Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web"

Transcripción

1 Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1

2 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización junio de 2014 Problemas de seguridad Web 2

3 Efectos negativos como: Denegación de servicio Ejecutar código arbitrario Obtener información confidencial Escalar privilegios Administrar el sistema Tomar el control del mismo Detener o dañar el sistema informático junio de 2014 Problemas de seguridad Web 3

4 Web spoofing En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad. junio de 2014 Problemas de seguridad Web 4

5 Web spoofing Se pueden clasificar los ataques despoofing, en función de la tecnología utilizada IP spoofing ARP spoofing DNS spoofing Web spoofing spoofing junio de 2014 Problemas de seguridad Web 5

6 Web spoofing Suplantación de una página web real (no confundir con phishing) En ruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima.la página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. junio de 2014 Problemas de seguridad Web 6

7 Web spoofing El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. junio de 2014 Problemas de seguridad Web 7

8 Web spoofing junio de 2014 Problemas de seguridad Web 8

9 Web spoofing Detección Este ataque se realiza mediante una implantación de código el cual nos robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas. Si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. junio de 2014 Problemas de seguridad Web 9

10 Web spoofing Prevención Reforzar la secuencia de predicción de números de secuencia TCP: un esquema de generación robusto puede ser el basado en, que la mayoría de Unix son capaces de implantar. Eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas. junio de 2014 Problemas de seguridad Web 10

11 Ataques de validación Validaciono Autenticación cubre ataques cuyo objetivo es el método utilizado por un sitio web para validar la identidad de un usuario, servicio o aplicación. La autenticación es realizada usando al menos uno de estos tres mecanismos: "algo que se tiene ", "algo que se conoce" o algo que se es ". Este apartado tratará los ataques utilizados para engañar o explotar el proceso de autenticación de un sitio web. junio de 2014 Problemas de seguridad Web 11

12 Ataques de validación Fuerza bruta Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar el nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica de una persona. Muchos sistemas permiten el empleo de contraseñas o claves criptográficas débiles, y los usuarios a menudo escogerán contraseñas fáciles de adivinar, posiblemente encontradas en un diccionario. La misma técnica de prueba y error también es aplicable para adivinar claves de cifrado. Cuando un sitio web utiliza una clave débil o de corta longitud, es posible para un atacante adivinar una clave correcta probando todas las posibles combinaciones de claves junio de 2014 Problemas de seguridad Web 12

13 Ataques de validación Fuerza bruta Fuerza de ataque normal: Utiliza un único nombre de usuario y muchas contraseñas fuerza bruta inversa: Utiliza muchos nombres de usuario y una única contraseña junio de 2014 Problemas de seguridad Web 13

14 Ataques de validación Fuerza bruta Ejemplo Username = Jon Passwords = smith, michael-jordan, [pet names], [birthdays],[car names],. Usernames= Jon, Dan, Ed, Sara, Barbara,.. Password = junio de 2014 Problemas de seguridad Web 14

15 Ataques de validación Autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido o funcionalidad sensible sin tener que autenticarse correctamente Las herramientas de administración basadas en web son un buen ejemplo de sitios web que proporcionan acceso a funcionalidades sensibles. Dependiendo de los recursos específicos online, estas aplicaciones web no deberían ser directamente accesibles sin requerir de la forma apropiada la verificación de la identidad del usuario junio de 2014 Problemas de seguridad Web 15

16 Ataques de validación Autenticación insuficiente algunos recursos son protegidos ocultando la ubicación específica y no enlazando su ubicación en el sitio web principal u otras zonas públicas Es importante entender que simplemente porque un recurso es desconocido para un atacante, no implica que este recurso no permanezca accesible directamente a través de una URL específica. Esta URL puede ser descubierta a través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin por ejemplo), mensajes de error, logs o quizás recursos documentados en ficheros de ayuda junio de 2014 Problemas de seguridad Web 16

17 Ataques de validación junio de 2014 Problemas de seguridad Web 17

18 Ataques de validación Débil validación en la recuperación de contraseñas se produce cuando un sitio web permite, de forma ilegal, que un atacante obtenga, modifique o recupere la contraseña de otro usuario Ejemplos de procesos automáticos de recuperación de contraseñas incluyen requerir al usuario el responder a una pregunta secreta definida como parte del proceso de registro del usuario junio de 2014 Problemas de seguridad Web 18

19 Ataques de validación Débil validación en la recuperación de contraseñas Esta pregunta puede ser seleccionada de una lista de preguntas predefinidas o proporcionada por el usuario Otros mecanismos requieren que el usuario proporcione distintos datos personales como su número de la seguridad social, dirección, código postal, etc. para validar su identidad. Después de que el usuario haya demostrado que es quién dice ser, el sistema de recuperación mostrará o enviará por correo electrónico una nueva contraseña. junio de 2014 Problemas de seguridad Web 19

20 Ataques de validación Débil validación en la recuperación de contraseñas Ejemplo (Métodos débiles de recuperación de contraseñas) Verificación de información Muchos sitios web sólo requieren al usuario que proporcione su dirección de correo electrónico en combinación con su dirección postal y su número de teléfono. Esta información puede ser fácilmente obtenida a través de consultas online sobre páginas amarillas o páginas blancas. Como resultado, la información de verificación no es muy secreta. Más aún, la información puede ser comprometida vía otros métodos como Cross-site Scripting y las estafas de Phising. junio de 2014 Problemas de seguridad Web 20

21 Ataques de validación Débil validación en la recuperación de contraseñas Indicaciones de contraseñas Un sitio web que utiliza indicaciones para ayudar a recordar al usuario su contraseña puede ser atacado porque la indicación ayuda a los ataques de fuerza bruta. Un usuario puede tener una buena contraseña como King con su correspondiente indicación de bday+favauthor. Esto ayuda a reducir considerablemente el tamaño del diccionario de fuerza bruta a utilizar sobre la contraseña. junio de 2014 Problemas de seguridad Web 21

22 Ataques de validación Débil validación en la recuperación de contraseñas Pregunta secreta y respuesta Una contraseña de usuario puede ser Richmond con una pregunta secreta de De donde eres. Un atacante puede utilizar un ataque de fuerza bruta, limitando la respuesta secreta a nombres de ciudades. Por otro lado, si el atacante conoce un poco el usuario objetivo, conocer su ciudad natal le resultará también fácil. junio de 2014 Problemas de seguridad Web 22

23 Ataques de validación Contramedidas Todos estos métodos se basan en el concepto de prueba y error. Para defendernos de estos ataques debemos limitar la cantidad de intentos ya sea solicitando un captchadespués de N intentos, o bien bannearla IP que lo esta intentando junio de 2014 Problemas de seguridad Web 23

24 Ataques de validación junio de 2014 Problemas de seguridad Web 24

25 Ataques de interpretación URL Introducción a las URL La URL (Localizador Uniforme de Recursos) de una aplicación Web es el vector que permite indicar el recurso solicitado. Es una cadena de caracteresascii imprimibles dividida en cinco partes: junio de 2014 Problemas de seguridad Web 25

26 Ataques de interpretación URL El nombre delprotocolo: Es el lenguaje que se usa para comunicarse en la red. El protocolo más usado es elhttp Nombre de usuario y contraseña: permite especificar los parámetros requeridos para acceder a un servidor seguro. No se recomienda esta opción ya que la contraseña circula en la URL sin previa codificación El nombre delservidor: es elnombre de dominiode un ordenador que aloja el recurso solicitado. Tenga en cuenta que es posible usar la dirección IP del servidor. junio de 2014 Problemas de seguridad Web 26

27 Ataques de interpretación URL El número depuerto: es el número asociado a un servicio que le indica al servidor qué tipo de recurso se está solicitando. El puerto que se vincula con el protocolo en forma predeterminada es el número 80. Cuando el servicio Web del servidor se asocia con este puerto, puede o no especificarse este número. La ruta de acceso al recurso: esta última parte le indica al servidor dónde se encuentra el recurso, que generalmente es la ubicación (directorio) y el nombre del archivo solicitado. junio de 2014 Problemas de seguridad Web 27

28 Ataques de interpretación URL Protocolo Contraseña (opcional) Nombre del servidor Puerto (opcional si es 80) Ruta usuario:contra es.kioskea.net :80 /glossair/gloss air.php3 junio de 2014 Problemas de seguridad Web 28

29 Ataques de interpretación URL La URL permite enviar parámetros al servidor colocando un signo de interrogación después del nombre del archivo y luego los datos en formato ASCII. Por lo tanto, una URL es una cadena de caracteres con el siguiente formato: junio de 2014 Problemas de seguridad Web 29

30 Ataques de interpretación URL Al manipular ciertas partes de una URL, un hacker puede hacer que un servidor Web le permita acceder a páginas Web a las que supuestamente no tenía acceso En sitios Web dinámicos, los parámetros generalmente se transfieren a través de la URL de la siguiente manera: La página Web crea automáticamente los datos contenidos en la URL y, al navegar normalmente, el usuario simplemente hace clic en el vínculo propuesto por el sitio. junio de 2014 Problemas de seguridad Web 30

31 Ataques de interpretación URL Si un usuario modifica el parámetro manualmente, puede probar diferentes valores, por ejemplo: Si el diseñador no ha previsto esta posibilidad, es posible que el hacker pueda tener acceso a un área que, en general, está protegida. Además, puede hacer que la página Web procese un caso imprevisto, por ejemplo: Si el diseñador de la página Web no ha previsto un caso donde los datos no estén representados por un número, la página Web puede entrar en un estado no previsto y brindar información en un mensaje de error. junio de 2014 Problemas de seguridad Web 31

32 Ataques de interpretación URL Prueba y error Posiblemente, un hacker pueda probar directorios y extensiones de archivos al azar para encontrar información importante. Algunos ejemplos clásicos: Búsqueda de directorios para poder administrar el sitio: Búsqueda de una secuencia de comandos para revelar información sobre el sistema remoto: junio de 2014 Problemas de seguridad Web 32

33 Ataques de interpretación URL Contramedidas Impida la navegación por páginas que estén bajo la raíz del página Web (mecanismo chroot); Deshabilite la visualización de los archivos de un directorio que no contiene un archivo índice ("Navegación de directorio"); Elimine directorios y archivos inservibles (incluso los ocultos); Asegúrese de que el servidor proteja el acceso a directorios que contienen datos importantes; Elimine las opciones de configuración innecesarias; Asegúrese de que el servidor interprete las páginas dinámicas con precisión, incluso archivos de copias de seguridad (.bak); Elimine los intérpretes de secuencias de comandos innecesarios; junio de 2014 Problemas de seguridad Web 33

34 Ataques de interpretación URL la variable catse va a utilizar en una consulta a la base de datos, si la consulta no esta bien preparada, se pueden hacer modificaciones para obtener otro tipo de informacion. Esto es la base para SQL Injection junio de 2014 Problemas de seguridad Web 34

35 Inyección SQL SQL es un lenguaje textual utilizado para interactuar con bases de datos relacionales. En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer páginas dinámicas o nuevas funcionalidades a los sistemas. Qué Bases de datos son susceptible a Inyección SQL?. MySQL Oracle DB2 Postgres MS SQL junio de 2014 Problemas de seguridad Web 35

36 Inyección SQL Los ataques deinyección SQLatacan los sitios web que dependen de bases de datos relacionadas. En este tipo de páginas Web, los parámetros se pasan a la base de datos como unaconsulta de SQL. Si un diseñador no verifica los parámetros que se pasan en la consulta de SQL, un hacker puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido. Algunos caracteres posibilitan coordinar varias consultas de SQL o ignorar el resto de la consulta. Al insertar este tipo de carácter en la consulta, un hacker puede ejecutar potencialmente la consulta que elija. junio de 2014 Problemas de seguridad Web 36

37 Inyección SQL Ante la siguiente consulta, que espera un nombre de usuario como parámetro: SELECT* FROM usuarios WHERE nombre="$nombre"; SELECT* FROM usuarios WHERE nombre="toto" OR 1=1 OR nombre="titi"; Siempre se realiza la cláusula WHERE, lo que significa que devolverá registros que corresponden a todos los usuarios. junio de 2014 Problemas de seguridad Web 37

38 Inyección SQL junio de 2014 Problemas de seguridad Web 38

39 Inyección SQL Otras variantes a usar en el campo loginpodrían ser: junio de 2014 Problemas de seguridad Web 39

40 Inyección SQL Y variantes de consultas: junio de 2014 Problemas de seguridad Web 40

41 Inyección SQL Ejemplos de ataques: -Obtención de la base de datos completa usando sentencias SELECT -Modificación o inserción de datosusando INSERT o UPDATE -Borrado de la base de datos usando DELETE -Ejecución de comandos del sistema operativousandoexec master.dbo.xp_cmdshellpor ejemplo, el valor de passseríapass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'-- -Apagado remoto del servidorpass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe shutdown'-- junio de 2014 Problemas de seguridad Web 41

42 Inyección SQL QUE HACER CONTRA ESTA VULNERABILIDAD? Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales; No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL; Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas; No acepte cuentas sin contraseñas; Mantenga al mínimo los privilegios de las cuentas que se usan; Elimine los procedimientos almacenados. junio de 2014 Problemas de seguridad Web 42

43 Cross-Site Scripting Cross-siteScripting (XSS) es una técnica de ataque que fuerza un sitio web a repetir el código ejecutable suminitradopor un atacante, el cual se carga en el navegador del usuario. El código normalmente está escrito en HTML/JavaScript, pero también puede extenderse a VBScript, ActiveX, Java, Flash, o cualquier otra tecnología soportada por el navegador. junio de 2014 Problemas de seguridad Web 43

44 Cross-Site Scripting Cuando un atacante consigue que el navegador de un usuario ejecute su código, el código se ejecutará dentro del contexto de seguridad (o zona) del sitio web Con este nivel de privilegio, el código tiene la habilidad de leer, modificar y transmitir cualquier dato sensible accesible por el navegador. Un usuario objeto de este ataque podría tener su cuenta secuestrada (robo de cookie), su navegador redirigido a otra dirección, o posiblemente mostrando contenido fraudulento entregado por el sitio web que está visitando junio de 2014 Problemas de seguridad Web 44

45 Cross-Site Scripting junio de 2014 Problemas de seguridad Web 45

46 Cross-Site Scripting Script Los scripts son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues estos deben ser convertidos a un archivo binario ejecutable. Los scripts pueden estar embebidos en otro lenguaje para aumentar las funcionalidades de este, como es el caso los scripts PHP o Javascript en código HTML. junio de 2014 Problemas de seguridad Web 46

47 Cross-Site Scripting Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web. Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación. Para funcionar necesitan un punto de entrada, que suelen ser los formularios. A través de un ataque XSS, se puede secuestrar cuentas, junio cambiar de 2014 Problemas de seguridad Web 47

48 Cross-Site Scripting Es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado y validación en campos de entrada, permitiendo así el envío de scripts completos (como Visual Basic Scripts o Java Scripts) con secuencias de comandos maliciosos que podrían impactar directamente en el sitio web o en el equipo de un usuario. Esta limitación se debe a que el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente. junio de 2014 Problemas de seguridad Web 48

49 Cross-Site Scripting Ataques Directos El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios webs que así lo permiten. Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido. Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo <frame> o <script>), entre las cuales incluye el código malicioso junio de 2014 Problemas de seguridad Web 49

50 Cross-Site Scripting Ataques Indirectos Este tipo de ataques se presenta, cuando el código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos. Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing. junio de 2014 Problemas de seguridad Web 50

51 Cross-Site Scripting Las formas más sencillas de defender nuestros usuarios son mediante las siguientes acciones: Cookies: Evitar almacenar datos vitales de nuestros usuarios en las cookies como: Nombre de usuario y Contraseña. Numero de tarjeta de crédito, fecha de vencimiento y nombre del propietario. Cuentas Bancarias. Direcciones de correos electrónicos. Como regla inviolable encriptar todas las cookies que genere nuestro sitio junio de 2014 Problemas de seguridad Web 51

52 Cross-Site Scripting Sesiones de Usuario: También debemos pensar en la encriptación de las sesiones de usuario y las variables que arrastre en caso de que lo hiciera, además de fijar un tiempo prudente de caducidad de sesión y la destrucción de las cookies de sesión al finalizar la misma. junio de 2014 Problemas de seguridad Web 52

53 Cross-Site Scripting junio de 2014 Problemas de seguridad Web 53

54 (Internet Explorer bugs) Mediante la explotación de una combinación de agujeros de seguridad del navegador Internet Explorer, operadores de sitios web pueden formatear el disco duro de sus visitantes La combinación de vulnerabilidades de IE hace posible para intrusos enviar una serie de comandos al PC del visitante, pudiendo borrar archivos de la máquina o, en el peor de los casos, el contenido de todo el disco duro. El grave problema de seguridad fue detectado por el experto sueco Andreas Sandblad, quien señala que el error radica en la función cross-site-scripting, que hace posible abrir una línea de comandos para invocar programas con parámetros aleatorios. El problema surge debido a la posibilidad de usar JavaScriptpara manipular los contenidos de otra ventana. En un ejemplo presentado por Sandbladse abre una nueva ventana de Internet Explorer con un archivo de ayuda que es ejecutado con derechos locales en el PC intervenido. A diferencia de anteriores agujeros de seguridad en Internet Explorer, el método descrito por Sandbladpermite enviar parámetros al programa invocado. De esa forma es posible escribir en la nueva ventana texto como formatc:, que puede formatear todo el disco duro, borrando sus contenidos. junio de 2014 Problemas de seguridad Web 54

55 (Internet Explorer bugs) En el caso de este ejemplo práctico se puede formatear, y con ello borrar, todo el contenido de un disquete. El formateo comienza en el momento mismo en que el usuario visita un sitio web que contiene el código. La única forma de impedir que el código se autoejecute en el PC es desactivar la función Active Scripting en las preferencias de seguridad de Internet Explorer. junio de 2014 Problemas de seguridad Web 55

56 Conclusiones estar siempre actualizado ante los nuevos ataques. Actualizar siempre el servidor y el software estar siempre informado programar a conciencia. Por ultimo recomendamos pagina owasp.com junio de 2014 Problemas de seguridad Web 56

57 Preguntas 1. Por que es importante tener algún pluguinen el navegador que nos muestre la IP del servidor visitado en todo momento? 2. Indique contramedidas contra ataques de fuerza bruta 3. Por que es muy difícil para un servidor defenderse de ataques conocidos como Cross-Site Scripting (XSS)? junio de 2014 Problemas de seguridad Web 57

58 respuestas 1. : si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque 2. Limitar cantidad de intentos (captcha y banneo de IP) 3. el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente. junio de 2014 Problemas de seguridad Web 58

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Detectar y solucionar infecciones en un sitio web

Detectar y solucionar infecciones en un sitio web Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

MANUAL DE USUARIO. Funcionalidad del Asistente Técnico de Movistar. Funcionalidad del Asistente Técnico de Movistar. Guía Básica de Manejo

MANUAL DE USUARIO. Funcionalidad del Asistente Técnico de Movistar. Funcionalidad del Asistente Técnico de Movistar. Guía Básica de Manejo MANUAL DE USUARIO Funcionalidad del Asistente Técnico de GUÍA BÁSICA DE MANEJO Asistente Técnico de Índice Índice... 2 1 Introducción al Asistente Técnico de... 3 2 Funcionalidad recogida en el Asistente

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP Programación páginas web JavaScript y PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la

Más detalles

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en:

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Rabobank Chile Qué es Rabopass? Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Algo que usted sabe + Algo que usted tiene Usted sabe su clave

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

LX8_022 Requisitos técnicos de. instalación para el usuario

LX8_022 Requisitos técnicos de. instalación para el usuario LX8_022 Requisitos técnicos de instalación para el usuario FECHA NOMBRE FORMATO COMENTARIO AUTOR 28/04/2011 LX8_019 Requisitos técnicos de instalación para el usuario Grupo de desarrollo LexNet 24/04/2012

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

SEGURIDAD INFORMATICA PHISHING: Definición:

SEGURIDAD INFORMATICA PHISHING: Definición: SEGURIDAD INFORMATICA PHISHING: Definición: El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números

Más detalles

Información de seguridad en Línea

Información de seguridad en Línea Información de seguridad en Línea Qué es el phishing? El phishing es el nombre dado a la práctica de enviar correos electrónicos al azar que supuestamente afirman ser de una empresa autentica que opera

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

Programación páginas web. Servidor (PHP)

Programación páginas web. Servidor (PHP) Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.

Más detalles

Copyright. INSTRUCTIVO DE CONFIGURACIÓN DE PC s DE CLIENTES CASH MANAGEMENT

Copyright. INSTRUCTIVO DE CONFIGURACIÓN DE PC s DE CLIENTES CASH MANAGEMENT Copyright Este es un documento con DERECHOS DE AUTOR RESERVADOS. PROHIBIDA SU REPRODUCCIÓN O UTLIZACIÓN TOTAL O PARCIAL, sin autorización escrita del Gerente General de Banco General Rumiñahui S.A. NOTA

Más detalles

LABORATORIO 3. CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS - POSTGRE SQL

LABORATORIO 3. CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS - POSTGRE SQL LABORATORIO 3. CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS - POSTGRE SQL GUÍA DE LABORATORIO Nº 3 Actividad de Proyecto No. 2: CONFIGURAR SISTEMAS MANEJADORES DE BASE DE DATOS. CONFIGURACIÓN

Más detalles

1. CONSIDERACIONES GENERALES

1. CONSIDERACIONES GENERALES Pág. 1. CONSIDERACIONES GENERALES... 1 2. EJECUTANDO ADMINISTRACION... 2 3. PANTALLA PRINCIPAL... 4 4. OPCION BASE DE DATOS... 4 4.1 ACTUALIZAR BASE DE DATOS...5 4.2 COPIA DE SEGURIDAD...6 4.2.1 Realizar

Más detalles

Índice: Tema 4.2 4.2 Conexión con Bases de Datos

Índice: Tema 4.2 4.2 Conexión con Bases de Datos Índice: Tema 4.2 4.2 Conexión con Bases de Datos 4.2.1 Envío y recepción de datos mediante formularios 4.2.2 Administración de MySQL con phpmyadmin 4.2.3 Conexión con Bases de Datos desde PHP Índice: Tema

Más detalles

Guía de inicio rápido

Guía de inicio rápido Guía de inicio rápido Tabla de contenido 1. INSTALACIÓN DE ARGUS 2007 - - - - - - - - - - - - - - - - - - - - - - 2. CÓMO INSTALAR ARGUS EN UNA SOLA COMPUTADORA - - - 3. CÓMO INSTALAR ARGUS EN UNA RED

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

SGNTJ. Desarrollo LexNet. Manual de Usuario LexNet: Requisitos técnicos de instalación de LexNet. Público. SGNTJ - Desarrollo LexNet

SGNTJ. Desarrollo LexNet. Manual de Usuario LexNet: Requisitos técnicos de instalación de LexNet. Público. SGNTJ - Desarrollo LexNet SGNTJ Desarrollo LexNet Manual de Usuario LexNet: Requisitos técnicos de instalación de LexNet Público ELABORADO POR: Desarrollo LexNet REVISADO POR: Desarrollo LexNet APROBADO POR: SGNTJ Fecha: 24/07/2014

Más detalles

PROGRAMACIÓN PÁGINAS WEB CON PHP

PROGRAMACIÓN PÁGINAS WEB CON PHP PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

www.mundokoopa.com En la portada de nuestro nuevo número Ataque de Anonymous a las fuerzas de seguridad británicas y estadounidenses.

www.mundokoopa.com En la portada de nuestro nuevo número Ataque de Anonymous a las fuerzas de seguridad británicas y estadounidenses. En la portada de nuestro nuevo número Ataque de Anonymous a las fuerzas de seguridad británicas y estadounidenses. La lucha de los navegadores Microsoft, Mozilla y Google actualizan sus navegadores para

Más detalles

Evolución de la seguridad en aplicaciones de comercio electrónico Dr. Gonzalo Álvarez Marañón

Evolución de la seguridad en aplicaciones de comercio electrónico Dr. Gonzalo Álvarez Marañón Evolución de la seguridad en aplicaciones de comercio electrónico CSIC Evolución de la seguridad en aplicaciones de comercio electrónico -2- Quién o Investigador en criptografía y criptoanálisis en el

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

MANUAL DE USUARIO. Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO

MANUAL DE USUARIO. Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO MANUAL DE USUARIO Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO Índice Índice... 2 1 Introducción a Asistente PC de Movistar... 3 2 Funcionalidad recogida en Asistente PC de Movistar...

Más detalles

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Contenido F-Secure Anti-Virus for Mac 2015 Contenido Capítulo 1: Empezando...3 1.1 Administrar la suscripción...4 1.2 Cómo asegurarme de que mi equipo está protegido...4

Más detalles

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones. Servidores seguros Un servidor seguro es un servidor de páginas web especialmente configurado para establecer una conexión transparente con el/la cliente consiguiendo que la información que circule entre

Más detalles

Prácticas Básica de Seguridad para Windows XP

Prácticas Básica de Seguridad para Windows XP Prácticas Básica de Seguridad para Windows XP Antes de la Instalación Identificar los servicios que se quiere proveer, a quien se les debe proveer, y de que manera. Escoger las herramientas que servirá

Más detalles

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa...2. 1.1 Configuración Internet Explorer para ActiveX...

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa...2. 1.1 Configuración Internet Explorer para ActiveX... INDICE 1 Configuración previa...2 1.1 Configuración Internet Explorer para ActiveX...2 1.2 Problemas comunes en sistema operativo Windows...8 1.2.1 Usuarios con sistema operativo Windows XP con el Service

Más detalles

Tema 17. Algunos aspectos de seguridad informática

Tema 17. Algunos aspectos de seguridad informática Tema 17. Algunos aspectos de seguridad informática Virus y otro malware Cortafuegos Criptografía Recomendaciones de seguridad generales Virus y otro malware Malware Virus Troyanos Keyloggers Programas

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

MEDIDAS DE PREVENCION CONTRA VIRUS

MEDIDAS DE PREVENCION CONTRA VIRUS MEDIDAS DE PREVENCION CONTRA VIRUS La seguridad consiste en asegurar que los recursos del sistema informático (información, programas) de una organización sean utilizados de la manera que se decidió y

Más detalles

Electrónica: Configuración en Mozilla Firefox

Electrónica: Configuración en Mozilla Firefox Electrónica: Configuración en Mozilla Firefox ÍNDICE 1. Instalación de Mozilla Firefox 1 2. Configuración del navegador Firefox.2 3. Importación/exportación de certificados de usuario con Mozilla Firefox......3

Más detalles

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273 Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

MANUAL PARA CONFIGURACIÓN DEL COMPUTADOR DE LOS USUARIOS PARA EL USO DEL SISDON

MANUAL PARA CONFIGURACIÓN DEL COMPUTADOR DE LOS USUARIOS PARA EL USO DEL SISDON MANUAL PARA CONFIGURACIÓN DEL COMPUTADOR DE LOS USUARIOS PARA EL USO DEL SISDON 1. INTRODUCCIÓN: El SISTEMA DE DOCUMENTACIÓN NAVAL (SISDON) es un sistema multiusuario de acceso WEB, el sistema no se instala,

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

PROCEDIMIENTOS PARA LA INSTALACIÓN DEL SOFTWARE SISTEMA RED. Junio 2010 MINISTERIO DE TRABAJO E INMIGRACIÓN TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL

PROCEDIMIENTOS PARA LA INSTALACIÓN DEL SOFTWARE SISTEMA RED. Junio 2010 MINISTERIO DE TRABAJO E INMIGRACIÓN TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL SUBDIRECCIÓN GENERAL DE RECAUDACIÓN PROCEDIMIENTOS PARA LA INSTALACIÓN DEL SOFTWARE SISTEMA RED Junio 2010 MINISTERIO DE TRABAJO E INMIGRACIÓN TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL INDICE 1 INTRODUCCIÓN...

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 4TI1A. UNIDAD 5.

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 4TI1A. UNIDAD 5. TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO 2015 CARRERA: INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN 4TI1A. INTRODUCCIÓN A LAS TICS UNIDAD 5.

Más detalles

Para poder enviar un Correo Electrónico necesitamos de una cuenta. Esta es una dirección de

Para poder enviar un Correo Electrónico necesitamos de una cuenta. Esta es una dirección de EL CORREO ELECTRÓNICO COMPONENTES 1. El correo Electrónico 2. Dirección de Correo Electrónico @ 3. Qué es OWA? 4. Elementos del OWA 5. Nuevo Correo 6. Responder, Reenviar y 7. Eliminar Mensajes 8. Calendario

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN CICLO: 02/2011 GUIA DE LABORATORIO #1 Nombre de la Práctica: Adquisición de servicio webhosting Lugar de Ejecución: Centro

Más detalles

Que es el CopV? Todo esto y mucho más es posible si utiliza nuestro sistema CopV en la red de su empresa o negocio!!

Que es el CopV? Todo esto y mucho más es posible si utiliza nuestro sistema CopV en la red de su empresa o negocio!! Que es el CopV? El CopV es un software de monitoreo en Redes producido por nuestra empresa, usted puede monitorear desde cualquier PC las actividades de todas las demás computadoras de la red de su empresa

Más detalles

MANUAL DE ADMINISTRACION

MANUAL DE ADMINISTRACION MANUAL DE ADMINISTRACION Cúcuta: Centro Comercial Bolívar Local B-21 y B-23 Tels.: (7) 5829010 Versión 2012. Fecha de Revisión, Enero 26 de 2012. Registro de Derechos de Autor Libro-Tomo-Partida 13-16-245

Más detalles

Guía Taller I Conexión con la Base de Datos Introducción a PostgreSQL

Guía Taller I Conexión con la Base de Datos Introducción a PostgreSQL Guía Taller I Conexión con la Base de Datos Introducción a PostgreSQL 1. Conexión con la Base de Datos: se debe realizar a partir de algún programa que implemente el protocolo SSH (Secure Shell), a partir

Más detalles

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad. Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar

Más detalles

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento Qué es AT-Encrypt nos permitirá dotar de contraseña a cualquier documento o carpeta. Este documento o carpeta sólo será legible por aquel que conozca la contraseña El funcionamiento del cifrado (o encriptación)

Más detalles

UPC-DAC/FIB-PTI 1. Seguridad en HTTP

UPC-DAC/FIB-PTI 1. Seguridad en HTTP UPC-DAC/FIB-PTI 1 Introducción Seguridad en HTTP Esta práctica nos introduce en los dos puntos importantes sobre seguridad en HTTP: la autentificación y el transporte seguro de datos. Para el transporte

Más detalles

Seguridad en la banca electrónica.

Seguridad en la banca electrónica. <Nombre> <Institución> <e-mail> Seguridad en la banca electrónica Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes Banca electrónica (1/4) Permite: realizar las mismas

Más detalles

Aviso de privacidad de Johnson Controls

Aviso de privacidad de Johnson Controls Aviso de privacidad de Johnson Controls Johnson Controls, Inc. y sus filiales (en conjunto, Johnson Controls, nosotros o nuestro) se preocupan por su privacidad y se comprometen a proteger su información

Más detalles

Seguridad SSL Número: 18 Sección: Artículos.

Seguridad SSL Número: 18 Sección: Artículos. Seguridad SSL Número: 18 Sección: Artículos. Es un hecho de todos conocido que Internet constituye un canal de comunicaciones inseguro, debido a que la información que circula a través de esta vasta red

Más detalles

Outlook Connector Manual

Outlook Connector Manual GFI MailArchiver para Exchange Outlook Connector Manual Por GFI Software http://www.gfi.com Correo electrónico: info@gfi.com La información del presente documento está sujeta a cambio sin aviso. Las empresas,

Más detalles

Tema 6. Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social

Tema 6. Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social A Tema 6 Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social Tema 6 A Que la fuerza te acompañe y además, algunas herramientas

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Configuración del equipo cliente para el uso de los servicios de la Sede Electrónica de los TEA

Configuración del equipo cliente para el uso de los servicios de la Sede Electrónica de los TEA Configuración del equipo cliente para el uso de los servicios de la Sede Electrónica de los TEA 1. INTRODUCCIÓN... 2 2. REQUISITOS DE CONFIGURACIÓN CLIENTE... 2 3. HABILITAR TODOS LOS PROPÓSITOS DE SU

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Operación Microsoft Windows

Operación Microsoft Windows Entornos de red Concepto de red En el nivel más elemental, una red consiste en dos equipos conectados entre sí mediante un cable de forma tal que puedan compartir datos. Todas las redes, no importa lo

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP PRESENTACIÓN Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor

Más detalles

XPERTO EN DISEÑO DE PÁGINAS WEB

XPERTO EN DISEÑO DE PÁGINAS WEB Curso ICA de: EXPERTO EN DISEÑO DE PÁGINAS WEB Módulo 1: Program. cliente: JavaScript Estudia el lenguaje JavaScript para crear guiones o scripts que se incluyen en las páginas web y que son ejecutados

Más detalles

REQUISITOS PARA EL USO DEL REGISTRO ELECTRÓNICO

REQUISITOS PARA EL USO DEL REGISTRO ELECTRÓNICO REQUISITOS PARA EL USO DEL REGISTRO ELECTRÓNICO TABLA DE CONTENIDOS 1. N A V E G A D O R E S S O P O R T A D O S.................................. 3 2. S I S T E M A S O P E R A T I V O S........................................

Más detalles

Eurowin 8.0 SQL. Manual de la FIRMA DIGITALIZADA

Eurowin 8.0 SQL. Manual de la FIRMA DIGITALIZADA Eurowin 8.0 SQL Manual de la FIRMA DIGITALIZADA Documento: me_firmadigitalizada Edición: 02 Nombre: Manual de la Firma Digitalizada en Eurowin Fecha: 19-05-2011 Tabla de contenidos 1. FIRMA DIGITALIZADA

Más detalles

DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES

DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES SERVICIO DE NOTIFICACIONES ELECTRÓNICAS Y DIRECCIÓN ELECTRÓNICA HABILITADA MANUAL DE CONFIGURACIÓN PARA SISTEMAS WINDOWS NOMBRE FECHA Elaborado por:

Más detalles

Preguntas frecuentes sobre BN Secure y MasterCard SecureCode y VERIFIED BY VISA.

Preguntas frecuentes sobre BN Secure y MasterCard SecureCode y VERIFIED BY VISA. Preguntas frecuentes sobre BN Secure y MasterCard SecureCode y VERIFIED BY VISA. Aprenda más acerca de MasterCard SecureCode y VERIFIED BY VISA. Usted puede utilizar los enlaces de abajo para saltar a

Más detalles

Actualización de Windows XP a Windows 7

Actualización de Windows XP a Windows 7 La actualización del equipo de Windows XP a Windows 7 requiere una instalación personalizada que no conserva los programas, los archivos ni la configuración. Por esa razón, a menudo se la denomina instalación

Más detalles

Privacidad.

Privacidad. <Nombre> <Institución> <e-mail> Privacidad Contenido Privacidad Riesgos principales Cuidados a tener en cuenta Fuentes Privacidad (1/3) En Internet tu privacidad puede verse expuesta: independientemente

Más detalles

PDF created with pdffactory Pro trial version www.pdffactory.com

PDF created with pdffactory Pro trial version www.pdffactory.com Este libro está diseñado y escrito para aquellas personas que, conociendo HTML y JavaScript, desean dar un salto cuantioso en la creación de sitios web, con la programación dinámica en el lado del servidor.

Más detalles

ARE YOUR WEB VULNERABLE?

ARE YOUR WEB VULNERABLE? CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML

Más detalles

E 4.3.1 Manual para administradores. Versión: 0.2 Fecha: 19/07/11 Autor: Antoni Bertran Bellido Email: abertran@opentrends.net

E 4.3.1 Manual para administradores. Versión: 0.2 Fecha: 19/07/11 Autor: Antoni Bertran Bellido Email: abertran@opentrends.net E 4.3.1 Manual para administradores Versión: 0.2 Fecha: 19/07/11 Autor: Antoni Bertran Bellido Email: abertran@opentrends.net Historial de cambios Versión Fecha Autor Cambios 0.1 15/12/2012 Antoni Bertran

Más detalles

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Julio 2007 SIEMPRE: 1. Manténgase informado sobre las novedades y alertas de seguridad. 2. Mantenga actualizado su equipo,

Más detalles

ÍNDICE INTRODUCCIÓN...15

ÍNDICE INTRODUCCIÓN...15 ÍNDICE INTRODUCCIÓN...15 CAPÍTULO 1. LA ARQUITECTURA CLIENTE-SERVIDOR...19 1.1 LAS DIRECCIONES IP Y EL SERVICIO DNS...20 1.2 LOS PROTOCOLOS TCP/IP...23 1.2.1 Los paquetes...24 1.2.2 Los puertos...25 1.2.3

Más detalles

Evolución de los bankers

Evolución de los bankers Autor: Sebastián Bortnik, Analista de Seguridad de ESET para Latinoamérica Fecha: Lunes 04 de mayo del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400, fax: (619) 437 7045 sales@eset.com,

Más detalles

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección contra intrusos: Protección contra personas y/o programas.

Más detalles

CmapTools, PROGRAMA PARA ELABORAR MAPAS CONCEPTUALES

CmapTools, PROGRAMA PARA ELABORAR MAPAS CONCEPTUALES CmapTools, PROGRAMA PARA ELABORAR MAPAS CONCEPTUALES Hoy en día se pueden encontrar en Internet muchos programas para elaborar Mapas Conceptuales, tanto gratuitos, como de pago. Después de evaluar varios

Más detalles

SILTRA Guía Técnica. Subdirección General de Afiliación, Cotización y Gestión del Sistema RED

SILTRA Guía Técnica. Subdirección General de Afiliación, Cotización y Gestión del Sistema RED SILTRA Guía Técnica Subdirección General de Afiliación, Cotización y Gestión del Sistema RED Julio de 2015 INDICE 1 Introducción... 3 2 Instalación de SILTRA... 3 2.1 Requerimientos... 3 2.2 Actuaciones

Más detalles

DOMINE PHP Y MYSQL por LOPEZ QUIJADO Isbn 9701512693 Indice del Contenido INTRODUCCIÓN PARTE I. REDES E INTERNET

DOMINE PHP Y MYSQL por LOPEZ QUIJADO Isbn 9701512693 Indice del Contenido INTRODUCCIÓN PARTE I. REDES E INTERNET DOMINE PHP Y MYSQL por LOPEZ QUIJADO Isbn 9701512693 Indice del Contenido INTRODUCCIÓN PARTE I. REDES E INTERNET CAPÍTULO 1. LA ARQUITECTURA CLIENTE-SERVIDOR 1.1 LAS DIRECCIONES IP Y EL SERVICIO DNS 1.2

Más detalles

Trabajo elaborado para el área de Gestión de Redes y Datos

Trabajo elaborado para el área de Gestión de Redes y Datos WINDOWS ESSENTIALS David Stiven Monsalve Juan Pablo Franco Marcela Aguirre Sebastián Cardona FICHA: 625354 Trabajo elaborado para el área de Gestión de Redes y Datos Alejandro Gómez Martínez Ingeniero

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles