Auditoría y Análisis de Riesgos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Auditoría y Análisis de Riesgos"

Transcripción

1 Auditoría y Análisis de Riesgos Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre Qué es un sistema seguro? Aquel para el que existe una garantía de que se comportará de acuerdo a aquello para lo que fue diseñado En sistemas de información, prácticamente imposible Los sistemas serán más o menos fiables o robustos Áreas de la Seguridad de Sistemas de Información Seguridad física Seguridad lógica Seguridad de la información Técnicas criptográficas y protocolos Seguridad de los sistemas que operan con ella 1

2 Conceptos básicos Amenazas, vulnerabilidades y controles Amenaza: cualquier cosa que pueda salir mal Posibilidad de que un efecto adverso cause daño Vulnerabilidad: debilidad en un sistema o proceso que hace posible que una amenaza tenga efecto Control: mecanismo para mitigar el riesgo que ocasiona una vulnerabilidad También llamados mecanismos de seguridad Seguridad de Sistemas Los dos lados de la auditoría El atacante No es necesario ser un genio para comprometer un sistema Basta con conocer una vulnerabilidad (bug) y la herramienta que la explota (exploit) Diferentes motivaciones y niveles de conocimiento El auditoría Asegurar que su sistema es fiable Necesita conocer todas las vulnerabilidades de su sistema Requiere un alto nivel de conocimientos y un esfuerzo continuo 2

3 Problemas Problemática de la seguridad Carencias de organización o de gestión Cuándo fue la última vez que hizo un backup? Quién administra esta máquina? Desconocimiento por parte de los administradores De la problemática de la seguridad De las peculiaridades de los sistemas operativos que administra De la configuración de red Problemas Problemática de la seguridad Seguridad vs. Accesibilidad Compartición de carpetas o impresoras Puertos abiertos Control de adjuntos de correo electrónico Desconocimiento o rechazo por parte de los usuarios Qué es un parche? No podemos tener la misma clave para todas las máquinas? 3

4 Problemas Problemática de la seguridad Respuesta ante incidentes Imposibilidad de desconectar(s) la máquina afectada(s) Insuficiente capacidad de monitorización Falta de controles de integridad Intentos de rastreo/contraataque Confianza ciega Out-of-the-box security Desconocimiento de servicios activos Security through obscurity Problemas Problemática de la seguridad Resulta muy tedioso estar al tanto de todas las vulnerabilidades En 2007 se registraron 6609 vulnerabilidades registradas como CVE cve.mitre.org Si leemos los 6609 avisos: 6609 x 20mins = 275 días (de 8 horas) Si suponemos que sólo nos afecta el 10% de los avisos y que necesitamos 1 hora para aplicar cada parche: 660 x 1h = 82 días Únicamente para proteger un sistema: = 357 días 4

5 Seguridad realista Seguridad Realista y Práctica Con todos estos problemas, a qué podemos aspirar? La seguridad 100% es inalcanzable Tendremos que aplicar tanta seguridad como sea factible Regla 80%-20% Análisis de riesgos Asegurar un sistema supone do { /* Realizar un análisis de riesgo adecuado*/ /* Desplegar los mecanismos y controles necesarios para alcanzar el nivel de seguridad objetivo */ } while (true) Mecanismos de Seguridad Mecanismos de seguridad También llamados controles (en auditoría) El objetivo es reducir un determinado riesgo o conjunto de riesgos a un nivel aceptable Distintos tipos Mecanismos de prevención Mecanismos de detección Mecanismos de corrección 5

6 Mecanismos de Seguridad Mecanismos de prevención Pretenden evitar que un error, acción u omisión de efecto negativo tenga lugar Ejemplos: Cerrar una puerta con llave Establecer una política de contraseñas seguras Concienciación de los usuarios Mecanismos de autenticación o de control de acceso Firewalls Mecanismos de Seguridad Mecanismos de detección Su objetivo detectar o avisar de que ha habido un evento indeseado Ejemplos: Alarmas de incendios Registros (logs) de acceso al sistema Bits de paridad Sistemas de detección de intrusiones Validación de entrada de datos 6

7 Mecanismos de Seguridad Mecanismos de corrección/reacción Pretenden corregir un riesgo o deficiencia antes de que ocurra un pérdida inaceptable Suelen depender de mecanismos de detección Ejemplos: Extintores Pólizas de seguro Sistemas redundantes Planes de contingencia Servicios de gestión de backups Sistemas de respuesta ante intrusiones (IRS) Conclusiones Conclusiones La seguridad de sistemas pretende reducir los riesgos de un sistema a un nivel aceptable Requiere: Conocimiento avanzado de amenazas, vulnerabilidades y ataques Conocimiento avanzado de mecanismos y controles de seguridad Análisis exhaustivo del sistema y de los riesgos asociados al mismo Establecimiento de controles y seguimiento continuado de los mismos Va bastante más allá de ser capaz de entrar en un sistema 7

8 Conclusiones Conclusiones Si algo puede salir mal, saldrá mal Murphy s Law Estaremos preparados? Análisis de Riesgos Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre

9 Introducción Por qué análisis de riesgos? El control del riesgo es crítico para el éxito Si algo puede fallar, fallará Mitigar los efectos adversos del fallo en la medida de lo posible Enfoques extremos No tener en cuenta el riesgo Invertir más en reducir los riesgos de lo que nos costaría la reparación Necesario un equilibrio Análisis de riesgos Risk Management / Risk Analisys Desde el punto de vista de una empresa Gobierno (estructura, roles, informes ) Procesos (identificación, valoración, monitorización y mitigación) Tecnología (sistemas y herramientas de apoyo) Introducción Problemática del Análisis de Riesgos Complejidad (e.g. en una empresa grande) Gobierno (estructura, roles, informes ) Procesos (identificación, valoración, monitorización y mitigación) Tecnología (sistemas y herramientas de apoyo) Falta de consenso en terminologías / metodologías Riesgo, vulnerabilidad, amenaza, control, mecanismo, contramedida? Gran variedad de estándares (OCTAVE, COBIT, ISO ) Falta de conciencia por parte de las partes implicadas Difícil de cuantificar de manera objetiva Proceso continuo 9

10 Análisis de Riesgos En quince minutos No podemos ver todas las metodologías (ni queremos) Algunas muy específicas (medicina, banca ) Lo más probable es que la metodología nos la impongan Ni siquiera podemos ver UNA metodología CobiT 4.1: 34 objetivos de alto nivel, 318 objetivos de control específicos Aprender a aplicar cualquier metodología Veremos una metodología MUY simple (4x4) Cuatro conceptos, cuatro procesos Un poco de matemática (muy poco, de verdad) Activos Análisis de Riesgos Todo aquello que tiene valor para una organización Servidores, Reputación, Datos de clientes, Disponibilidad Los diferentes activos tendrán diferente valor para diferentes organizaciones Fase 1 Inventario de activos Averiguar qué es importante para una empresa Cuantificar esa importancia Ejemplo: consigna de un aeropuerto AC.1: Caja 1000 / día AC.2: Objetos custodiados 4000 (estimación daños y perjuicios por consigna) 10

11 Análisis de Riesgos Vulnerabilidades y amenazas Amenaza Evento que puede dañar un activo Pueden ser directas o indirectas (posibilitadas por otras amenazas) Vulnerabilidad Debilidad que hace que una amenaza pueda hacerse efectiva Fase 2 Análisis de vulnerabilidades y amenazas Identificar las posibles amenazas y su probabilidad para un tiempo determinado (en caso de que existan vulnerabilidades) Determinar la existencia de vulnerabilidades En nuestro ejemplo AM.1: Robo P rcaja = 5 (5 robos estimados al año) AM.2: Daño a las consignas P rcaja = 1 (de alguna consigna) Riesgo Análisis de Riesgos Estimación de las pérdida en función de: La probabilidad de la amenaza La existencia de una vulnerabilidad que la haga posible El daño (coste) causado por la realización de la amenaza (definido por los activos) R = P amenaza [ P vulnerabilidad ] C daño Fase 3 Valoración de riesgos Cuantificar el riesgo provocado por las diferentes amenazas y vulnerabilidades Tener en cuenta posibles cadenas de amenazas En nuestro ejemplo R.1: Robo de la caja R Rcaja = P AM.1 C AM.1 = 5000 R.2: Robo de objetos en consigna R Rconsigna = P AM.1 P AM.2 C AM.1 = Total en riesgo: al año 11

12 Controles Análisis de Riesgos Mecanismos para reducir el riesgo Prevención, detección, corrección, mitigación de daño Directamente relacionados con las vulnerabilidades y amenazas Efectividad (grado en que reducen un riesgo o amenaza) Fase 4 Informe de Controles El objetivo es reducir un determinado riesgo o conjunto de riesgos a un nivel aceptable Nivel aceptable dependerá de la organización (y del coste del control) En nuestro ejemplo CN.1: Vigilante en la caja (C=18000 ; Ef R.1 =0.8; Ef R.2 =0.2) R.1 c =R.1 (1- Ef R.1 ) = 1000 R.2 c =R.2 (1- Ef R.2 ) = CN.2: Reforzar consignas (C=10000 ; Ef R.1 =0.0; Ef R.2 =0.8) R.2 c =R.2 (1- Ef R.2 ) = 4000 Seguridad en Aplicaciones Web Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre

13 Introducción Ataques a Aplicaciones Web Qué es una aplicación Web? Aplicación que utiliza HTTP Modelo cliente-servidor Soportada por una infraestructura de red más o menos compleja Vulnerables a ataques convencionales Nos centraremos en los ataques utilizando HTTP Introducción Un escenario particular Especialmente atractivo para el atacante 13

14 Introducción Un escenario particular Especialmente atractivo para el atacante Ubicuo gran abundancia de objetivos Las técnicas de ataque son generalmente sencillas Potencialidad de acceso anónimo Atraviesa la mayoría de las configuraciones de firewalls HTTP no está pensado para la seguridad Escasa conciencia de seguridad por parte de los diseñadores Introducción Un escenario particular Especialmente atractivo para el atacante (2) Plataformas de uso común (ASP.NET, LAMP) Vulnerabilidades comunes a múltiples aplicaciones Mantenimiento desorganizado Mayor facilidad para cometer errores que provoquen vulnerabilidades Elevado valor como objetivos Información cada vez más valiosa en la Web Procesos de negocio 14

15 Introducción Un escenario particular Puntos débiles de un aplicación Web La plataforma sobre la que corre la aplicación La máquina (Hardware, Sistema Operativo ) Servidor Web (Apache, IIS ) La infraestructura de desarrollo (ASP.NET, PHP ) La aplicación propiamente dicha La base de datos empleada El cliente Web (el usuario) Las comunicaciones Introducción Mecanismos de ataque A través de la propia interfaz de la aplicación Errores de validación de entrada Observando/Manipulando las URLs Observando/Manipulando los mensajes HTTP Proxies/extensiones HTTP Capaces de analizar/manipular cabeceras y contenido Herramientas de línea de órdenes (netcat ) Manipulando otros protocolos (WebDAV, SOAP ) 15

16 Clasificación de Ataques Tipos de Ataques a Aplicaciones Web Reconocimiento de la Aplicación Normalmente como preparación de otros ataques Ataques a la propia plataforma Ataques a la Autenticación Ataques a la Autorización Escalada de privilegios Ataques de validación de entrada Ataques a la Interfaz de administración Ataques al cliente Web Reconocimiento Reconocimiento Objetivo: recabar toda la información posible sobre el sitio Web objetivo Aumenta la efectividad y la eficiencia del ataque Dos vertientes claramente diferenciadas Análisis de la infraestructura Web Hardware y software que da soporte a la aplicación Análisis de la aplicación Web propiamente dicha 16

17 Reconocimiento Análisis de la Infraestructura Identificar y analizar los elementos que soportan la aplicación Web objetivo Hardware y software del servidor Web Equipamiento / topología de la red objetivo Presencia de firewalls Estrategias de mirroring o balanceo de carga Reconocimiento Análisis de la Infraestructura Footprinting y Scanning Técnicas genéricas de reconocimiento de sistemas Vistas en el tema Vulnerabilidades y amenazas Listado de máquinas en la red objetivo Listado de servicios en esas máquinas Puede llevar a vulnerabilidades más graves que las presentes en la aplicación Web Ejemplo: Servidor HTTPS con administración vía FTP 17

18 Reconocimiento Análisis de la Infraestructura Banner grabbing Observar la respuesta de servidor ante diferentes peticiones para intentar averiguar de qué servidor se trata Técnicas básicas: peticiones GET o HEAD $nc -nvv (UNKNOWN) [ ] 80 (?) open HEAD / HTTP/1.0 [Dos retornos de carro] HTTP/ OK Server: Microsoft-IIS/5.0 Date: Fri, 04 Jan :55:58 GMT Reconocimiento Análisis de la Infraestructura HTTP Fingerprinting La respuesta del servidor no tiene por qué ser fiable Evaluar la respuesta ante peticiones inusuales $nc -nvv PUT / HTTP/1.0 para subir ficheros, apenas se usa HTTP/ Unauthorized Server: Sun-ONE-Web-Server/6.1 HTTP/ Forbidden Server: Microsoft-IIS/5.0 HTTP/ Method Not Allowed Server: Apache/

19 Reconocimiento Análisis de la Infraestructura HTTP Fingerprinting Evaluar las diferencias en las cabeceras que devuelve el servidor HTTP/ OK Server: Microsoft-IIS/5.0 Date: Fri, 04 Jan :55:58 GMT HTTP/ OK Date: Fri, 04 Jan :55:58 GMT Server: Apache/ Utilidades que automatizan el proceso (httprint) Reconocimiento Análisis de la Infraestructura Detección de elementos intermedios Servidores virtuales Balanceadores de carga Diferentes servidores para los mismos recursos Pueden tener diferentes configuraciones Pueden detectarse observando o probando rangos de IP También por diferencias en cabeceras o contenidos Etag: "6c ad7e3080 Last-Modified: Wed, 15 Nov :58:08 GMT <!--ServerInfo:M Live1--> 19

20 Reconocimiento Análisis de la Infraestructura Detección de elementos intermedios Proxies Hacen de intermediario entre el cliente y la aplicación propiamente dicha Pueden ser un objetivo de interés para un ataque Detectarlos puede permitir al atacante esquivarlos Via: , 1.1 nowhere.com (Apache/1.1) X-Forwarded-For: , proxy.com Host: server1.site.com Reconocimiento Análisis de la Infraestructura Detección de elementos intermedios Filtros a nivel de Aplicación Son proxies con algún tipo de filtro de seguridad En general se detectan a partir de su respuesta ante determinadas peticiones Algunos colocan cookies que también pueden servir para detectarlos Ejemplos: Teros, TrafficShield, Netcontinuum 20

21 Reconocimiento Análisis de la Aplicación Información acerca de la aplicación que pueda conducir a vulnerabilidades Contenido Estructura de directorios Flujo de datos Funciones Inspección manual de la aplicación Navegar por la aplicación y documentar su estructura Reconocimiento Análisis de la Aplicación Inspección manual de la aplicación 21

22 Reconocimiento Análisis de la Aplicación Estructura de directorios Puede revelar información acerca de contenido inaccesible Directorios de administración: /admin, /secure, /adm Directorios con logs o versiones antiguas: /archive, /logs, / old Directorios con contenido estático: /include, /images, Búsqueda de ficheros Ficheros con contenido activo:.js,.pl,.php,.class Ficheros de datos:.xml,.xsl Reconocimiento Análisis de la Aplicación Código fuente de la página Comentarios HTML Campos de Formularios Son la base para los ataques de validación de entrada Campos <hidden>: a menudo encierran información de autenticación o autorización Cookies que utiliza A menudo empleadas para autenticación y autorización 22

23 Reconocimiento Análisis de la Aplicación Cadenas de petición (Query Strings) Envían información al servidor &resultpage=testing&db=/templates/db/archive.db Cambiar el valor de los parámetros puede afectar al funcionamiento de la aplicación Identidad de usuario: /login?userid=24601! Identidad de sesión: /menu.asp?sid=89cd9a9347! Consultas: /dbsubmit.php?stitle=ms&iphone= ! Acceso a ficheros: /open.pl?template=simple.html! Autorización: /menu.asp?isadmin=false Reconocimiento Análisis de la Aplicación Motores de búsqueda Permiten analizar un sitio Web objetivo sin acceder a él (caché) Permiten buscar similitudes entre diferentes sitios Web Content Managers, versiones Secciones específicas de la URL Fichero robots.txt Directorios que deben ser evitados por los motores de búsqueda En general proporciona información acerca de directorios inaccesibles Web Crawlers o Spiders Siguen automáticamente los links de un sitio Web y almacenan su contenido Permiten replicar un sitio Web (con limitaciones) Wget, Teleport 23

24 Reconocimiento Mecanismos de Seguridad Reconocimiento Mecanismos de Seguridad Configurar adecuadamente la máquina servidora Eliminar información innecesaria Proteger el acceso a los directorios con información crítica Desactivar el listado automático de directorios Colocar los directorios accesibles a través de Web en dominios diferentes a los directorios de sistema IIS: Colocarlos en unidades de disco diferentes Servidores Web Unix: utilizar chroot Eliminar comentarios del código fuente Referenciar ficheros con paths relativos, no absolutos Aplicar autenticación a todos los ficheros y directorios si es necesario 24

25 Ataques a la plataforma Ataques a la Plataforma Plataforma Web: software que da soporte a la aplicación Software del Servidor Web (IIS, Apache ) Extensiones al servidor (ISAPI, mods de Apache ) Entornos dinámicos de ejecución (ASP.NET, PHP, J2EE ) En general, software común y bien conocido Vulnerabilidades disponibles públicamente Exploits en circulación que corren de manera automática Ataques independientes de la aplicación específica Suelen llevar a un compromiso general de la aplicación Ataques a la plataforma Ataques al Servidor Web Servidor Web Apache Reputación de eficiencia y seguridad Ninguna vulnerabilidad de ejecución de comandos contra el núcleo de Apache en toda la versión 1.3 Sin embargo, requiere de módulos adicionales para dar flexibilidad, y estos módulos pueden introducir vulnerabilidades Ejemplo: Listado de directorios Apache con mod_negotiate, mod_dir o mod_autoindex Es posible forzar el listado de un directorio con una petición de la forma GET /cgi-bin///////////////////////////////////////// 25

26 Ataques a la plataforma Ataques al Servidor Web Microsoft Internet Information Server (IIS) Objetivo de numerosos ataques durante su tiempo de vida Revelación de código Ejecución de comandos de administración Ejecución arbitraria de comandos Hay que diferenciar entre ataques al propio IIS o a los componentes (.dll) Ejemplo: Buffer Overflow en ISAPI DLL Aparece cuando se envía un buffer de 420 bytes en la cabecera Host de HTTP para una petición ISAPI.printer GET /NULL.printer HTTP/1.0 Host: [buffer] Permite denegación de servicio y ejecución de código arbitrario Utilizado por el gusano Code Red Ataques a la plataforma Ataques al Entorno de Ejecución Hypertext PreProcessor (PHP) Permite incrustar comandos en el código de una página Web, que se ejecutan en el servidor antes de devolver la página al cliente. Vulnerabilidades en la plataforma pueden permitir a un cliente ejecutar comandos arbitrarios POST /phpadsnew/adxmlrpc.php... <?xml version= 1.0?><methodCall> <methodname>loquesea</methodname> <params><param><name> );passthru(dir);//</name> <value>loquesea</value></param></params> </methodcall> Posibilidad de inicializar variables desde la Query String 26

27 Ataques a la plataforma Mecanismos de Seguridad Ataques a la plataforma Mecanismos de Seguridad Control de acceso severo en ambos sentidos Políticas de seguridad de firewalls Mantener el software de la plataforma actualizado Evitar colocar información en el código fuente Contraseñas, nombres de directorio, direcciones de correo Internet Information Server (IIS) Deshabilitar exensiones innecesarias Discos separados para el sistema y la aplicación Web Restringir utilidades potencialmente dañinas Gestión adecuada de permisos 27

28 Ataques a la plataforma Mecanismos de Seguridad Apache Web Server Deshabilitar los módulos que no se usen ModSecurity: filtro a nivel de aplicación Restringir el acceso a directorios más allá de la raíz Web (chhroot) PHP Evitar utilizar información de entrada para construir rutas Desactivar la posibilidad de inicialización (register_global) Validar adecuadamente la entrada que se recibe Autenticación Ataques a la autenticación Punto especialmente crítico en seguridad Web Primer paso en el acceso a una Web segura Influye en decisiones de seguridad posteriores Mecanismos de autenticación Usuario / contraseña Certificados y Tokens Servicios de Autenticción 28

29 Autenticación Autenticación por Usuario / Contraseña Enumeración de usuarios Obtener nombres de usuario válidos Diferentes mensajes de error para usuario y clave Errores de usuario ya existe en registros Bloqueo de cuentas Diferencias de temporización Adivinar contraseñas Manualmente o por fuerza bruta Preguntas de seguridad Autenticación Autenticación por Usuario / Contraseña Captura de tráfico (Eavesdropping) Ejemplo de autenticación HTTP basic GET /test/secure HTTP/1.0 HTTP/ Unauthorized WWW-Authenticate: Basic realm="luxor GET /test/secure HTTP/1.0 Authorization: Basic dgvzddp0zxn0 29

30 Autenticación Autenticación por Usuario / Contraseña Captura de tráfico (Eavesdropping) Codificación BASE64 fácilmente reversible dgvzddp0zxn0 test:test Autenticación Autenticación por Usuario / Contraseña Ataques de repetición Ejemplo de autenticación HTTP digest HTTP/ Unauthorised WWW-Authenticate: Digest qop="auth,auth-int", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", GET /dir/index.html HTTP/1.0 Authorization: Digest username= ivan", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/dir/index.html", response="6629fae49393a c4ef1, Vulnerable a ataques de repetición (aunque un poco restringido) 30

31 Autenticación Autenticación por Usuario / Contraseña Autenticación basada en formularios Dos alternativas: GET y POST GET /login.aspx?user=test&password=test HTTP/1.0 POST /login.aspx HTTP/1.0 user=test&password=test Utilizando GET las credenciales aparecen en los logs Ambos envían las credenciales en claro (necesario SSL) Puede ser vulnerable a ataques de validación de entrada SQL Injection Autenticación Otros mecanismos de autenticación Certificados (SSL) Utilizan criptografía asimétrica Vulnerables a ataques man-in-the-middle One Time Passwords (OTPs) Tarjetas de claves para transacciones bancarias Obviamente invulnerables a la captura o repetición Servicios de Autenticación Única (Single Sign-On) Basados en tickets 31

32 Autenticación Ataques sobre la información de Sesión Identificadores de sesión y tokens Muchos protocolos de autenticación generan algún tipo de ID de sesión que se utiliza posteriormente Suele ir en una Cookie Set-Cookie: MSPAuth=4Z9iuseblah;domain=.passport.com;path=/ Conocer ese identificador puede ser suficiente para suplantar a un usuario autenticado Captura de tokens Predicción de tokens Autenticación Mecanismos de seguridad 32

33 Autenticación Mecanismos de seguridad Políticas de contraseñas y de bloqueo de cuentas Dificultar la automatización de ataques Bloqueos temporales de cuentas Técnicas gráficas para distinguir a un usuario real Utilización de SSL para el intercambio de información Mapear la autenticación a otros parámetros Dirección IP, timestamp Validación de entrada en formularios Autorización Ataques a la autorización La autorización define los derechos de acceso de un usuario autenticado A qué partes de la aplicación puede acceder? Qué acciones puede llevar a cabo? En general, se implementa por medio de credenciales La aplicación proporciona al usuario un token de acceso Cuando el usuario intenta acceder a un objeto, se contrasta ese token con unas listas de control de acceso (ACLs) relacionadas con ese objeto Dos vertientes de ataque Obtener tokens de acceso válidos (captura/modificación) Explotar vulnerabilidades en los ACLs (mala configuración) 33

34 Autorización Análisis de la autorización Intentar deducir las ACLs de un sitio Web Manualmente Utilizando Web Crawlers Análisis diferencial (con distintos usuarios) Identificar los tokens de acceso o sesión En general, cookies (ASPSESSIONID, PHPSESSID, SID ) Analizar la información que contienen los tokens Nombre de usuario, roles, direcciones IP A menudo la información estará codificada o encriptada De nuevo, análisis diferencial Autorización Ataques a los controles de acceso Explotar debilidades en la configuración de las ACLs Directory Trasversal Intentar acceder a un directorio restringido a través de uno que no lo está Se basan en que a menudo los controles de acceso se realizan ante de interpretar determinados caracteres /scripts/../../../../winnt /scripts/..%c0%af..%c0%af..%c0%afwinnt Recursos ocultos Una forma errónea de proporcionar control de acceso consiste únicamente en que la URL no es conocida Intentar descubrir patrones en la nomenclatura de los directorios 34

35 Autorización Ataques a los tokens de acceso Predicción manual de un token de acceso válido En la Query String Datos enviados con POST Campos hidden de formularios En cabeceras HTTP Cookie: uid=19293; sessid= Refeerer: Autorización Ataques a los tokens de acceso Predicción automática Análisis estadístico Permite identificar patrones más usuales o tendencias Ataque por fuerza bruta o por diconario Pruebas con bytes específicos 46Vw8VtZCAvfqpSY3FOtMGbhI 4mHDFHDtyAvfqpSY3FOtMGbjV 4tqnoriSDAvfqpSY3FOtMGbgV 4zD8AEYhcAvfqpSY3FOtMGbm3 Captura o repetición de tokens 35

36 Autorización Impacto de los ataques a la autorización Escalada de privilegios horizontal Obtener los privilegios de otro usuario del mismo nivel Cookie: SerderID=dfa9c;ShopperID= ; Escalada de privilegios vertical Acceder a cuentas privilegiadas Cookie: UserID=1 Roles modificables por el cliente Cookie: role=ee11cbb19052e40b07aac0ca060c23ee Acceso a directorios de administración no protegidos /admin/utils/ Autorización Mecanismos de Seguridad 36

37 Autorización Mecanismos de Seguridad Control de acceso a los directorios Limitar los comandos HTTP que se aceptan Utilizar SSL (y marcar las Cookies como seguras) Encriptar los tokens de acceso (y de forma no evidente) No incluir información sensible en los token Emplear mecanismos de autenticación probados Limitar el inicio concurrente y la validez de las sesiones Validación de Entrada Ataques de Validación de Entrada Se basan en enviar al servidor información errónea Información que no está preparado para tratar Información que provoca resultados inusuales Posibles consecuencias Acceso y manipulación de datos (SQL Injection) Lanzamiento de ataques a otros usuarios desde el servidor Revelación de código de la aplicación Ejecución arbitraria de comandos o código Posibles puntos de ataque? Cualquier dato enviado 37

38 Validación de Entrada Ataques más comunes Buffer Overflows Análogos a los vistos anteriormente Generalmente se realizan a ciegas Canonización y Directory Trasversal Se basan en la utilización de parámetros de entrada para construir rutas a ficheros A menudo explotan diferencias entre lenguajes de programación /servlet/webacc?user.html=template1 Un script de perl añade.html al parámetro y se lo pasa a open() /servlet/webacc?user.html=../.htpasswd%00 open(), implementada en C, corta la cadena al llegar al %00 Validación de Entrada Inyección de HTML Se utiliza contra aplicaciones que de algún modo publican la información que envía el usuario Foros, blogs, portales de noticias Incrustar HTML arbitrario en la página devuelta Cross-site Scripting (XSS) Incrustar JavaScript malicioso, que afectará a otros usuarios <script src= ></script> Incrustar contenido activo para el servidor <!--#include file= /etc/passwd --> <? Include '/etc/passwd'?> <%= date() %> 38

39 Validación de Entrada Inyección de SQL Se utiliza contra aplicaciones que utilizan parámetros de entrada para construir peticiones SQL Ejemplo de Aplicación Vulnerable Query String válida login.php?user=user&pass=password Petición SQL resultante SELECT COUNT (ID) FROM UserTable WHERE UserId= user AND Pass= password Ataque de Inyección SQL login.php?user=user%27--&pass=password SELECT COUNT (ID) FROM UserTable WHERE UserId= user -- AND Pass= password Validación de Entrada Mecanismos de Seguridad Filtrar caracteres potencialmente peligrosos Caracteres utilizados para construir paths:. / Caracteres utilizados para incrustar HTML: < > Caracteres utilizados en línea de órdenes: & ; Caracteres empledos en consultas SQL: % Transfomar caracteres en sus equivalentes inofensivos < &lt, > &gt Normalizar las diferentes codificaciones ASCII (%2f), UTF-8 (%co%af), UTF-7 (+ADw-) Validar tanto en el cliente como en el servidor 39

40 Administración Ataques a la Interfaz de Administración Interfaces de Administración accesibles desde Internet Administración remota del Servidor Telnet, SSH, puertos específicos, VNC... Administración de Contenidos Servidores FTP o SSH/scp Gestores de Contenidos FrontPage Server Extensions WebDAV El Cliente Web Ataques al Cliente Web Ya vimos por qué el cliente web es un blanco atractivo Mucho más numeroso En general desprevenido Posible pasarela para otros ataques Mecanismos de ataque Explotación de vulnerabilidades en el Cliente Web Engaño al usuario (para que revele información o ejecute código) En general encontraremos combinaciones de ambas 40

41 El Cliente Web Vulnerabilidades del Cliente Web Errores en la implementación Buffer overflows y otras vulnerabilidades en navegadores Mucho más usuales en las extensiones Vulnerabilidades en interpretes de contenidos (e.g. JPG) Diseño controvertido Cruces entre dominios de seguridad Internet Explorer Local Machine Zone Los ejecutables en esta zona se ejecutan con privilegios de usuario Ataques de inyección de código en la LMZ Reutilización de controles ActiveX El Cliente Web Engaño al Usuario Conseguir que descargue y ejecute código malicioso Applets de Java Controles ActiveX Extensiones FireFox Descargas atractivas (e.g. generadores de claves) Phishing Suplantación de aplicaciones web legítimas Objetivo: robo de credenciales Mecanismo habitual: contacto a través de 41

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS Índice Overview 4 Introducción 5 Qué es un CMS? Quién usa WordPress? Vulnerabilidades en WordPress Medidas de seguridad básicas 6-7 Mantener WordPress y

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

LOGO. Modulo 2. Carlos Villanueva

LOGO. Modulo 2. Carlos Villanueva SSO5501 Hardening de un Sistema Operativo de Red LOGO Modulo 2 Carlos Villanueva Introduccion Hardering, del ingles Endurecimiento, se refiere al proceso de segurizar un Sistema o Aplicación Objetivos

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Ataques Web Automáticos: Identificación, Engaño y Contraataque

Ataques Web Automáticos: Identificación, Engaño y Contraataque Ataques Web Automáticos: Identificación, Engaño y Contraataque Mariano Nuñez Di Croce mnunez@cybsec cybsec.comcom Noviembre 2005 CIBSI 05 Valparaíso, Chile Agenda - Introducción a las Herramientas Automáticas.

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas

Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas Introducción 1. Preámbulo 15 2. Desciframiento de un ataque conseguido 17 3. Descifrado de contramedidas eficaces 18 3.1 Análisis de riesgos reales 18 3.2 Consideraciones técnicas 19 3.3 Consideraciones

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

5.1. Qué es Internet? controla todo el sistema, pero está conectado de tal manera que hace

5.1. Qué es Internet? controla todo el sistema, pero está conectado de tal manera que hace 5. Internet 5.1. Qué es Internet? Internet es una red mundial de equipos que se comunican usando un lenguaje común. Es similar al sistema telefónico internacional: nadie posee ni controla todo el sistema,

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

Arquitectura software EN-HORA

Arquitectura software EN-HORA Arquitectura de en:hora Arquitectura software EN-HORA en:hora es un software de control de acceso y presencia con una arquitectura modular. El software se implementa mediante un conjunto de componentes

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática. SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Capítulo V. Seguridad de un portal

Capítulo V. Seguridad de un portal Capítulo V Seguridad de un portal Capítulo V Seguridad del portal 261 Seguridad del Portal Los portales WEB se ven expuestos a un creciente número de amenazas y vulnerabilidades que pueden afectar la

Más detalles

Seguridad de un Portal

Seguridad de un Portal Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

Evolución de la seguridad en aplicaciones de comercio electrónico Dr. Gonzalo Álvarez Marañón

Evolución de la seguridad en aplicaciones de comercio electrónico Dr. Gonzalo Álvarez Marañón Evolución de la seguridad en aplicaciones de comercio electrónico CSIC Evolución de la seguridad en aplicaciones de comercio electrónico -2- Quién o Investigador en criptografía y criptoanálisis en el

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

SISTEMA DE COPIAS DE SEGURIDAD

SISTEMA DE COPIAS DE SEGURIDAD SISTEMA DE COPIAS DE SEGURIDAD Ya tiene a su disposición el servicio de copias de seguridad adbackup en acuerdo con la ASOCIACIÓN DE ASESORÍAS DE EMPRESA haciendo más asequible el servicio, y con el respaldo

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

UNIVERSIDAD DR. JOSE MATIAS DELGADO

UNIVERSIDAD DR. JOSE MATIAS DELGADO NOMBRE DE LA ASIGNATURA: ARQUITECTURA Y TECNOLOGÍAS DE LA WEB 0 a. Generalidades. Número de Orden: Prerrequisit o (s): 46 Código: ATW 0 35 Asignatura s aprobadas Ciclo Académico : Área: X Especializad

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Joomla! La web en entornos educativos

Joomla! La web en entornos educativos Joomla! La web en entornos educativos Módulo 11: Mantenimiento 2012 Mantenimiento del espacio web 11 Una vez que nuestro sitio adquiere presencia en la web, es preciso tener presente que necesita un mantenimiento

Más detalles

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es)

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es) Seguridad en Sistemas Informáticos Seguridad y WWW Mikel Izal Azcárate (mikel.izal@unavarra.es) Indice Seguridad en WWW > Seguridad en la autentificación > Seguridad en la autorización > Ataques de validación

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB OCTUBRE DE 2011 Edita: Editor y Centro Criptológico Nacional, 2011 NIPO: 076-11-053-3 Tirada: 1000 ejemplares Fecha

Más detalles

PRIMEROS PASOS EN LA APLICACIÓN REA

PRIMEROS PASOS EN LA APLICACIÓN REA PRIMEROS PASOS EN LA APLICACIÓN REA INTRODUCCIÓN El objetivo de este documento es facilitar al usuario la utilización de los certificados y la firma electrónica en la aplicación REA, mediante la realización

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Banco de la República Bogotá D. C., Colombia

Banco de la República Bogotá D. C., Colombia Banco de la República Bogotá D. C., Colombia Dirección General de Tecnología Departamento de Gestión Informática DOCUMENTO TÉCNICO DE SERVICIOS NO INTERACTIVOS DEL BANCO DE LA Agosto de 2014 Versión 1.0

Más detalles

Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL Introducción a ataques de tipo inyección: Inyección SQL Jorge Peris Cortés - jorpecor@alumni.uv.es Asignatura: Redes Ingeniería Informática - Curso 2011/2012 Universidad de Valencia 1 Índice INTRODUCCIÓN...

Más detalles

UD 4: Instalación y administración de servicios Web SRI

UD 4: Instalación y administración de servicios Web SRI Instalación y administración de servicios Web SRI RESULTADOS DE APRENDIZAJE Administra servidores Web aplicando criterios de configuración y asegurando el funcionamiento del servicio. Introducción - WWW

Más detalles

Desarrollo y servicios web

Desarrollo y servicios web Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes

Más detalles

Índice. Capítulo 1. Novedades y características... 1

Índice. Capítulo 1. Novedades y características... 1 Índice Capítulo 1. Novedades y características... 1 Introducción a Windows Server 2008... 1 Administración de servidor... 3 Seguridad y cumplimiento de directivas... 5 El concepto de Virtualización...

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

1.264 Tema 18. Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software

1.264 Tema 18. Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software 1.264 Tema 18 Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software Claves públicas y autoridades que expiden certificados Cómo obtener claves públicas: No puede

Más detalles

SERVICIO HTTP DE INTERNET INFORMATION SERVER (IIS)

SERVICIO HTTP DE INTERNET INFORMATION SERVER (IIS) SERVICIO HTTP DE INTERNET INFORMATION SERVER (IIS) Los servicios de Internet Information Server (a partir de ahora IIS) son una plataforma con unas prestaciones completas, capaz de dar servicio HTTP (sitios

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

NOTA. HONEYPOT II Servicios con HoneyBOT. Objetivo: Usar un honeypot con varios servicios de interacción media. Herramientas necesarias:

NOTA. HONEYPOT II Servicios con HoneyBOT. Objetivo: Usar un honeypot con varios servicios de interacción media. Herramientas necesarias: HONEYPOT II Servicios con HoneyBOT Popularidad: 8 Simplicidad: 10 Impacto: 5 Nivel de Riesgo: 2 Objetivo: Usar un honeypot con varios servicios de interacción media Herramientas necesarias: HoneyBOT (http://www.atomicsoftwaresolutions.com/download.php)

Más detalles

Administración de servicios Web (MF0495_3)

Administración de servicios Web (MF0495_3) Ficha de orientación al alumno para su participación en la acción formativa Administración de servicios Web (MF0495_3) A quién está dirigido este Módulo Formativo? Trabajadores ocupados o desempleados

Más detalles

Explotando un RFI en una WebApp Comercial

Explotando un RFI en una WebApp Comercial Explotando un RFI en una WebApp Comercial A. Alejandro Hernández (nitr0us) nitrousenador@gmail.com Safer Operations Consulting www.saferops.com.mx RTM Security Research Group www.zonartm.org Noviembre

Más detalles

RETO HACKER DE VERANO

RETO HACKER DE VERANO RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Una plataforma integral de detección de fraudes y autenticación RESUMEN Mide el riesgo de las actividades de inicio de sesión o las posteriores al inicio de sesión evaluando

Más detalles

Servicio de publicación de información web (HTTP)

Servicio de publicación de información web (HTTP) Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server 1 of 9 4/15/2010 9:47 PM Anterior Administración de sitios Web Capítulo 8. Servidores Web: Internet Information Server Siguiente En este punto, nos centraremos en las tareas de administración del servidor

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

Securiza tu red con Snort y sus amigos

Securiza tu red con Snort y sus amigos www.securityartwork.es www.s2grupo.es Securiza tu red con Snort y sus amigos José Luis Chica Uribe Técnico de seguridad IT jchica@s2grupo.es Índice Seguridad: conceptos Tipos de ataques Cómo defenderse?

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

Mantenimiento del espacio web

Mantenimiento del espacio web Mantenimiento del espacio web 11 Actualizaciones de Joomla! La actualización a las nuevas versiones de Joomla! es siempre necesaria si queremos que nuestro espacio web no tenga vulnerabilidades peligrosas,

Más detalles

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

UPC-DAC/FIB-PTI 1. Seguridad en HTTP

UPC-DAC/FIB-PTI 1. Seguridad en HTTP UPC-DAC/FIB-PTI 1 Introducción Seguridad en HTTP Esta práctica nos introduce en los dos puntos importantes sobre seguridad en HTTP: la autentificación y el transporte seguro de datos. Para el transporte

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Resumen de los protocolos de seguridad del Registro Telemático

Resumen de los protocolos de seguridad del Registro Telemático Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...

Más detalles

CodeSeeker Un Firewall de Nivel 7 OpenSource

CodeSeeker Un Firewall de Nivel 7 OpenSource Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras

Más detalles

Servidores WEB. Temario. Ing. Mauricio Rucci mauricior@ipp. ipp.com..com.ar. ! Tema 1. Introducción! Internet - La Historia! Algo de Terminología

Servidores WEB. Temario. Ing. Mauricio Rucci mauricior@ipp. ipp.com..com.ar. ! Tema 1. Introducción! Internet - La Historia! Algo de Terminología Servidores WEB Ing. Mauricio Rucci mauricior@ipp ipp.com..com.ar Temario! Tema 1. Introducción! Internet - La Historia! Algo de Terminología! Tema 2. Servidores web! Como funciona?! DNS! Algunos conceptos

Más detalles

Resumen exhaustivo de protección de seguridad y vulnerabilidad para Google Apps. Informe de Google de febrero de 2007

Resumen exhaustivo de protección de seguridad y vulnerabilidad para Google Apps. Informe de Google de febrero de 2007 Resumen exhaustivo de protección de seguridad y vulnerabilidad para Google Apps Informe de Google de febrero de 2007 Seguridad de Google Apps MÁS INFORMACIÓN: Online www.google.com/a Correo electrónico

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

Cursos de Verano 2002 UNIVERSIDAD DE OVIEDO. Cod. 1728.61 ASP.NET

Cursos de Verano 2002 UNIVERSIDAD DE OVIEDO. Cod. 1728.61 ASP.NET Cod. 1728.61 PLATAFORMA.NET Y SERVICIOS WEB Juan Ramón Pérez Pérez jrpp@pinon pinon.ccu.uniovi.es OOTLab Dpto. de Informática Lab - Laboratorio de Tecnologías de Orientación a Objetos http://www www.ootlab.uniovi.es

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software.

TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software. . TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software. Índice 1 INTRODUCCIÓN 2 2 CARACTERÍSTICAS 2 2.1 Características del cliente...2 2.2 Características

Más detalles

Manual de integración con el TPV Virtual para comercios con conexión por Redirección

Manual de integración con el TPV Virtual para comercios con conexión por Redirección Manual de integración con el TPV Virtual para comercios con conexión por Redirección Versión: 1.6 Versión: 1.6 i Autorizaciones y control de versión Versión Fecha Afecta Breve descripción del cambio 1.0

Más detalles

MAESTRO DE PHP PHP NIVEL 1

MAESTRO DE PHP PHP NIVEL 1 MAESTRO DE PHP MAESTRO DE PHP es el curso más completo diseñado para que aprendas desde 0 hasta poder desarrollar aplicaciones robustas utilizando Frameworks. Incluye los Cursos PHP Nivel 1 y PHP Avanzado

Más detalles

Seguridad y optimización en servidores GLAMP

Seguridad y optimización en servidores GLAMP Rooted CON 2014: 6, 7 y 8 de Marzo de 2014 Español Seguridad y optimización en servidores GLAMP Ponente David Hernández (Dabo). Administrador de Sistemas y Pentester autodidacta además de Debianita confeso.

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles