Offensive State Auditoría de Aplicaciones Web

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Offensive State Auditoría de Aplicaciones Web"

Transcripción

1 Offensive State Auditoría de Aplicaciones Web

2 Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar Fingerprint del objetivo Búsqueda de vulnerabilidades conocidas y no conocidas Comprometer el objetivo y extender el ataque Informe y evaluación...5 Qué aporta Offensive Security en el campo de la seguridad ofensiva?...6

3 Servicio de auditoría en aplicaciones web Offensive State ofrece auditorías de aplicaciones web con el fin de que los productos, aplicaciones y recursos de los sitios webs de sus clientes tengan un nivel de seguridad lo suficientemente óptimo como para evitar que un fallo de seguridad exponga los datos sensibles de sus equipos, clientes, o cualquier información que pueda estar al alcanza de un atacante. Independientemente del tipo de tecnología con el que se haya desarrollado la aplicación web, Offensive State analizará, evaluará y auditará los sistemas que lo componen, mitigando cualquier vulnerabilidad de seguridad que se pueda encontrar durante todo el proceso del test de intrusión. Por qué? Las cifras hablan por sí solas, partiendo de la base de que Internet y las páginas webs son el medio de comunicación más utilizado en la actualidad. Por ello es normal encontrar también una gran cantidad de ataques dirigidos contra aplicaciones webs. Si hablamos concretamente de cifras el 99% de las aplicaciones webs analizadas contienen algún tipo de vulnerabilidad. Entre las más comunes: XSS Fugas de información Autenticación y Autorización Gestión de sesiones SQL Injection CSRF Estas vulnerabilidades pueden ser utilizadas por un atacante con algún fin concreto dependiendo de distintos factores. Sin embargo, cabe destacar que cuando se produce alguno de estos ataques la empresa final sufra alguno de los siguientes daños y perjuicios: Robo de Información. Phising. Robo de credenciales. Suplantación de identidad. Apropiación del servidor. Etc El uso y fin con que se puede realizar un ataque dependerá de las intereses del propio ciberdelincuente, pudiendo ser desde la apropiación del servidor donde se aloja la web principal para distribuir malware, hasta la extracción de información sensible como puede ser toda la Base de datos para venderla en el mercado negro.

4 Por estos motivos es necesario estar concienciado con la seguridad informática y prevenir ataques con auditorias regulares en los sistemas y aplicaciones webs. Metodologías Para poder llevar acabo una auditoría con total eficacia se deben seguir una serie de metodologías y estándares. Tanto a nivel interno como a nivel global Offensive State ofrece auditorías de aplicaciones webs basadas en la metodología Testing Guide del proyecto OWASP (Open Web Application Security Project) reconocido a nivel mundial por numerosas empresas de distintos sectores. Además, realizar un test de intrusión web requiere de rigurosas pruebas. Pruebas basadas también en los ataques más comunes y conocidos según otra de las guías del proyecto OWASP, la cual habla del TOP 10 de ataques a nivel de aplicación web: A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards Por otra parte, Offensive State complementa sus auditorías con metodologías propias basadas en la experiencia de sus profesionales. Etapas y pruebas a realizar. Del mismo modo que actúa cualquier atacante en Internet, existen una serie de pasos que deben seguirse de la forma más metódica posible para contar con la información necesaria y llevar a cabo ataques elaborados. En este punto es necesario aplicar la mentalidad de un buen estratega militar, debe recolectar suficiente información y conocer las debilidades propias y las del enemigo con el fin de poder elaborar técnicas de defensa y ataque. En este sentido, las etapas que se siguen en la metodología interna de Offensive State quedan reflejadas en la siguiente imagen. 1. Fingerprint del objetivo. Cuando se trata de realizar una auditoría de aplicación web o test de intrusión web, el primer objetivo de un atacante es realizar un recorrido por todos los recursos de la web con la intención de

