SlideShare a Scribd company logo

Seguridadappswebfrcu2008 1227940522216168-8 (1)

Download as ODP, PDF
Alejandro Zapata Marquez
Alejandro Zapata Marquez
1 of 18
Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ Semana Internacional de la Seguridad Informática 2008 U.T.N. - F.R. C. del Uruguay Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Contenidos Las aplicaciones y su seguridad. Introducción a las aplicaciones web. Amenazas a las aplicaciones web. Algunos ejemplos. Demostración en vivo. Recursos y lecturas adicionales. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Aplicaciones Web Qué son las aplicaciones web? páginas estáticas? páginas activas? páginas dinámicas? HTTP? Webservices? CGI? DHTML? (X)HTML? Javascript? AJAX? XML? Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Aplicaciones Web Solicitud + Datos HTTP (GET - POST), Variables de Sesión Respuesta (X)HTML+CSS, XML+XSLT Ciclo solicitud-respuesta Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Componentes Una aplicación web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la seguridad: Aplicación propiamente dicha. Lenguaje(s) / Framework. Servidor web. Servidor de base de datos. Navegador Web. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos: Problemas de validación de datos. Problemas de autenticación. Problemas de manejo de sesiones. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de validación de datos: SQL Injection. Cross Site Scripting (XSS). Buffer Overflow. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Demostración de algunos problemas de validación de datos. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Validación de Datos Prevención: Nunca confíe en las entradas del usuario. Nunca asuma que la información proviene de la aplicación. “Sanear” las entradas de usuario. Validar en el servidor. Ocultar errores y fallar en seguro. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de autenticación: Falta de politica de contraseñas. Ataques de fuerza bruta. Buffer Overflow. Abuso del “recordar contraseña” Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de manejo de sesiones: Manipulación de cookies y tokens. Variables de sesión expuestas. Cross Site Request Forgery. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Cross Site Request Forgery bank.com blog.net JS document, cookies Política del “mismo origen” Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Cross Site Request Forgery Por ejemplo colocando en blog.com: <p> Parece una simple página con un poco de texto, no? <img src="http://bank.com/transfer.php? monto=9000&dest=123" width="0" height="0"/> </p> Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Cross Site Request Forgery Ataque a una red “segura” Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Vulnerabilidades Demostración de un ataque de CSRF. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Cross Site Request Forgery Prevención: Evite usar sesiones persistentes. Usar GET de manera apropiada. Usar tokens y TTLs. Reautenticar en el cliente usando AJAX. Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Lecturas Adicionales Open Web Application Security Project (OWASP) http://www.owasp.org/ “Guide to Building Secure Web Applications”. (en español). “OWASP Code Review Guide”. “SQL Injection Attacks by Example” http://unixwiz.net/techtips/sql-injection.html Prof. Ing. Gabriel Arellano
Seguridad en Aplicaciones Web Gracias! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ (2008) Gabriel E. Arellano Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front- Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as applicable to this document can be found at: http://www.gnu.org/copyleft/fdl.html Prof. Ing. Gabriel Arellano

Recommended

Producto 2 alexandra_mendoza_ortiz
Producto 2 alexandra_mendoza_ortizProducto 2 alexandra_mendoza_ortiz
Producto 2 alexandra_mendoza_ortizAlexandra O
 
Virus informaticos.
Virus informaticos.Virus informaticos.
Virus informaticos.Neyris
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticaspalg26
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Virus En Redes
Virus En RedesVirus En Redes
Virus En Redesfelipe salamanca
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Virus caro
Virus caroVirus caro
Virus carocarolinaporrascordoba
 

Recommended

Producto 2 alexandra_mendoza_ortiz
Producto 2 alexandra_mendoza_ortizProducto 2 alexandra_mendoza_ortiz
Producto 2 alexandra_mendoza_ortizAlexandra O
 
Virus informaticos.
Virus informaticos.Virus informaticos.
Virus informaticos.Neyris
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticaspalg26
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Virus En Redes
Virus En RedesVirus En Redes
Virus En Redesfelipe salamanca
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Virus caro
Virus caroVirus caro
Virus carocarolinaporrascordoba
 
Virus
VirusVirus
VirusNicolasAlvaradoVazqu
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad InformaticaC:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informaticacarmelacaballero
 
Prevencion en Internet
Prevencion en InternetPrevencion en Internet
Prevencion en Internetcomputadora9
 
Riesgos de la información electrónica
Riesgos de la información electrónicaRiesgos de la información electrónica
Riesgos de la información electrónicacarlos Humberto Garcia Rondon
 
Virus Informatico
Virus InformaticoVirus Informatico
Virus Informaticoguest86cb6f
 
Presentacion riesgos de la informacion
Presentacion riesgos de la informacionPresentacion riesgos de la informacion
Presentacion riesgos de la informacionJohana Martinez
 
Virus informáticos y vacunas
Virus informáticos y vacunasVirus informáticos y vacunas
Virus informáticos y vacunasalbaluz45
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
Mapa mental mariadejesus
Mapa mental mariadejesusMapa mental mariadejesus
Mapa mental mariadejesusMaria de Jesus Reyes Betancourt
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Antivirus en android
Antivirus en androidAntivirus en android
Antivirus en androidMelissaBazanNieves
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Proyecto innovador antivirus
Proyecto innovador antivirusProyecto innovador antivirus
Proyecto innovador antivirusvaleskaguerreromendo
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Riesgos
RiesgosRiesgos
RiesgosDavidsebastiancarden1
 
Raul aldana
Raul aldanaRaul aldana
Raul aldanakike1324
 
La evolucion de internet
La evolucion de internetLa evolucion de internet
La evolucion de internetirvingjerson2000
 
mantenimiento correctivo
mantenimiento correctivomantenimiento correctivo
mantenimiento correctivoLeandra Ines Meza Orozco
 
How important am i & my problems
How important am i & my problemsHow important am i & my problems
How important am i & my problemsCynthia Newton
 
ENTERATE
ENTERATEENTERATE
ENTERATEdiana
 
Coolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de DiseñoCoolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de DiseñoManuel Serrano Ortega
 

More Related Content

What's hot

C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad InformaticaC:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informaticacarmelacaballero
 
Prevencion en Internet
Prevencion en InternetPrevencion en Internet
Prevencion en Internetcomputadora9
 
Virus Informatico
Virus InformaticoVirus Informatico
Virus Informaticoguest86cb6f
 
Presentacion riesgos de la informacion
Presentacion riesgos de la informacionPresentacion riesgos de la informacion
Presentacion riesgos de la informacionJohana Martinez
 
Virus informáticos y vacunas
Virus informáticos y vacunasVirus informáticos y vacunas
Virus informáticos y vacunasalbaluz45
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Raul aldana
Raul aldanaRaul aldana
Raul aldanakike1324
 

What's hot (19)

Virus
VirusVirus
Virus
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad InformaticaC:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
C:\Documents And Settings\Pablo\Mis Documentos\Seguridad Informatica
 
Prevencion en Internet
Prevencion en InternetPrevencion en Internet
Prevencion en Internet
 
Riesgos de la información electrónica
Riesgos de la información electrónicaRiesgos de la información electrónica
Riesgos de la información electrónica
 
Virus Informatico
Virus InformaticoVirus Informatico
Virus Informatico
 
Presentacion riesgos de la informacion
Presentacion riesgos de la informacionPresentacion riesgos de la informacion
Presentacion riesgos de la informacion
 
Virus informáticos y vacunas
Virus informáticos y vacunasVirus informáticos y vacunas
Virus informáticos y vacunas
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
Mapa mental mariadejesus
Mapa mental mariadejesusMapa mental mariadejesus
Mapa mental mariadejesus
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Antivirus en android
Antivirus en androidAntivirus en android
Antivirus en android
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Proyecto innovador antivirus
Proyecto innovador antivirusProyecto innovador antivirus
Proyecto innovador antivirus
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Riesgos
RiesgosRiesgos
Riesgos
 
Raul aldana
Raul aldanaRaul aldana
Raul aldana
 
La evolucion de internet
La evolucion de internetLa evolucion de internet
La evolucion de internet
 
mantenimiento correctivo
mantenimiento correctivomantenimiento correctivo
mantenimiento correctivo
 

Viewers also liked

How important am i & my problems
How important am i & my problemsHow important am i & my problems
How important am i & my problemsCynthia Newton
 
ENTERATE
ENTERATEENTERATE
ENTERATEdiana
 
Coolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de DiseñoCoolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de DiseñoManuel Serrano Ortega
 
Avanza2: actuaciones red.es 2009 (SMH)
Avanza2: actuaciones red.es 2009 (SMH)Avanza2: actuaciones red.es 2009 (SMH)
Avanza2: actuaciones red.es 2009 (SMH)muriel sebas
 
Presentacion omar vigetti tasa conversion_workshop_lima
Presentacion omar vigetti tasa conversion_workshop_limaPresentacion omar vigetti tasa conversion_workshop_lima
Presentacion omar vigetti tasa conversion_workshop_limaeCommerce Institute
 
Clase practicas marketing
Clase practicas marketingClase practicas marketing
Clase practicas marketingsantyguiscasho
 
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...iSOCO
 
La Motivacion
La MotivacionLa Motivacion
La Motivacionvanpe29s
 

Viewers also liked (9)

How important am i & my problems
How important am i & my problemsHow important am i & my problems
How important am i & my problems
 
ENTERATE
ENTERATEENTERATE
ENTERATE
 
Coolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de DiseñoCoolhunting Community > IED Instituto Europeo de Diseño
Coolhunting Community > IED Instituto Europeo de Diseño
 
Avanza2: actuaciones red.es 2009 (SMH)
Avanza2: actuaciones red.es 2009 (SMH)Avanza2: actuaciones red.es 2009 (SMH)
Avanza2: actuaciones red.es 2009 (SMH)
 
Marketing En La Era De La Conexión
Marketing En La Era De La ConexiónMarketing En La Era De La Conexión
Marketing En La Era De La Conexión
 
Presentacion omar vigetti tasa conversion_workshop_lima
Presentacion omar vigetti tasa conversion_workshop_limaPresentacion omar vigetti tasa conversion_workshop_lima
Presentacion omar vigetti tasa conversion_workshop_lima
 
Clase practicas marketing
Clase practicas marketingClase practicas marketing
Clase practicas marketing
 
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...
Multiplica Evento iSOCO - Webs que convierten de forma inteligente, teniendo ...
 
La Motivacion
La MotivacionLa Motivacion
La Motivacion
 

Similar to Seguridadappswebfrcu2008 1227940522216168-8 (1)

Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webHacking Bolivia
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Fernando Redondo Ramírez
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10tabai
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 

Similar to Seguridadappswebfrcu2008 1227940522216168-8 (1) (20)

Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL Injections
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3
 
Programación Segura en python. Owasp Venezuela
Programación Segura en python. Owasp VenezuelaProgramación Segura en python. Owasp Venezuela
Programación Segura en python. Owasp Venezuela
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación Web
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 

Seguridadappswebfrcu2008 1227940522216168-8 (1)

  • 1. Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ Semana Internacional de la Seguridad Informática 2008 U.T.N. - F.R. C. del Uruguay Prof. Ing. Gabriel Arellano
  • 2. Seguridad en Aplicaciones Web Contenidos Las aplicaciones y su seguridad. Introducción a las aplicaciones web. Amenazas a las aplicaciones web. Algunos ejemplos. Demostración en vivo. Recursos y lecturas adicionales. Prof. Ing. Gabriel Arellano
  • 3. Seguridad en Aplicaciones Web Aplicaciones Web Qué son las aplicaciones web? páginas estáticas? páginas activas? páginas dinámicas? HTTP? Webservices? CGI? DHTML? (X)HTML? Javascript? AJAX? XML? Prof. Ing. Gabriel Arellano
  • 4. Seguridad en Aplicaciones Web Aplicaciones Web Solicitud + Datos HTTP (GET - POST), Variables de Sesión Respuesta (X)HTML+CSS, XML+XSLT Ciclo solicitud-respuesta Prof. Ing. Gabriel Arellano
  • 5. Seguridad en Aplicaciones Web Componentes Una aplicación web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la seguridad: Aplicación propiamente dicha. Lenguaje(s) / Framework. Servidor web. Servidor de base de datos. Navegador Web. Prof. Ing. Gabriel Arellano
  • 6. Seguridad en Aplicaciones Web Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos: Problemas de validación de datos. Problemas de autenticación. Problemas de manejo de sesiones. Prof. Ing. Gabriel Arellano
  • 7. Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de validación de datos: SQL Injection. Cross Site Scripting (XSS). Buffer Overflow. Prof. Ing. Gabriel Arellano
  • 8. Seguridad en Aplicaciones Web Vulnerabilidades Demostración de algunos problemas de validación de datos. Prof. Ing. Gabriel Arellano
  • 9. Seguridad en Aplicaciones Web Validación de Datos Prevención: Nunca confíe en las entradas del usuario. Nunca asuma que la información proviene de la aplicación. “Sanear” las entradas de usuario. Validar en el servidor. Ocultar errores y fallar en seguro. Prof. Ing. Gabriel Arellano
  • 10. Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de autenticación: Falta de politica de contraseñas. Ataques de fuerza bruta. Buffer Overflow. Abuso del “recordar contraseña” Prof. Ing. Gabriel Arellano
  • 11. Seguridad en Aplicaciones Web Vulnerabilidades Algunos problemas de manejo de sesiones: Manipulación de cookies y tokens. Variables de sesión expuestas. Cross Site Request Forgery. Prof. Ing. Gabriel Arellano
  • 12. Seguridad en Aplicaciones Web Cross Site Request Forgery bank.com blog.net JS document, cookies Política del “mismo origen” Prof. Ing. Gabriel Arellano
  • 13. Seguridad en Aplicaciones Web Cross Site Request Forgery Por ejemplo colocando en blog.com: <p> Parece una simple página con un poco de texto, no? <img src="http://bank.com/transfer.php? monto=9000&dest=123" width="0" height="0"/> </p> Prof. Ing. Gabriel Arellano
  • 14. Seguridad en Aplicaciones Web Cross Site Request Forgery Ataque a una red “segura” Prof. Ing. Gabriel Arellano
  • 15. Seguridad en Aplicaciones Web Vulnerabilidades Demostración de un ataque de CSRF. Prof. Ing. Gabriel Arellano
  • 16. Seguridad en Aplicaciones Web Cross Site Request Forgery Prevención: Evite usar sesiones persistentes. Usar GET de manera apropiada. Usar tokens y TTLs. Reautenticar en el cliente usando AJAX. Prof. Ing. Gabriel Arellano
  • 17. Seguridad en Aplicaciones Web Lecturas Adicionales Open Web Application Security Project (OWASP) http://www.owasp.org/ “Guide to Building Secure Web Applications”. (en español). “OWASP Code Review Guide”. “SQL Injection Attacks by Example” http://unixwiz.net/techtips/sql-injection.html Prof. Ing. Gabriel Arellano
  • 18. Seguridad en Aplicaciones Web Gracias! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ (2008) Gabriel E. Arellano Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front- Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as applicable to this document can be found at: http://www.gnu.org/copyleft/fdl.html Prof. Ing. Gabriel Arellano