2. 2.
  3. 3. DESARROLLO <br />Configuración de la aplicación Web<br />  Aplicación Web Hacking<br />Amenazas de Aplicaciones Web<br />Desarrollo de un Ataque<br />Medidas de Defensa<br />Herramientas de Hacking de Aplicaciones Web <br />
  4. 4. CONFIGURACIÓN de LA aplicación Web<br />
  5. 5.
  6. 6. APLICACIONES WEB HACKING<br />Clonación de sitios web <br />Robo de tarjeta de crédito información <br />Aprovechamiento del lado del servidor scripting <br />La explotación de desbordamientos de búfer <br />Ataques al Servidor de Nombres de Dominio (DNS).<br />Empleo de códigos maliciosos <br />Denegación de Servicio <br />Destrucción de datos<br />
  7. 7. DESARROLLO DE UN ATAQUE<br />ESCANEO<br />RECOPILACION DE INFORMACIÓN<br />REALIZAR PRUEBAS O TESTEO<br />PLANIFICACIÓN DE ATAQUE<br />INICIO DEL ATAQUE<br />
  8. 8. <ul><li>Interoperatividad entre Lenguajes .
  9. 9. Cualquier Lenguaje o protocolo puede ser victima.
  10. 10. La forma semántica de las funciones, programación.
  11. 11. Los meta caracteres</li></li></ul><li>Amenazas en aplicaciones Web<br />
  12. 12.
  13. 13. Cross-site scripting<br />
  14. 14.
  15. 15.
  16. 16.
  17. 17. Medidas<br />Validar todas las cabeceras, las cookies, las cadenas de consulta, los campos del formulario, y campos ocultos (es decir, todos los parámetros) en contra de un riguroso especificación.<br />Adoptar una estricta política de seguridad<br />Filtrado de salida la secuencia de comandos también para afrontar a las vulnerabilidades de XSS evitando que se transmiten a los usuarios.<br />Eliminando Html_tags<br />Codificando los htmltags<br />Validando http_referer<br />
  18. 18. Injection<br />Un ataque típico es la inyección: variar significado sentencia (en nuestro beneficio)<br /> Las aplicaciones web necesitan guardar datos<br />RDBMS (MySQL, MS-SQL, PostgreSQL, Oracle...)<br />LDAP<br />…<br />XML<br />SQL Injection<br />LDAP Injection<br />XPath Injection<br />
  19. 19.
  20. 20. SLQ INJECTION<br />
  21. 21.
  22. 22.
  23. 23. Medidas<br />El primer paso para prevenir los ataques basados en SQL injection es ser consciente de que un usuario no siempre va a proporcionarte la entrada que tu piensas.<br />El segundo paso es realizar algo que es básico en seguridad: validación de datos. Para cada dato sea cual sea, proveniente de un usuario de la aplicación debemos asegurarnos de que sea válido y del tipo adecuado. <br />
  24. 24. Cookie/sessionpoisoning<br />
  25. 25.
  26. 26. Medidas<br />No guarde en texto plano o contraseña cifrada débil en un cookie.<br />Implementar eliminación de cookies por tiempo.<br />Las cookies de autenticación de credenciales debería estar asociada con una dirección IP.<br />Hacer salir funciones disponibles.<br />
  27. 27. Buffer Overflow<br />
  28. 28. Medidas<br />Validar formularios de entrada de longitud.<br />Comprobar los límites y mantener un cuidado especial cuando se utiliza a los bucles al momento de realizar copiado de los datos.<br />StackGuard y StackShield para Linux son herramientas para la defensa de programas y sistemas.<br />
  29. 29. Herramientas de Hacking<br /><ul><li>InstantSource
  30. 30. Wget
  31. 31. WebSleuth
  32. 32. BlackWidow
  33. 33. WindowBomb
  34. 34. Burp
  35. 35. cURL</li></li></ul><li>InstantSource<br />
  36. 36. WGET<br />
  37. 37. Ejemplos<br />Bajar un archivo: <br /> <br />wget http://www.inti.gov.ar/index.html<br /> <br />Bajar un archivo del cual ya bajamos una parte con otro programa: <br /> <br />wget -c http://www.inti.gov.ar/index.html<br /> <br />Bajar el directorio completo de http://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/ donde estan unos .deb que queremos bajarnos: <br />Wget -r -A=.html,.deb -nc -nphttp://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/<br /> <br />Bajar un archive de Ftp:<br /> <br />wget ftp://username:password@ftp.example.net/somedir/somefile<br /> <br />El mismo archive con password adicional:<br /> <br />Wget ftp://ftp.example.net/somefile --ftp-user=username --ftp-password= ”password”<br />
  38. 38. WebSleuth - Screenshot<br />
  39. 39. Blackwidow<br />
  40. 40. SiteScopeTool<br />
  41. 41. Normas de Seguridad de Aplicaciones web<br />
  42. 42. OWASP” (Open Web Application Security Project<br />La &quot;seguridad gracias al desconocimiento&quot; no funciona.<br />Verificación de privilegios<br />Ofrecer la mínima información<br />consideraciones de arquitectura, mecanismos de autenticación, gestión de sesiones de usuario, control de acceso, registro de actividad, prevención de problemas comunes, consideraciones de privacidad y criptografía.<br />Validación de la entrada y salida de información .<br />Diseños simples .<br />Utilización y reutilización de componentes de confianza<br />Defensa en profundidad<br />Tan seguros como el eslabón más débil<br />
  43. 43. CONCLUSIONES<br />Ningún Lenguaje de programación puede prever código inseguro, aunque dentro de sus características permita el bloqueo de información confidencial y relevante.<br /> <br />El no uso de herramientas lógicas, ya sea firewall, verificaciones de las aplicaciones web, depuraciones, permitirán la mayor vulnerabilidad de estas.<br /> <br />El mayor uso plataformas web, por la diversidad de empresas y para todo tipo de servicios, donde las aplicaciones web tienen el papel más importante, convirtiéndolo en la interfaz de comunicación entre empresas y clientes, por ello de su implementación con estándares de seguridad.<br /> <br />A la par que avanzan las aplicaciones web, el avance del hackeo va en paralelo.<br />
  44. 44. RECOMENDACIONES<br />Tener Buenas prácticas para el uso de internet es decir: <br />usar contraseña en el equipo (router) de conexión a internet<br />Establecer mejores prácticas de uso de internet tales como navegar en sitios conocidos/seguros, evitar dar click a links enviados por otros usuarios, evitar abrir correos electrónicos de fuentes desconocidas<br />Utilizar una herramienta Antivirus con Firewall personal, detector de intrusos y soluciones Anti-Spam y Anti-Phishing<br />Es importantísimo crear aplicaciones web con, por lo menos, un nivel mediano y alto de seguridad.<br />Seguir el desarrollo de proyectos y normas para Aplicaciones Web Abiertas como el caso de Guía OWASP” (Open Web Application Security Project). <br />

×