Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad web, ataque y defensa

121 views

Published on

Seguridad web, ataque y defensa, Juan David Castro explica sobre los fallos comunes en aplicaciones web y cómo corregirlos.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Seguridad web, ataque y defensa

  1. 1. SEGURIDAD WEB: ATAQUE Y DEFENSA Juan David Castro
  2. 2. ¿Quien Soy? Consultor de Marketing Digital Pero “Hacker de Corazón” https://www.linkedin.com/in/juandavidcastro/ Reconocimiento de Seguridad en: Dropbox, Microsoft, Adobe, Twitter. Etc.
  3. 3. ¿De Que hablaremos hoy? • Seguridad Web • Top 10 OWASP 2017 • Ataque Inyección SQL – Defensa • Ataque XSS – Defensa • Ataque CSRF – Defensa • Brute Force Login – Defensa • Inseguridad en API
  4. 4. Seguridad Web El mundo ahora es Digital!
  5. 5. OWASP 2017
  6. 6. Ataque Inyección “ Es la inserción de código arbitrario en una plataforma web” • Inyección de SQL • Permite ejecutar secuencia de SQL dentro del sitio para la extracción de datos sensible.
  7. 7. Herramientas • Havij (For Windows) • SQL Map (For Linux)
  8. 8. Defensa • Limpiar las entradas de datos “mysqli_real_escape_string” • Validación de entradas de datos
  9. 9. Ataque CSRF • Falsificación de Petición en Sitios Cruzados Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
  10. 10. Gráficamente… URL MALICIOSA Petición Enviada Respuesta del Servidor
  11. 11. Herramientas • CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. • LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
  12. 12. DEMO – CSRF.
  13. 13. Defensa
  14. 14. XSS • XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
  15. 15. Ataque • Cualquier secuencia de script • <script>alert(1)</script> • "><img src=x onerror=prompt(/XSS/);>>
  16. 16. Defensa • Limpiar parámetros introducidos • Validación de entradas de datos
  17. 17. Brute Force Login Un ataque de fuerza bruta consiste en un atacante que intenta muchas contraseñas o frases clave con la esperanza de eventualmente adivinar correctamente.
  18. 18. Ataque • Con un software de peticiones se puede con un diccionario atacar de manera aleatoria a un formulario • Por eso es importante tener contraseñas fuertes • Tips: • No dar informacion adicional en login.
  19. 19. Defensa • Token a sesiones de login • Captcha • Limitaciones de intentos.
  20. 20. Inseguridad de API • Conexiones inseguras de API • Peticiones sin seguridad • Todas las vulnerabilidades anteriores • Y Sobre todo exposición de datos.
  21. 21. ¿PREGUNTAS?
  22. 22. Premio ESET
  23. 23. QUIEREN SEGUIR APRENDIENDO? • Síganme en Twitter: @Dylan_irzi11 • Instagram: dylanirzi • Facebook: Juan D Castro

×