SlideShare a Scribd company logo

Seguridad web, ataque y defensa

Download as PPTX, PDF
Santiago Bernal
Santiago Bernal

El documento habla sobre ataques y defensas de seguridad web. Explica los principales ataques como inyección SQL, XSS, CSRF y brute force login. También cubre las herramientas para realizar estos ataques y las mejores prácticas de defensa como limpiar datos de entrada, validación, limitar intentos de login y usar tokens de sesión. El objetivo es crear conciencia sobre estos riesgos y cómo prevenirlos.

Technology
1 of 23
SEGURIDAD WEB: ATAQUE Y DEFENSA Juan David Castro
¿Quien Soy? Consultor de Marketing Digital Pero “Hacker de Corazón” https://www.linkedin.com/in/juandavidcastro/ Reconocimiento de Seguridad en: Dropbox, Microsoft, Adobe, Twitter. Etc.
¿De Que hablaremos hoy? • Seguridad Web • Top 10 OWASP 2017 • Ataque Inyección SQL – Defensa • Ataque XSS – Defensa • Ataque CSRF – Defensa • Brute Force Login – Defensa • Inseguridad en API
Seguridad Web El mundo ahora es Digital!
OWASP 2017
Ataque Inyección “ Es la inserción de código arbitrario en una plataforma web” • Inyección de SQL • Permite ejecutar secuencia de SQL dentro del sitio para la extracción de datos sensible.
Herramientas • Havij (For Windows) • SQL Map (For Linux)
Defensa • Limpiar las entradas de datos “mysqli_real_escape_string” • Validación de entradas de datos
Ataque CSRF • Falsificación de Petición en Sitios Cruzados Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
Gráficamente… URL MALICIOSA Petición Enviada Respuesta del Servidor
Herramientas • CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. • LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
DEMO – CSRF.
Defensa
XSS • XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
Ataque • Cualquier secuencia de script • <script>alert(1)</script> • "><img src=x onerror=prompt(/XSS/);>>
Defensa • Limpiar parámetros introducidos • Validación de entradas de datos
Brute Force Login Un ataque de fuerza bruta consiste en un atacante que intenta muchas contraseñas o frases clave con la esperanza de eventualmente adivinar correctamente.
Ataque • Con un software de peticiones se puede con un diccionario atacar de manera aleatoria a un formulario • Por eso es importante tener contraseñas fuertes • Tips: • No dar informacion adicional en login.
Defensa • Token a sesiones de login • Captcha • Limitaciones de intentos.
Inseguridad de API • Conexiones inseguras de API • Peticiones sin seguridad • Todas las vulnerabilidades anteriores • Y Sobre todo exposición de datos.
¿PREGUNTAS?
Premio ESET
QUIEREN SEGUIR APRENDIENDO? • Síganme en Twitter: @Dylan_irzi11 • Instagram: dylanirzi • Facebook: Juan D Castro

Recommended

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hackingMackaber Witckin
 
Xss attacks V2.0
Xss attacks V2.0Xss attacks V2.0
Xss attacks V2.0Rober Garamo
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 

Recommended

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hackingMackaber Witckin
 
Xss attacks V2.0
Xss attacks V2.0Xss attacks V2.0
Xss attacks V2.0Rober Garamo
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
diapositiva
diapositivadiapositiva
diapositivaFabio Chavez
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomlaMitucan
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
ciberataques
ciberataquesciberataques
ciberataquesADELAVASQUEZGARCIA
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.Dylan Irzi
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & TipsIván Sanz de Castro
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 

More Related Content

What's hot

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomlaMitucan
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 

What's hot (7)

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
diapositiva
diapositivadiapositiva
diapositiva
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomla
 
Que es xss
Que es xssQue es xss
Que es xss
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 

Similar to Seguridad web, ataque y defensa

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.Dylan Irzi
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Xss completo
Xss completoXss completo
Xss completonoc_313
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Alonso Caballero
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 

Similar to Seguridad web, ataque y defensa (20)

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
ciberataques
ciberataquesciberataques
ciberataques
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & Tips
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Xss completo
Xss completoXss completo
Xss completo
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

More from Santiago Bernal

Osint con trape - barcamp pereira
Osint con trape - barcamp pereiraOsint con trape - barcamp pereira
Osint con trape - barcamp pereiraSantiago Bernal
 
Hacking a 1 clic de distancia
Hacking a 1 clic de distanciaHacking a 1 clic de distancia
Hacking a 1 clic de distanciaSantiago Bernal
 
Demos de seguridad informática y hacking
Demos de seguridad informática y hackingDemos de seguridad informática y hacking
Demos de seguridad informática y hackingSantiago Bernal
 
Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Santiago Bernal
 
realidad aumentada cpco7
realidad aumentada cpco7realidad aumentada cpco7
realidad aumentada cpco7Santiago Bernal
 
Delito informatico intimidad datos
Delito informatico intimidad datosDelito informatico intimidad datos
Delito informatico intimidad datosSantiago Bernal
 
Presentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaPresentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaSantiago Bernal
 
Aprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresAprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresSantiago Bernal
 

More from Santiago Bernal (20)

Osint con trape - barcamp pereira
Osint con trape - barcamp pereiraOsint con trape - barcamp pereira
Osint con trape - barcamp pereira
 
Hacking a 1 clic de distancia
Hacking a 1 clic de distanciaHacking a 1 clic de distancia
Hacking a 1 clic de distancia
 
Demos de seguridad informática y hacking
Demos de seguridad informática y hackingDemos de seguridad informática y hacking
Demos de seguridad informática y hacking
 
Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017
 
realidad aumentada cpco7
realidad aumentada cpco7realidad aumentada cpco7
realidad aumentada cpco7
 
I.e.t.f
I.e.t.fI.e.t.f
I.e.t.f
 
Expo crc
Expo crcExpo crc
Expo crc
 
Regulatel
RegulatelRegulatel
Regulatel
 
Taller crc
Taller crcTaller crc
Taller crc
 
Taller uit
Taller uitTaller uit
Taller uit
 
Talle rcitel
Talle rcitel Talle rcitel
Talle rcitel
 
Preguntasluisa
Preguntasluisa Preguntasluisa
Preguntasluisa
 
Expo citel
Expo citelExpo citel
Expo citel
 
Expo citel
Expo citelExpo citel
Expo citel
 
Nctuns santiago
Nctuns santiagoNctuns santiago
Nctuns santiago
 
Delito informatico intimidad datos
Delito informatico intimidad datosDelito informatico intimidad datos
Delito informatico intimidad datos
 
Presentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaPresentacion del sistema juridico colombia
Presentacion del sistema juridico colombia
 
Parcial 1 legislación
Parcial 1 legislaciónParcial 1 legislación
Parcial 1 legislación
 
6.eventos y swing
6.eventos y swing6.eventos y swing
6.eventos y swing
 
Aprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresAprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesores
 

Recently uploaded

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Recently uploaded (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Seguridad web, ataque y defensa

  • 1. SEGURIDAD WEB: ATAQUE Y DEFENSA Juan David Castro
  • 2. ¿Quien Soy? Consultor de Marketing Digital Pero “Hacker de Corazón” https://www.linkedin.com/in/juandavidcastro/ Reconocimiento de Seguridad en: Dropbox, Microsoft, Adobe, Twitter. Etc.
  • 3. ¿De Que hablaremos hoy? • Seguridad Web • Top 10 OWASP 2017 • Ataque Inyección SQL – Defensa • Ataque XSS – Defensa • Ataque CSRF – Defensa • Brute Force Login – Defensa • Inseguridad en API
  • 4. Seguridad Web El mundo ahora es Digital!
  • 6. Ataque Inyección “ Es la inserción de código arbitrario en una plataforma web” • Inyección de SQL • Permite ejecutar secuencia de SQL dentro del sitio para la extracción de datos sensible.
  • 7. Herramientas • Havij (For Windows) • SQL Map (For Linux)
  • 8. Defensa • Limpiar las entradas de datos “mysqli_real_escape_string” • Validación de entradas de datos
  • 9. Ataque CSRF • Falsificación de Petición en Sitios Cruzados Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
  • 11. Herramientas • CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. • LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
  • 14. XSS • XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
  • 15. Ataque • Cualquier secuencia de script • <script>alert(1)</script> • "><img src=x onerror=prompt(/XSS/);>>
  • 16. Defensa • Limpiar parámetros introducidos • Validación de entradas de datos
  • 17. Brute Force Login Un ataque de fuerza bruta consiste en un atacante que intenta muchas contraseñas o frases clave con la esperanza de eventualmente adivinar correctamente.
  • 18. Ataque • Con un software de peticiones se puede con un diccionario atacar de manera aleatoria a un formulario • Por eso es importante tener contraseñas fuertes • Tips: • No dar informacion adicional en login.
  • 19. Defensa • Token a sesiones de login • Captcha • Limitaciones de intentos.
  • 20. Inseguridad de API • Conexiones inseguras de API • Peticiones sin seguridad • Todas las vulnerabilidades anteriores • Y Sobre todo exposición de datos.
  • 23. QUIEREN SEGUIR APRENDIENDO? • Síganme en Twitter: @Dylan_irzi11 • Instagram: dylanirzi • Facebook: Juan D Castro