Seguridad en el Desarrollo de Software    Metodología para la auditoría de seguridad             de aplicaciones web.     ...
¿Quién Soy?                 Juan Carlos Pérez        perezpardojc@gmail.com        twitter.com/perezpardojcwww.linkedin.co...
Agenda. Introducción y la Propuesta. Introducción a las aplicaciones web y la seguridad. Amenazas y vulnerabilidades. ...
Introducción y la Propuesta. Se propone un estudio científico que tenga como objetivo identificar  las características y ...
Propuesta (I). Identificar las características y funcionalidades más comunes  presentes en aplicaciones web. Determinar ...
Propuesta (II).                                                   Elaborar una metodología para                           ...
Alcance.          •       Gran número de vulnerabilidades, amenazas y                  características.          •       …...
Introducción a las aplicaciones       web y la seguridad     Capas de una aplicación web:  Capas de una aplicación web des...
Amenazas y VulnerabilidadesSeguridad en el Desarrollo de   2012, Juan Carlos Pérez , Universidad Pontificia de   9Software...
Amenazas y Vulnerabilidades          Capa Física:           Deficiente control de acceso a la sala de servidores         ...
Amenazas y Vulnerabilidades          Capa de SO y Servicios:          Deficiente definición de permisos (acceso archivos ...
Medidas de seguridad y buenas prácticasSeguridad en el Desarrollo de   2012, Juan Carlos Pérez , Universidad Pontificia de...
Medidas de seguridad y buenas prácticas           Capa Física:           Controles de acceso a la sala de servidores     ...
Medidas de seguridad y buenas prácticas                                Uso de Cortafuegos para crear una DMZSeguridad en e...
Medidas de seguridad y buenas prácticas           Capa de SO y Servicios:           Estricta definición de permisos      ...
Medidas de seguridad y buenas prácticas                          Uso de captcha para prevenir automatizaciónSeguridad en e...
Características principales de las                           aplicaciones webSeguridad en el Desarrollo de   2012, Juan Ca...
Características principales de las      aplicaciones web           Capa Física:           Hardware propio de la empresa  ...
Características principales de las      aplicaciones web           Capa Sistema Operativo y Servicios:           Sistema ...
Metodología             Metodología para la auditoría de seguridad en                           aplicaciones web          ...
Metodología     Objetivo principal                                                     Verificación y Comprobación        ...
Metodología                                Confidencialidad                                                               ...
Metodología          Herramientas y conocimientos necesarios:           Conocimientos en el área de aplicaciones web     ...
Metodología          Aspectos fundamentales           Si la aplicación web no es segura, entonces toda la información    ...
Metodología          Etapas de la metodología           Planificación           Ejecución de la auditoría           Com...
Metodología          Planificación: Objetivos y Alcance                                              TODO                 ...
Metodología          Ejecución de la auditoría: Levantamiento y Verificación          Enfoque:           Verificar presen...
Metodología          Ejecución de la auditoría: Levantamiento y Verificación                                              ...
Metodología     Fragmento: ETAPA 2 – Verificación de capa aplicación           13.1. Inicio de Sesión de Usuario.         ...
Metodología          Seguimiento: verificaciónSeguridad en el Desarrollo de   2012, Juan Carlos Pérez , Universidad Pontif...
CONCLUSIONESSeguridad en el Desarrollo de   2012, Juan Carlos Pérez , Universidad Pontificia de   31Software              ...
Conclusiones           Si un aspecto tiene fallas, toda la aplicación esta            en riesgo           Una metodologí...
Consideraciones          Es una metodología no comercial          Es muy poca o inexistente la información sobre        ...
Aportes del Trabajo          Definición de un esquema por capas desde el          punto de vista de la seguridad para las...
Trabajos a Futuro          Extender y ampliar el conjunto de características          comunes en las aplicaciones web    ...
¿PREGUNTAS?Seguridad en el Desarrollo de   2012, Juan Carlos Pérez , Universidad Pontificia de   36Software               ...
Metodología para la auditoría de seguridad                               de aplicaciones web.                             ...
Upcoming SlideShare
Loading in …5
×

Auditoria en aplicaciones web

4,745 views

Published on

Auditoria en aplicaciones web

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Hola que tal le hablo desde Colombia, mi observacion al respecto es al configurar una DMZ, no se si se ha dado cuenta q al hacerlo el router y el acceso a este hace que los procesadores se aletarguen
    sobre todo para configurar otras cosas al interior del router
    he conocido otras medidas que son mas efectivas y son mas livianas para los pc0s como es el filtro de extenciones y otras cosas al interior del router, de todas formas le agradezco or su aporte
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
4,745
On SlideShare
0
From Embeds
0
Number of Embeds
21
Actions
Shares
0
Downloads
160
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Auditoria en aplicaciones web

  1. 1. Seguridad en el Desarrollo de Software Metodología para la auditoría de seguridad de aplicaciones web. Universidad Pontificia de Salamanca Máster en Ingeniería del Software curso 2011/12
  2. 2. ¿Quién Soy? Juan Carlos Pérez perezpardojc@gmail.com twitter.com/perezpardojcwww.linkedin.com/in/jcperezdoteu
  3. 3. Agenda. Introducción y la Propuesta. Introducción a las aplicaciones web y la seguridad. Amenazas y vulnerabilidades. Medidas de seguridad y buenas prácticas. Características principales de las aplicaciones web. Metodología. Caso de estudio. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 3 Software Salamanca en Madrid
  4. 4. Introducción y la Propuesta. Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas. Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes.Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 4Software Salamanca en Madrid
  5. 5. Propuesta (I). Identificar las características y funcionalidades más comunes presentes en aplicaciones web. Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas Determinar las medidas de seguridad y controles respectivos Elaborar una metodología para la auditoría de seguridad en las aplicaciones web Aplicar la metodología en diferentes aplicaciones web Implementar medidas de seguridad en las aplicaciones web estudiadasSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 5Software Salamanca en Madrid
  6. 6. Propuesta (II). Elaborar una metodología para la auditoría de seguridad en aplicaciones web Aplicar la metodología para Determinar vulnerabilidades y identificar vulnerabilidades y amenazas de las características amenazas en aplicaciones web de las aplicaciones web Recomendar medidas y Identificar características controles de seguridad en las principales de las aplicaciones web aplicaciones webSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 6Software Salamanca en Madrid
  7. 7. Alcance. • Gran número de vulnerabilidades, amenazas y características. • …está en constante aume nto. • Se consideran las más importantes y comunes. • Todos los aspectos de las aplicaciones web… • Los conceptos y principios comprendidos son generales.Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 7Software Salamanca en Madrid
  8. 8. Introducción a las aplicaciones web y la seguridad Capas de una aplicación web: Capas de una aplicación web desde el punto de vista de la seguridadSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 8Software Salamanca en Madrid
  9. 9. Amenazas y VulnerabilidadesSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 9Software Salamanca en Madrid
  10. 10. Amenazas y Vulnerabilidades Capa Física:  Deficiente control de acceso a la sala de servidores  Catástrofes naturales, accidentes y Fallas Capa de Red:  Deficiente protección de los datos en el tránsito  Acceso a recursos sensiblesSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 10Software Salamanca en Madrid
  11. 11. Amenazas y Vulnerabilidades Capa de SO y Servicios: Deficiente definición de permisos (acceso archivos y ejecución) Utilizar versiones viejas e inseguras de los servicios Capa de Aplicación: Ataques de fuerza bruta Inyección de Código SQL Cross Site ScriptingSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 11Software Salamanca en Madrid
  12. 12. Medidas de seguridad y buenas prácticasSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 12Software Salamanca en Madrid
  13. 13. Medidas de seguridad y buenas prácticas Capa Física: Controles de acceso a la sala de servidores Sistemas de detección y control humedad, temperatura, humo, extintores, etc. Capa de Red: Configurar una DMZ Configurar una VPNSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 13Software Salamanca en Madrid
  14. 14. Medidas de seguridad y buenas prácticas Uso de Cortafuegos para crear una DMZSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 14Software Salamanca en Madrid
  15. 15. Medidas de seguridad y buenas prácticas Capa de SO y Servicios: Estricta definición de permisos Antivirus Chequeo de integridad de binarios Capa de Aplicación: Filtrar la entrada de datos (Filter Input) Escapado de salida (escape output) Uso de herramientas para distinguir autómatas de humanos (CAPTCHA)Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 15Software Salamanca en Madrid
  16. 16. Medidas de seguridad y buenas prácticas Uso de captcha para prevenir automatizaciónSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 16Software Salamanca en Madrid
  17. 17. Características principales de las aplicaciones webSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 17Software Salamanca en Madrid
  18. 18. Características principales de las aplicaciones web Capa Física: Hardware propio de la empresa Hardware arrendado a terceros (hosting) Capa Red: Equipos de acceso público a través de la red Equipos de acceso privadoSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 18Software Salamanca en Madrid
  19. 19. Características principales de las aplicaciones web Capa Sistema Operativo y Servicios: Sistema Operativo Servidores de Bases de datos Capa Aplicación: Inicio de sesión de usuario vía formulario HTML Recuperación de contraseña Administradores remotos Registro de usuarios en líneaSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 19Software Salamanca en Madrid
  20. 20. Metodología Metodología para la auditoría de seguridad en aplicaciones web  Basada en las principales características de las aplicaciones web METODOLOGÍASeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 20Software Salamanca en Madrid
  21. 21. Metodología Objetivo principal Verificación y Comprobación Capa Física Característica 1 Característica 2 Capa Red Característica … Característica … Capa SO y Servicios Característica … Característica … Capa Aplicación Característica n-1 Característica nSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 21Software Salamanca en Madrid
  22. 22. Metodología Confidencialidad GRUPO AUDITORSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 22Software Salamanca en Madrid
  23. 23. Metodología Herramientas y conocimientos necesarios:  Conocimientos en el área de aplicaciones web  Un mínimo de comprensión de los tópicos en cada capa  Uso de herramientas y técnicas modelación: ej. Diagramas UML, DFD, Entidad Relación  Herramientas de software:  Sniffers, Escáneres de Vulnerabilidades  Herramientas propias  No se es específico a la inclusión o uso de alguna herramientaSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 23Software Salamanca en Madrid
  24. 24. Metodología Aspectos fundamentales  Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro.  Los sitios web y sus aplicaciones web relacionadas deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.  Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.  Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.  Ocultar objetos no garantiza su seguridad.Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 24Software Salamanca en Madrid
  25. 25. Metodología Etapas de la metodología  Planificación  Ejecución de la auditoría  Comunicación de resultados  SeguimientoSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 25Software Salamanca en Madrid
  26. 26. Metodología Planificación: Objetivos y Alcance TODO PARTESeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 26Software Salamanca en Madrid
  27. 27. Metodología Ejecución de la auditoría: Levantamiento y Verificación Enfoque:  Verificar presencia de Vulnerabilidades  Comprobar existencia o no, y deficiencia de Controles  AMBOSSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 27Software Salamanca en Madrid
  28. 28. Metodología Ejecución de la auditoría: Levantamiento y Verificación ?Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 28Software Salamanca en Madrid
  29. 29. Metodología Fragmento: ETAPA 2 – Verificación de capa aplicación 13.1. Inicio de Sesión de Usuario. Verificar existencia o no de vulnerabilidades en cuanto a: 13.1.1. Ataques de Fuerza bruta 13.1.2. Abuso de funcionalidad 13.1.3. Revelación de información 13.1.4. Inyección de código o comandos Verificar existencia o no y deficiencia en cuanto a políticas y controles de: 13.1.8. Captcha 13.1.9. Filtrado de entrada 13.1.10. Escapado de salida 13.1.11. Conexiones seguras 13.1.12. Manejo de sesión apropiado 13.1.13. Enmascarado de información sensibleSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 29Software Salamanca en Madrid
  30. 30. Metodología Seguimiento: verificaciónSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 30Software Salamanca en Madrid
  31. 31. CONCLUSIONESSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 31Software Salamanca en Madrid
  32. 32. Conclusiones  Si un aspecto tiene fallas, toda la aplicación esta en riesgo  Una metodología general  Se requiere total colaboración por parte de los diferentes equipos de trabajo  Dificultades para aplicar la metodología  Es un trabajo minucioso y consume gran cantidad de tiempo  El grupo auditor requiere ser multidisciplinario  Importancia de las políticas sobre las prácticas  El trabajo de auditoría es un proceso continuo  Seguridad en las personasSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 32Software Salamanca en Madrid
  33. 33. Consideraciones Es una metodología no comercial Es muy poca o inexistente la información sobre las características comunes de las aplicaciones web No siempre es posible constatar la información sobre la arquitectura física y de red Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma Entender el código de otras personas Se debe aplicar periódicamenteSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 33Software Salamanca en Madrid
  34. 34. Aportes del Trabajo Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web Recopilación de vulnerabilidades y amenazas en las aplicaciones web. Recopilación de medidas de seguridad en las aplicaciones web. Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad Metodología para la auditoría de seguridad de Aplicaciones WebSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 34Software Salamanca en Madrid
  35. 35. Trabajos a Futuro Extender y ampliar el conjunto de características comunes en las aplicaciones web Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web Recopilar las nuevas medidas de seguridad en las aplicaciones web Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones WebSeguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 35Software Salamanca en Madrid
  36. 36. ¿PREGUNTAS?Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 36Software Salamanca en Madrid
  37. 37. Metodología para la auditoría de seguridad de aplicaciones web. Gracias !Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 37Software Salamanca en Madrid

×