5 obtener la mayor cantidad de información posible. A mayor cantidad información, mayores serán las probabilidades de existo frente a un ataque. Información como la tecnología con la que está desarrollada la web, versiones de las aplicaciones, comentarios de los desarrolladores, información pública, enumeración de usuarios, etc. De esta manera cuando una atacante tenga un mapa global del sitio podrá realizar su ataque de forma mucho más localizada, centrándose sólo en aquellos puntos que pudieran ser vulnerables. Sabiendo como actúa un ciberdelincuente, Offensive State, seguirá estos mismos pasos para detectar cualquier punto débil en la/s aplicaciones auditadas. 2. Búsqueda de vulnerabilidades conocidas y no conocidas. Tras realizar una búsqueda exhaustiva de información, la siguiente etapa a realizar es la búsqueda de vulnerabilidades conocidas y no conocidas en base a la información recolectada en el punto anterior. En qué consiste exactamente? Existen dos tipos de búsqueda de vulnerabilidades, la que ya existen en productos conocidos y las que no. En muchas ocasiones cuando se desarrollan páginas web se utilizan productos de terceros (CMS como Joomla, Wordpress, etc, o plataformas del tipo apache, IIS, etc). Estos productos están en constante revisión por expertos en seguridad los cuales reportan la vulnerabilidad al proveedor, y que posteriormente se da a conocer de forma pública. Al tratarse de vulnerabilidades conocidas en la mayoría de las ocasiones se disponen de exploits públicos con los que un atacante puede llevar acabo con existo su ataque. Sin embargo, existen también desarrollos en los que todos los recursos de la aplicación web se han desarrollado por los trabajadores de la propia empresa. Para estos caso, Offensive State analiza cada contenido del sitio web con el fin de poder detectar y explotar las posibles deficiencias que se encuentren en el código. 3. Comprometer el objetivo y extender el ataque Una vez detectada la vulnerabilidad se procederá a explotarla. Donde si finalmente se ha podido vulnerar los sistemas, Offensive State intentará 1 tomar el control total de la máquina servidor, siendo éste uno de los riesgos más altos que se puede sufrir en un ataque. Igualmente, si este ataque se pudo realizar con éxito, se llevarán acabo técnicas de pivoting entre los distintos equipos conectados a la red. 4. Informe y evaluación Al final la auditoría se entregará al cliente un informe detallado de todas las pruebas realizadas, y de todas aquellas vulnerabilidades encontradas. Evaluando el nivel de sus aplicaciones. Dichos informes son estrictamente confidenciales entre Offensive State y la parte contrate. Garantizando la total seguridad de los datos hallados en los informes. 1 Dependiendo del tipo de contratos establecido entre el cliente y Offensive State.

6 Qué aporta Offensive Security en el campo de la seguridad ofensiva? En Offensive Security nuestra prioridad es que los recursos informáticos de nuestros clientes sean realmente seguros y por ese motivo, contamos con los mejores profesionales del sector y nos encargamos de tratarlos con respeto y que se sientan a gusto con su trabajo, ya que tenemos la firme convicción de que una persona motivada y valorada es de gran ayuda para cumplir con las necesidades y objetivos del cliente. Por otro lado, contamos con una metodología interna que se ha desarrollado y consolidado gracias a los años que hemos dedicado a la seguridad informática y al hacking. Dicha metodología es una de nuestras bases a la hora de encontrar vulnerabilidades que puedan representar una amenaza real a nuestros clientes. En Offensive State, estamos alineados con las necesidades del cliente y todas las pruebas que realizamos se caracterizan por contener resultados fiables y que aportan valor a los clientes, permitiéndoles conocer el estado real de sus sistemas desde la perspectiva ofensiva, es decir, desde la visión que tendría un atacante en Internet. Si existe una vulnerabilidad en la infraestructura TIC del cliente, solamente cobramos por esa vulnerabilidad y si consideramos que la infraestructura es realmente segura, el cliente solamente pagará los gastos mínimos acordados desde el principio del contrato y en todos los casos recibirá un informe indicando las pruebas que se han realizado y los hallazgos. Finalmente, nuestra política es la de total transparencia y honestidad. Nuestro objetivo es elaborar las mismas estratégicas que utilizan los atacantes en Internet pero con la única finalidad de prevenir a nuestros clientes del posible impacto que supone un ataque exitoso sin que ello produzca una deficiencia en el estado de los sistemas de nuestros clientes. Evitando las posibles caídas de los servicios. Los hallazgos descubiertos serán tratados con absoluta discreción y estarán disponibles únicamente para el cliente con el cual hemos firmado un acuerdo de confidencialidad. Estamos muy comprometidos con la seguridad de los sistemas y la información de nuestros clientes, por ese motivo nos esforzamos en brindar un servicio de calidad y que cubra sus necesidades.

7 Offensive State...mientras los demás intentan defenderte, nosotros te hacemos más fuerte.

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Curso de desarrollo de Aplicaciones Web Seguras

Curso de desarrollo de Aplicaciones Web Seguras Curso de desarrollo de Aplicaciones Web Seguras Información del Curso Instructores: Gonzalo Médez + Diego Ledesma Duración del curso: 18 horas aula A quién está dirigido? Este curso introductorio está

Más detalles

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING Curso Oficial de Certificación ENHACKE CURSOS enhacke Certificate in WebApp Pentesting ECWAP OBJETIVO GENERAL Capacitar al asistente con los conceptos

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT BROCHURE SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

GENEXUS & OWASP TOP 10

GENEXUS & OWASP TOP 10 GENEXUS & OWASP TOP 10 Curso de Seguridad en Aplicaciones desarrolladas con GeneXus Abril de 2016 GeneXus Consulting C U R S O D E S E G U R I D A D E N A P L I C A C I O N E S G E N E X U S OBJETIVO El

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Tendencias en Seguridad y Control en Aplicaciones

Tendencias en Seguridad y Control en Aplicaciones Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

RESUMEN DE SERVICIOS

RESUMEN DE SERVICIOS RESUMEN DE SERVICIOS Confidencial Enero 2014 Tabla de contenido Análisis de vulnerabilidades... 4 Por qué contratar el servicio?... 4 Características... 4 Plataformas... 5 Por qué confiar en GAIDEN?...

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

SEGURIDAD EN APLICATIVOS WEB

SEGURIDAD EN APLICATIVOS WEB Treball Fi de Carrera ENGINYERIA TÈCNICA EN INFORMÀTICA DE SISTEMES Facultat de Matemàtiques Universitat de Barcelona SEGURIDAD EN APLICATIVOS WEB Director: Eloi Puertas Prats Realitzado en: Departament

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Impacto del ENS: Propuesta Oracle

Impacto del ENS: Propuesta Oracle Impacto del ENS: Propuesta Oracle Xavier Martorell Sales Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación

Más detalles

Fundamentos y categorías de ataques LSI 2013/2014

Fundamentos y categorías de ataques LSI 2013/2014 Fundamentos y categorías de ataques LSI 2013/2014 Contenido Conceptos básicos y definiciones Categorías de ataques Servicios de seguridad Mecanismos de seguridad 2 Introducción Seguridad Informática: El

Más detalles

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Denise Betancourt Sandoval Omar Alí Domínguez Cabañas Rodrigo Augusto Ortiz Ramón Problemática Pruebas de penetración como una

Más detalles

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Seguridad Ofensiva en WordPress

Seguridad Ofensiva en WordPress V WordPress Meetup Facultad de Ciencias del Trabajo Seguridad Ofensiva en WordPress EDUARDO SÁNCHEZ Readme.html Eduardo Sánchez (Profesor F.P.) Ingeniero Informático / Master Seguridad TIC Comunidades:

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

COBIT. www.datasec-soft.com

COBIT. www.datasec-soft.com COBIT metodología de evaluación y control de riesgos El software MEYCOR COBIT CSA ha sido desarrollado por DATASEC y constituye una herramienta con características únicas a nivel mundial, ya que en su

Más detalles

Seguridad (informática) en redes corporativas

Seguridad (informática) en redes corporativas Seguridad (informática) en redes corporativas Algunos aspectos de la seguridad informática en departamentos de salud Joan Pau García Úbeda Informática Hospital Lluís Alcanyís Departament Xàtiva-Ontinyent

Más detalles

Impacto del ENS: Propuesta Oracle

Impacto del ENS: Propuesta Oracle Impacto del ENS: Propuesta Oracle Jose Manuel Rodríguez de Llano Sales Manager Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de

Más detalles

Explotación a CMSs Web

Explotación a CMSs Web Explotación a CMSs Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 5 de

Más detalles

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

Hacking Ético y Defensa en Profundidad "Versión 3.2.2

Hacking Ético y Defensa en Profundidad Versión 3.2.2 DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad

Más detalles

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos Manuel Arrevola Director General Comercial Zitralia 21-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Fundamentos de EXIN Cloud Computing

Fundamentos de EXIN Cloud Computing Preguntas de muestra Fundamentos de EXIN Cloud Computing Edición de octubre de 2012 Copyright 2012 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in

Más detalles

Privacidad y Protección de la Información, Mito o Realidad

Privacidad y Protección de la Información, Mito o Realidad Privacidad y Protección de la Información, Mito o Realidad Eduardo Cocina, CISA, CGEIT, CRISC Socio Deloitte Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL Gerente Senior Deloitte Problemática Actual Mito

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Malware en América Latina y el Caribe durante el primer trimestre del 2011 Malware en América Latina y el Caribe durante el primer trimestre del 2011 Introducción: Los datos estadísticos mencionados en el presente artículo abarcan todos los países de América Latina y también

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

TECNOLOGÍAS DE PROTECCIÓN DE LA INFORMACIÓN SENSIBLE EN LA ADMINISTRACIÓN Y GRAN EMPRESA. VISIÓN PRÁCTICA INDUSTRIA Y EJEMPLOS DE APLICACIONES

TECNOLOGÍAS DE PROTECCIÓN DE LA INFORMACIÓN SENSIBLE EN LA ADMINISTRACIÓN Y GRAN EMPRESA. VISIÓN PRÁCTICA INDUSTRIA Y EJEMPLOS DE APLICACIONES TECNOLOGÍAS DE PROTECCIÓN DE LA INFORMACIÓN SENSIBLE EN LA ADMINISTRACIÓN Y GRAN EMPRESA. VISIÓN PRÁCTICA INDUSTRIA Y EJEMPLOS DE APLICACIONES Autores: Francisco Cuesta: Ingeniero Superior Industrial,

Más detalles

Protección de la información en la nube

Protección de la información en la nube Protección de la información en la nube Considerar la seguridad antes de entrar en la nube Jorge Laredo, CISM, CISA, CISSP, PMP Security Project Manager Hewlett-Packard Qué proveedor? Compañía Reputación,

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

LOGO COLABORADOR 14.11.2007 1

LOGO COLABORADOR 14.11.2007 1 14.11.2007 1 AUDITORÍA WEB D. Ángel Alonso Párrizas CISM, CISSP, GCIH, GCIA, CCNA Ingeniero de Seguridad 14.11.2007 2 1. Clasificación de las auditorias web 2. Auditoría Jurídica/legal 3. Auditoría accesibilidad

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Presentación. Porqué formarte con nosotros?

Presentación. Porqué formarte con nosotros? Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,

Más detalles

Evolución de la seguridad de la. la perspectiva de negocio. Wilmar Arturo Castellanos Morales wcastellanos@deloitte.com

Evolución de la seguridad de la. la perspectiva de negocio. Wilmar Arturo Castellanos Morales wcastellanos@deloitte.com Evolución de la seguridad de la información. Una revisión desde la perspectiva de negocio Wilmar Arturo Castellanos Morales wcastellanos@deloitte.com PERSPECTIVA DEL NEGOCIO ALREDEDOR DE 2000 ALREDEDOR

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Presentación Institucional

Presentación Institucional Presentación Institucional FLOWGATE SECURITY CONSULTING FLOWGATE es una empresa especializada en servicios de Seguridad Informática y desarrollo a medida de sistemas de seguridad orientados a satisfacer

Más detalles

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) Gestión de Servicios Informáticos Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

Más detalles

Mesografía y Bibliografía.

Mesografía y Bibliografía. Mesografía y Bibliografía. Capítulo 1. [1]- ROJAS Nava, Leticia. Arquitectura de seguridad perimetral y en sitio para sistemas Unix Caso: Unidad de Servicios de Cómputo Académico de la Facultad de Ingeniería.

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

A) BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS POR LAS EFS

A) BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS POR LAS EFS Cuestionario Técnico: La importancia del uso de bases de datos y de la seguridad de la información para el fortalecimiento de las TICS en el ejercicio eficiente del control A) BASES DE DATOS Y MINERÍA

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Dirigido a: Secretarías de Educación que hacen uso del servicio de Web Hosting proporcionado por el Ministerio de Educación Nacional

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

Seguridad en el Ciclo de Desarrollo

Seguridad en el Ciclo de Desarrollo First OWASP DAY Chile 2010 The OWASP Foundation http://www.owasp.org Seguridad en el Ciclo de Desarrollo Alejandro Johannes M. Business Advisor Vice president Capítulo Chileno OWASP ajohannesm@gmail.com

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte Informe de Amenazas Riesgos de uso de Windows XP tras el fin de soporte 22 de enero de 2014 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

TEMA 1 Modelo OSI de Seguridad

TEMA 1 Modelo OSI de Seguridad TEMA 1 Modelo OSI de Seguridad José María Sierra Departamento de Informática Universidad Carlos III de Madrid José M. Sierra 1 Introducción Necesidad de seguridad de una organización Evaluar su nivel de

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles