Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web"

Transcripción

1 Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay

2 Introducción El problema del software inseguro es quizás el reto técnico más importante de nuestros tiempos. La seguridad es ahora uno de los factores claves limitantes sobre los que podemos crear con la tecnología de la información. El aumento de la concientización de seguridad ha hecho que muchas organizaciones implementen controles de seguridad de red y sistemas operativos en forma cada vez más eficientes. Como contrapartida los atacantes han migrado los ataques hacia las aplicaciones, que en su mayoría son basadas en web

3 Seguridad en el Ciclo de Desarrollo de Software (SDLC) Para prevenir problemas de seguridad recurrentes en una aplicación, es esencial el construir la seguridad dentro del Ciclo de Vida de Desarrollo del Software (SDLC), desarrollando estándares, políticas y guías de uso que encajen y funcionen dentro de la metodología de desarrollo. El SDLC es un proceso bien conocido por los desarrolladores. Mediante la integración de la seguridad en cada fase del SDLC, permite una aproximación integral a la seguridad de aplicaciones que se apoya en los procedimientos ya existentes en la organización. Si bien los nombres de las varias fases pueden cambiar dependiendo del modelo SDLC usado por una organización, cada fase conceptual del arquetipo SDLC será usada para desarrollar la aplicación (es decir, definir, diseñar, desarrollar, implementar, mantener). Cada fase tiene implicaciones de seguridad que deberán formar parte del proceso existente, para asegurar un programa de seguridad rentable y exhaustivo.

4 Cuanto antes mejor El detectar un bug en una etapa temprana dentro del SDLC permite que pueda ser abordado con mayor rapidez y a un coste menor. Un bug de seguridad no es diferente de uno funcional o de un bug en el rendimiento, en este contexto. A pesar de que las nuevas bibliotecas, herramientas o lenguajes pueden ayudar a diseñar mejores programas (con menos bugs de seguridad), nuevas amenazas están apareciendo constantemente y los desarrolladores deben ser conscientes de aquellas que afectan al software que están desarrollando. La educación en seguridad ayuda también a los desarrolladores a adquirir el enfoque apropiado para probar una aplicación desde la perspectiva de un atacante. Esto permite a cada organización considerar los problemas de seguridad como una parte de sus responsabilidades.

5 Costo de la Seguridad en el SDLC Tiempo

6 Que es OWASP? Open Web Application Application Security Project Promueve el desarrollo de software seguro Orientada a la prestación de servicios orientados a la Web Se centra principalmente en el "back-end" mas que en cuestiones de diseño web Un foro abierto para el debate Un recurso gratuito para cualquier equipo de desarrollo de software

7 Qué nos brinda OWASP Materiales de Educación OWASP SAMM OWASP Top 10 Guía de Desarrollo OWASP Guía de Testing OWASP Guía OWASP para aplicaciones Web Seguras Software WebGoat WebScarab ESAPI Capítulos Locales Comunidades interesadas en Seguridad de Aplicaciones

8 OWASP - SAMM El modelo de madurez para el aseguramiento de software (SAMM por sus siglas en inglés) es un marco de trabajo abierto para ayudar a las organizaciones a formular e implementar una estrategia de seguridad para Software que sea adecuada a las necesidades específicas que está enfrentado la organización. Los recursos que provee SAMM nos ayudan a: Evaluar las prácticas de seguridad en Software existentes en la organización Construir un programa de seguridad en Software balanceado en iteraciones bien definidas Demostrar mejoras concretas en el programa de aseguramiento de Software Definir y medir las actividades relacionadas con seguridad en la organización

9 SAMM

10 SAMM Gobierno Gestión global de las actividades de desarrollo de software Estrategia y métricas : Dirección estratégica global del programa de aseguramiento de software e instrumentación de procesos y actividades para recolectar métricas acerca de la postura de seguridad de una organización. Política y cumplimiento : Involucra establecer una estructura de control y auditoria para seguridad y cumplimiento de regulaciones a lo largo de una organización para alcanzar un aseguramiento superior en software bajo construcción y en operación. Educación y orientación : Involucra incrementar el conocimiento de seguridad entre el personal de desarrollo de software a través de entrenamiento y orientación en temas de seguridad pertinentes a funciones del trabajo individual.

11 SAMM Construcción Definición de metas y creación de software dentro de proyectos de desarrollo Evaluación de amenazas : Identificar y caracterizar con precisión los ataques potenciales contra el software de una organización, con el fin de comprender mejor los riesgos y facilitar su gestión. Requisitos de seguridad : Promover la inclusión de las necesidades de seguridad durante el proceso de desarrollo de software a fin de especificar la funcionalidad correcta desde el principio. Arquitectura de seguridad : Fortalecer del proceso de diseño con actividades para promover diseños con seguridad en mente y los marcos de trabajo en que se basa el software.

12 SAMM Verificación Verificación y prueba de componentes producidos a través del desarrollo de Software Revisión de diseño : Inspección de artefactos creados a partir del proceso de diseño para asegurar la provisión de mecanismos de seguridad adecuados y apegados a las expectativas de seguridad de la organización Revisión de código : Evaluación del código fuente de una organización para ayudar en el descubrimiento de vulnerabilidades y actividades relacionadas a la mitigación como es el establecimiento de bases para las expectativas de la seguridad en programación. Pruebas de seguridad : Probar el software de la organización en su ambiente de ejecución para descubrir vulnerabilidades y establecer un estándar mínimo para la liberación del software.

13 SAMM Implementación Administración de la liberación de sistemas que han sido creados Administración de vulnerabilidades : Establecer procesos consistentes para administrar reportes internos o externos de vulnerabilidades para limitar la exposición, recopilar datos y así mejorar el programa de aseguramiento. Fortalecimiento de ambientes : Implementación de controles para el ambiente operativo que rodea a los programas de una organización para reforzar la postura de seguridad de las aplicaciones que han sido implementadas. Habilitación operativa : Identificar y capturar información relevante a la seguridad que necesita un operador para configurar, instalar y correr los programas de una organización.

14 SAMM - Niveles de Madurez Cada una de las prácticas de seguridad tiene tres niveles de madurez bien definidos y un nivel inicial (cero) implícito. Los detalles de cada nivel difieren entre las prácticas pero generalmente representan: 0) Punto de inicio implícito, las actividades en la practica no se han realizado 1) Entendimiento inicial y provisión ad hoc de la práctica de seguridad 2) Incremento en la eficiencia y/o efectividad de la práctica de seguridad 3) Dominio amplio de la práctica de seguridad

15 Fallas de Seguridad en aplicaciones Web

16 OWASP Top Ten (2010 Edition)

17 A1 Inyection Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos maliciosos del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. Una falla de este tipo puede provocar una pérdida o corrupción de datos, falta de integridad, o denegación de acceso y hasta algunas veces permitir la toma de posesión completa del servidor o la base de datos comprometida

18 A2 Cross Site Scripting (XSS) Un ataque de Cross-Site Scripting consiste en una inclusión de un script en una página Web que se ejecuta cuando la página es accedida por un usuario Estas fallas ocurren debido a que las aplicaciones toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. Esto permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.

19 A2 Cross Site Scripting (XSS) TIPOS DE XSS 1) No permanente o Reflejado El código de scripting se incluye en el request, generalmente en la URL 2) Permanente El código de scripting se almacena en la capa de persistencia de la aplicación (Base de datos o Archivos) 3) Local Por alguna otra debilidad el atacante logra inyectar el código de scripting en un archivo almacenado localmente en el equipo de la víctima

20 A3 Fallos de Autenticación y Manejo de Sesión Por la naturaleza del protocolo HTTP que no es orientado a conexión, se hace necesario implementar mecanismos de manejo de sesión entre el cliente y el servidor que si no son implementados correctamente pueden ser alterados para obtener acceso no autorizado a los recursos. Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, o id de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.

21 A3 Fallos de Autenticación y Métodos de ataque: Manejo de Sesión Predicción de sesiones Generalmente cuando se puede predecir un ID de sesión Permite crear un ID de sesión válido de otro usuario Reutilización de sesiones Cuando un ID de sesión caducó se reutiliza en poco tiempo Fijación de sesiones Cuando se puede generar un ID de sesión arbitrario desde el el cliente Sniffing de identificadores de sesión Si el canal no está encriptado Si el ID de sesión está en la URL

22 A4 Referencia Directa a Objetos insegura Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un archivo, directorio, o base de datos sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados. Cuando se realiza una referencia directa a objetos internos y no se valida la correspondencia del usuario logueado con el valor referenciado, se corre el riesgo de ver datos de otro usuario Ejemplo con acceso a una cuenta bancaria: https://www.homebanking.com/home/app/nrocta= El usuario podría modificar el número de cuenta en la URL https://www.homebanking.com/home/app/nrocta= Lo mismo puede pasar con un archivo:

23 A5 Cross Site Request Forgery (CSRF) Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsa, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima. Esta vulnerabilidad es causada porque los browsers incluyen automaticamente las credenciales de autenticación (ID de sesión, IP Address, Credenciales de dominio, etc.) en cada request.

24 A5 Cross Site Request Forgery (CSRF) Ejemplo: La aplicación permite que los usuarios envíen peticiones de cambio de estado que no incluye seguridad El atacante construye una petición que transfiera dinero desde la cuenta de la víctima a su propia cuenta e inserta la misma dentro de una etiqueta de imagen en un sitio web que esté bajo su control y al que la víctima se podrá dirigir. <imgsrc="http://example.com/app/transferfunds?amount=1500&destination Account=attackersAcct# width="0" height="0" /> Cuando la víctima visite el sitio, en lugar de cargarse la imagen, se realizará la petición HTTP alterada. Si la víctima previamente había adquirido privilegios sobre el sitio original entonces el ataque será exitoso.

25 A6 Configuración Defectuosa de seguridad Una buena estrategia de seguridad requiere tener definida e implementada una configuración segura para la aplicación, framework, servidor de aplicación, servidor web, base de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación. Ejemplos de configuración insegura: Cuentas por defecto Páginas de ejemplo en desuso Consola de administración activas y accesibles Falta de actualización de patches Seteos de configuración por defecto Claves de encripción débiles.

26 A7 Almacenamiento Criptográfico Inseguro Muchas aplicaciones web no protegen adecuadamente los datos sensibles, tales como tarjetas de crédito, datos personales y credenciales de autenticación con mecanismos de cifrado o hashing. Los atacantes pueden modificar o robar tales datos protegidos inadecuadamente para realizar robos de identidad, fraudes de tarjeta de crédito u otros delitos. Esta vulnerabilidad normalmente compromete todos los datos que deberían haber estado cifrados. Ejemplos: Falta de cifrado de datos sensibles Claves de cifrado débiles Algoritmos inseguros o mal implementados Manejo y almacenamiento inseguro de las claves de cifrado

27 A8 -Falla de Restricción de Acceso a URL Algunas aplicaciones web verifican los privilegios de acceso a URLs antes de generar enlaces o botones protegidos. Sin embargo, las aplicaciones necesitan realizar controles similares cada vez que estas páginas son accedidas por fuera del circuito normal, de lo contrario los atacantes podrán alterar las URLs para acceder a estas páginas igualmente, simplemente forzando el acceso a la URL objetivo. Este tipo de vulnerabilidades se encuentran con frecuencia cuando links y botones simplemente se ocultan a usuario no autorizados, pero la aplicación no protege adecuadamente las páginas de destino.

28 Ejemplo: A8 -Falla de Restricción de Acceso a URL Considere las siguientes URLs las cuales se supone que requieren autenticación. Y para acceder a la página admin_getappinfo se necesitan permisos de administrador Si la aplicación es vulnerable, un usuario autorizado pero que no sea Administrador puede acceder a la página admin_getappinfo a través de la invocación a la URL.

29 A9 Protección Insuficiente en la capa de Transporte Las aplicaciones frecuentemente fallan al autenticar, cifrar, y proteger la confidencialidad e integridad de tráfico de red sensible. Cuando esto ocurre, es debido a la utilización de algoritmos débiles, certificados expirados, inválidos, o sencillamente no utilizados correctamente.

30 A9 Protección Insuficiente en la Ejemplos : capa de Transporte Autenticación sin SSL : El atacante captura el tráfico de red y observa la cookie de sesión de una víctima autenticada. Certificado SSL configurado incorrectamente : Provoca que el navegador muestre advertencias que los usuarios tienen que aceptar para poder acceder, y por lo tanto se acostumbren a estos avisos. Un ataque de phishing que redirija a los clientes a otra aplicación similar que no dispone de un certificado válido, y como estos están acostumbradas a dichas advertencias no notan la diferencia. Trafico hacia las bases de Datos sin encriptar: Una aplicación simplemente utiliza ODBC/JDBC para la conexión con la base de datos, sin darse cuenta de que todo el tráfico se transmite en claro.

31 A10 - Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas.

32 A10 - Redirecciones y reenvíos Ejemplos : no validados La aplicación tiene una página llamada redirect.jsp que recibe un único parámetro llamado url. El atacante compone una URL maliciosa que redirige a los usuarios a una aplicación que realiza el phishing e instala código malicioso La aplicación utiliza un parámetro para indicar dónde será dirigido el usuario luego de determinada transacción. En este caso, el atacante compone una URL que evadirá el control de acceso de la aplicación y llevará al atacante a una función de administración a la que en una situación habitual no debería tener acceso:

33 Buenas prácticas de seguridad para el desarrollo de aplicaciones Web Validación de ingreso de entrada Autenticación y Autorización Manejo de sesión Criptografía Manejo de Errores y logs de auditoría Configuración

34 Validación de Entrada La falta de validación de ingreso de datos es la fuente de la mayoría de las vulnerabilidades en aplicaciones. Nunca se debe confiar en los datos que el usuario final ingresa. Se recomienda implementar una estrategia basada en capas donde se verifique: Chequeos de integridad Validaciones Reglas de Negocio Utilizar en la medida de lo posible Validación Positiva y Alinear la exhaustividad de los controles con análisis de riesgo.

35 Estrategias de validación Aceptar sólo los buenos conocidos. (Validación positiva) Los siguientes parámetros deberían incluirse en una validación positiva: Tipo de datos (cadena, entero, real, etc. ) Largo mínimo y máximo Si se aceptan o no nulos. Si existen parámetros que son requeridos. Rango númérico. Expresiones regulares. Rechazar los malos conocidos (Validación negativa)

36 Autenticación - Buenas Prácticas Implementar un proceso de administración de usuarios. Alinear las credenciales con el valor de los activos. Contraseñas Certificados digitales Tokens Biometría Reautenticar cuando se requiere accesos a mayores privilegios. Proteger las transacciones No implemente credenciales de autenticación del lado del cliente

37 Contraseñas - Buenas Prácticas Utilice políticas de contraseñas (fortaleza, almacenamiento, control de cambio y uso) Utilice transporte seguro (SSL) Implemente cuidadosamente las funcionalidades que permiten rehabilitar una contraseña ante olvidos. Elimine los nombres de usuario por defecto Utilice HTTP headers y tags para prevenir el caché de contraseñas. Implemente hash para contraseñas.

38 Autenticación fuerte Tener en cuenta que las contraseñas pueden ser vulneradas con distintas metodologías. Considere la alternativa de implementar autenticación fuerte cuando el riesgo lo justifique. Métodos de autenticación fuerte: One-time passwords Certificados digitales Sistemas desafío respuesta Tarjeta de Coordinadas Biometría Firma digital de transacciones

39 Autorización - Buenas Prácticas Respete el principio de Mínimo privilegio Implemente rutinas de autorización centralizadas Utilice Matrices de autorización Priorice la protección de los activos más críticos. Ser cuidadoso con los controles de autorización a medida. Separar en las aplicaciones los accesos de administrador y usuario final.

40 Manejo de Sesión HTTP no es orientado a conexión Las credenciales de usuario se envían a través de los requerimientos HTTP Las tecnologías de páginas dinámicas (J2EE, PHP, ASP.NET) se embeben dentro de HTTP. Se utilizan Cookies para obtener datos de sesión del cliente.

41 Manejo de Sesión - Buenas prácticas Almacene la información de sesión del lado del servidor Implemente tiempo de vida para las sesiones Provea opciones de desconexión (logout) Revalide credenciales Luego de un log-on / log-off Después de un determinado tiempo Detecte bloqueos y loguee ataques fuerza bruta. Utilice HTTPS

42 Criptografía - Buenas prácticas No confunda encripción con codificación Use algoritmos conocidos, no escriba los suyos propios. Analize cuidadosamente el algoritmo a utilizar y el largo de claves. Diseñe su aplicación de manera que puede incorporar nuevos algoritmos. Proteja y administre las claves de encripción

43 Manejo de errores - Buenas prácticas Defina una estructura para manejo de errores de excepción. Implemente rastreo de eventos desde dentro de la aplicación. Envíe mensajes generales a los usuarios finales No habilite modo debug en producción Falle seguro, no debe archivos abiertos. No almacene información de rastreo o relacionada con la privacidad de las personas

44 Logs de Auditoría - Buenas Prácticas Verifique requerimientos legales y defina los requerimientos de auditoría en base a ellos. Sólo audite los eventos más importantes Centralice los logs Mantenga los logs seguros y confidenciales y realice respaldo de los mismos Trabaje siempre sobre una copia de sólo lectura para generar reportes y búsquedas en los logs.

45 Configuración - Buenas Prácticas Elimine todas las configuraciones por defecto que sean innecesarias No utilice cuentas por defecto No implemente puertas traseras No almacene passwords en claro en los archivos de configuración. Utilice protocolos de transferencia segura (SSL / SSH) Mantenga el sistema operativo y software de soporte actualizado.

46 Preguntas

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2.

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2. El contenido de este fichero está publicado bajo una licencia Creative Commons. La licencia bajo la que se encuentra este fichero es: Reconocimiento-NoComercial-SinObraDerivada 2.1 España Puede ver el

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP

GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP A-RI-P01-G02 Versión : 01 Página 1 de 44 GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP 1 A-RI-P01-G02 Versión : 01 Página 2 de 44 CONTENIDO INTRODUCCIÓN 4 1. OBJETIVO 4 2. ALCANCE 5 3.

Más detalles

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1 Extensión de módulos de pruebas de seguridad de la herramienta Webgoat Proyecto OWASP Daniel Cabezas Molina Daniel Muñiz Marchante 1 1. Introducción y objetivos 2. Herramientas utilizadas 3. Prueba de

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

(Actos no legislativos) REGLAMENTOS

(Actos no legislativos) REGLAMENTOS 18.11.2011 Diario Oficial de la Unión Europea L 301/3 II (Actos no legislativos) REGLAMENTOS REGLAMENTO DE EJECUCIÓN (UE) N o 1179/2011 DE LA COMISIÓN de 17 de noviembre de 2011 por el que se establecen

Más detalles

Seguridad, Web y Java

Seguridad, Web y Java 2 Seguridad, Web y Java Seguridad, Web y Java Daniel López Janáriz d.lopez@uib.es Seguridad, Web y Java 3 1. Introducción: Puntos a tener en cuenta cuando hablamos de seguridad La seguridad al 100% no

Más detalles

Introducción. Diplomado en Seguridad Informática

Introducción. Diplomado en Seguridad Informática Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se

Más detalles

Seguridad desde el primer click. Seguridad desde el primer click

Seguridad desde el primer click. Seguridad desde el primer click Las nuevas posibilidades que proporciona la acelerada evolución de Internet resultan evidentes. Posibilidades que nos permiten en BBVA net cash completar, día a día, nuestra ya nutrida y flexible gama

Más detalles

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Dirigido a: Secretarías de Educación que hacen uso del servicio de Web Hosting proporcionado por el Ministerio de Educación Nacional

Más detalles

Privacidad.

Privacidad. <Nombre> <Institución> <e-mail> Privacidad Contenido Privacidad Riesgos principales Cuidados a tener en cuenta Fuentes Privacidad (1/3) En Internet tu privacidad puede verse expuesta: independientemente

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Capítulo V. Seguridad de un portal

Capítulo V. Seguridad de un portal Capítulo V Seguridad de un portal Capítulo V Seguridad del portal 261 Seguridad del Portal Los portales WEB se ven expuestos a un creciente número de amenazas y vulnerabilidades que pueden afectar la

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Política de Privacidad

Política de Privacidad Política de Privacidad KLENDAR LIFE S.A. (en adelante KLENDAR) es una sociedad con domicilio social en C/Batalla del Salado, 24 1ºA (Madrid), con número de C.I.F. A98384803, inscrita en el Registro Mercantil

Más detalles

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales Session Hijacking: en aplicaciones web empresariales OWASP LATAM TOUR 2012 OMAR PALOMINO HUAMANÍ KUNAK CONSULTING SAC omarc320@gmail.com opalomino@kunak.com.pe Telef: 973861650 http://www.el-palomo.com

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Aviso de privacidad de Norton Mobile

Aviso de privacidad de Norton Mobile 31 de julio de 2015 Durante más de dos décadas, los clientes de todo el mundo han confiado a Symantec y a la marca Norton la protección de sus dispositivos informáticos y sus activos digitales más importantes.

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

MEJORA TU ESCUELA www.mejoratuescuela.org

MEJORA TU ESCUELA www.mejoratuescuela.org MEJORA TU ESCUELA www.mejoratuescuela.org I. OBJETIVO El portal www.mejoratuescuela.org es una herramienta elaborada a partir de las bases de datos de la Secretaría de Educación Pública (www.sep.gob.mx)

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Seguridad en redes -309-

Seguridad en redes -309- Problema 1. Teniendo en cuenta que una organización, conectada a Internet, desea controlar ciertas operaciones en unos determinados servicios y, además, ocultar las direcciones IP privadas utilizadas en

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

Qlik Sense capacita la nueva empresa

Qlik Sense capacita la nueva empresa Nota técnica Qlik Sense capacita la nueva empresa Generaciones de Business Intelligence La evolución del mercado de BI puede describirse como una serie de alteraciones. Cada cambio se producía cuando una

Más detalles

PARTE I. TECNICAS DE DESARROLLO

PARTE I. TECNICAS DE DESARROLLO INDICE Introducción XVII PARTE I. TECNICAS DE DESARROLLO 1 Capitulo 1. Cifrado 3 Archivos de Practicas 4 Resúmenes Hash 5 Cifrado de Clave Privado 10 Como Mantener Seguras las Claves Privadas 14 Cifrado

Más detalles

Política de Privacidad de Usuarios

Política de Privacidad de Usuarios Política de Privacidad de Usuarios 1. Introducción La privacidad es esencial para el ejercicio de la libre expresión, el libre pensamiento, y la libre asociación. En el Distrito Bibliotecario de Las Vegas-Condado

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

MINT A NIVEL BROSERW CON BEEF

MINT A NIVEL BROSERW CON BEEF MINT A NIVEL BROSERW CON BEEF Y METASPLOIT Como usuario seguimos con las mismavulnerabilidades 17 DE ABRIL DEL 2015 SANTA CRUZ BOLIVIA WALTER CAMAMA MENACHO About Me About Me - Ingeniero de sistemas Universidad

Más detalles

Política de privacidad para los Servicios PayPal

Política de privacidad para los Servicios PayPal Política de privacidad para los Servicios PayPal Fecha de entrada en vigor: 1 de julio de 2015 Imprimir Sus Derechos de Privacidad Esta Política de privacidad describe sus derechos de privacidad con respecto

Más detalles

White paper. Reducción del costo y la complejidad de la administración de vulnerabilidades web

White paper. Reducción del costo y la complejidad de la administración de vulnerabilidades web WHITE PAPER: Reducción del costo y la complejidad de la administración de vulnerabilidades web White paper Reducción del costo y la complejidad de la administración de vulnerabilidades web Reducción del

Más detalles

Boletín de Consultoría Gerencial

Boletín de Consultoría Gerencial www.pwc.com/ve Inicio El Password: Factor crítico de éxito para proteger la información contra los Hackers Boletín Digital No. 15-2011 Espiñeira, Sheldon y Asociados Boletín Consultoría Gerencial - No.

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Aero Owen, S. A. de C. V. (OWEN) se compromete a ofrecer el mejor servicio posible a sus clientes y proteger la privacidad de los datos e información que proporcionan los clientes

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Términos y Condiciones Plataforma Mi Control

Términos y Condiciones Plataforma Mi Control Términos y Condiciones Plataforma Mi Control Objeto La Plataforma MI CONTROL ha sido creada por el BANCO NACIONAL y es propiedad de éste, con el fin de facilitarles a todos nuestros clientes una herramienta

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines:

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines: Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus datos personales, en

Más detalles

GeneXus y OWASP TOP 10. Guía de desarrollo GeneXus

GeneXus y OWASP TOP 10. Guía de desarrollo GeneXus GeneXus y OWASP TOP 10 Guía de desarrollo GeneXus TABLA DE CONTENIDO Índice... 2 Sección : I. Introducción... 3 Objetivo... 3 Autores... 3 Versiones... 3 Sección : II. GeneXus y OWASP Top 10... 4 A1-Injection...

Más detalles

ArCERT Jornadas de Seguridad Informática 2009

ArCERT Jornadas de Seguridad Informática 2009 ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía ngrisolia@cybsec.com 02 de Octubre de 2009 Buenos Aires - Argentina Agenda Agenda Introducción - Intereses

Más detalles

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org : 10 años de aportaciones a la comunidad internacional. OWAND 11 13 de septiembre de 2011 Cádiz (España) Vicente Aguilera Díaz OWASP Spain Chapter Leader CISA, CISSP, CSSLP, PCI ASV, ITILF, CEH I, ECSP

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

Política de Privacidad para datos de clientes en el portal de Cornerstone

Política de Privacidad para datos de clientes en el portal de Cornerstone Declaración de privacidad Política de Privacidad para datos de clientes en el portal de Cornerstone Última actualización: 3 de mayo de 2013 Hemos diseñado nuestra Política de Privacidad con la intención

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

S31_CompTIA Mobile App Security+ for Android

S31_CompTIA Mobile App Security+ for Android S31_CompTIA Mobile App Security+ for Android Presentación Este curso enseña el conocimiento y las habilidades necesarias para crear de forma segura una aplicación móvil Android nativo, al tiempo que garantiza

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB OCTUBRE DE 2011 Edita: Editor y Centro Criptológico Nacional, 2011 NIPO: 076-11-053-3 Tirada: 1000 ejemplares Fecha

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Rafael Doña Gil. Enginyeria Tècnica en Informàtica de Sistemes. Consultor: Jose Juan Rodríguez

Rafael Doña Gil. Enginyeria Tècnica en Informàtica de Sistemes. Consultor: Jose Juan Rodríguez Rafael Doña Gil Enginyeria Tècnica en Informàtica de Sistemes Consultor: Jose Juan Rodríguez 14 de Enero de 2013 Contenido 1. Introducción 2. Análisis funcional 3. Diseño Técnico 4. Implementación 5. Conclusiones

Más detalles

CodeSeeker Un Firewall de Nivel 7 OpenSource

CodeSeeker Un Firewall de Nivel 7 OpenSource Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras

Más detalles

Aspectos relevantes relacionados con la seguridad

Aspectos relevantes relacionados con la seguridad Aspectos relevantes relacionados con la seguridad En BBVA, somos conscientes de la necesidad de garantizar la seguridad durante la transferencia de datos entre el banco y sus clientes. Por ello, disponemos

Más detalles

Funcionalidad del servicio de transferencia de archivos. Jesús Torres Cejudo

Funcionalidad del servicio de transferencia de archivos. Jesús Torres Cejudo 1 Características. Componentes y funcionamiento. Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura

Más detalles

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red... Guía de Instalación Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...5 3.Proceso de instalación...7 Paso

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted:

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted: POLÍTICA DE PRIVACIDAD Última actualización 29 de abril de 2014 Smartkidi permite a sus usuarios, a través del Sitio web Smartkidi (http://smartkidi.com), o el Sitio web, poder encontrar, ver y enviar

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

b1010 formas de escribir código (in)seguro

b1010 formas de escribir código (in)seguro b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles