Búsqueda de vulnerabilidades - Análisis. 22 o Escuela de Verano de Ciencias Informáticas RIO 2015

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Búsqueda de vulnerabilidades - Análisis. 22 o Escuela de Verano de Ciencias Informáticas RIO 2015"

Transcripción

1 Búsqueda de vulnerabilidades - Análisis dinámico Juan Heguiabehere Joaquín Rinaudo 22 o Escuela de Verano de Ciencias Informáticas RIO 2015

2 Sobre el curso Lunes: Android como plataforma de desarrollo - Malware Martes: Malware (cont) - Diseño seguro en aplicaciones Jueves: Búsqueda de vulnerabilidades - Análisis estático Viernes: Búsqueda de vulnerabilidades - Análisis dinámico

3 Contenidos Sobre el curso Análisis dinámico Herramientas Caso 1: Incorrecta validación de certificados Caso 2: Logging de información privada Caso 3: Server local expuesto a otras apps Caso 4: Transmisión insegura de datos Caso 5: Incorrecta validación del servidor Caso 6: Almacenamiento de información privada en SD Caso 7: Inyectando Javascript en un contexto Caso 8: Interfaces Javascript-Java / comunicación HTTP

4 Qué es análisis dinámico? Análisis a partir de la ejecución del programa y observación de comportamientos Ejecución en entorno controlado Tipos de análisis dinámicos que vamos a ver: Tráfico IPC Acceso y modificaciones a recursos, archivos, etc Acceso a información privada del usuario

5 adb (Android Debug Bridge) Inspeccionar almacenamiento interno de la aplicación: /data/data/pkgname Subir o bajar archivos del dispositivo: adb push/pull Logs de aplicaciones: logcat am para comenzar Activity, Service o Receiver sqlite3 para analizar bases sql

6 Proxies Utilizar proxy para capturar y modificar HTTP/HTTPS: Burp ZAP mitmproxy Wireshark para capturar el resto del tráfico

7 mitmproxy Sitio: Instalación

8 Drozer Framework de testing de seguridad para Android Buscar vulnerabilidades asumiendo rol de app permite: Buscar información de aplicaciones instaladas Interactuar con Activities, Receivers, Content Providers y Servicios de otras apps Utilizar un shell para comunicarse con el OS de linux Buscar la superficie de ataque de otras apps y vulnerabilidades conocidas

9 Como conectarse a Drozer Instalar: Consola que corre en la PC Agente en el dispositivo o emulador Prender el agente desde el dispositivo adb forward tcp:31415 tcp:31415 drozer console connect

10 Usando la consola Drozer shell: Shell del dispositivo en el contexto del agente list: Lista módulos Drozer que se pueden ejecutar en la sesión run: Correr un módulo run app.package.attacksurface PKG: Lista componentes exportados run app.package.info PKG: Información general de la app run app.component.info -p PKG: Información detallada de cada tipo de componente exportado run run scanner.misc.readablefiles: Buscar archivos leíbles para todas las apps help MODULE: Explicación y parámetros para cada módulo

11 Cydia Substrate Instrumentación dinámica: Modifica la aplicación en Runtime Permite agregar código/hooks a métodos existentes Crear extensiones de aplicaciones modificando sus métodos Sin necesidad de desensamblar, modificar y recompilar nuevamente la aplicación No se modifica el apk Sí hay que desensamblar los apks para encontrar cosas interesantes para instrumentar

12 Extensiones de Cydia Android-SSL-TrustKiller Fuerza a las apps a no validar certificados al comunicarse con servidores via HTTPS Analizar tráfico con un proxy de apps que hacen Certificate Pinning o usan certificados válidos

13 Extensiones de Cydia IntroSpy Ayuda a entender que hace una app cuando corre Logea: Uso general criptografía Hashing Claves utilizadas Accesos a archivos en la memoria interna Lectura y escritura a SD Mecanismos de IPC utilizados e Intents enviados Lectura y escritura de shared prefs Uso de SSL, falta de validación Uso de Webviews y si hay JS, FS y JSinterfaces habilitados Accesos a base SQL

14 Creando tu propia extensión de Cydia

15 Caso 1: Incorrecta validación de certificados Si proxy captura https, la app no valida los certificados correctamente Si no, se puede instalar Android-SSL-TrustKiller o instalar el certificado del proxy en el dispositivo Una vez que se encontró que es vulnerable, estáticamente buscar la causa: TrustManager custom HostNameVerifier custom Override de onreceivesslerror SSLSocketFactory getinsecure HttpsURLConnection setdefaultsslsocketfactory

16 Caso 1: MercadoLibre MercadoLibre hasta Atacantes podían montar ataques de Man-in-the-Middle Android apps that fail to validate SSL: Documento con 23 mil apps que fallan

17 Caso 2: Logging de información privada Clase android.util.log para logear información: Log.d(Debug)/Log.e(Error) Log.i(Info)/Log.v(Verbose)/Log.w(Warn) Permiso android.permission.read LOGS para leer adb logcat para leer los logs de todas las aplicaciones

18 Caso 2: Logging de información privada Hasta 4.0, una aplicación con READ LOGS obtenía los logs de todas las apps

19 Caso 2: Logging de información privada Ahora, una aplicación con READ LOGS NO obtiene los logs de las otras apps Pero conectando el dispositivo a una PC, se pueden seguir obteniendo todos los logs

20 Caso 2: Facebook SDK Facebook SDK permite a integrar funcionalidades de Facebook a aplicaciones de terceros Token de acceso es un identificador de FB dado a una app para hacer pedidos por el usuario Cuando un usuario se logea utilizando Facebook a la app se le da un token

21 Caso 2: Facebook SDK Vulnerabilidad: SDK logeaba los tokens cuando un usuario se logeaba con esa app Apps maliciosas podían leer los logs y obtener estos tokens y usarlos para publicar como el usuario

22 Caso 3: Server local expuesto a otras apps Algunas aplicaciones utilizan servidores locales HTTP Bind en localhost o localhost: Aplicaciones maliciosas global: Atacantes en LAN,WAN

23 Caso 3: Facebook Facebook hasta la versión 13 Incluía un servidor que funcionaba como caching proxy para los video GenericHttpServer que es escuchaba en Un atacante podía conectarse: Utilizarlo como Open Proxy Agotar la memoria del dispositivo Consumirle datos de la red 3g o LTE de la víctima Solución: Escuchar en

24 Caso 4: Transmisión insegura de datos La red es insegura: Sniffing Inyección de datos Hijacking de sesión Man-in-the-Middle DNS Poisoning SSL Strip Información privada debe utilizar protocolos seguros (no HTTP, UDP, TCP, VOIP)

25 Caso 4: Facebook Facebook hasta la versión 10 App enviaba y recibía las grabaciones de audio de mensajes privados por HTTP App enviaba pedidos a CDNs por HTTP para reproducir los videos

26 Caso 4: Instagram Instagram todavía utiliza HTTP Session Hijacking

27 Caso 5: Incorrecta validación del servidor Los servidores deberían: Validar el formato de inputs que vienen de la aplicación Prevenir ataques de replay Validar que el pedido está siguiendo la lógica esperada: Autenticación Autorización Control de recursos

28 Caso 5: PicsArt Todavía es explotable! Se puede enviar pedidos maliciosos para bypassear la autenticación Desde la cuenta, se puede obtener tokens de acceso de redes sociales asociadas

29 Caso 6: Almacenamiento de información privada en SD Almacenamiento externo (/sdcard,/mnt/sdcard) es compartido con otras aplicaciones Leíble para todas las apps hasta 4.3 y antes o las que declaren READ EXTERNAL STORAGE para 4.4 en adelante Escritura para todos bajo WRITE EXTERNAL STORAGE Si se va a guardar contenido sensible en la SD, encriptarlo

30 Caso 6: Evernote Evernote guardaba todas las notas en /sdcard/android/data/com.evernote/files/ Contenido sin encriptar

31 Caso 7: Inyectando Javascript en un contexto Aplicación con una actividad exportada con una Webview (p.e. navegadores) Actividad anotada como singletask Además intent-filter con: <data android:scheme="javascript"/> Aplicación maliciosa puede correr JS en un contexto determinado para robar cookies Ataque consiste en: Enviar un Intent para cargar la página víctima (p.e. Enviar otro Intent, usando el esquema javascript, para correr JS en el contexto de esa página

32 Caso 7: Sleipnir Browser

33 Caso 7: Sleipnir Browser

34 Caso 8: Interfaces Javascript-Java / comunicación HTTP Webview y addjavascriptinterface Utilizado en librerías de ads, Phonegap, navegadores Ataque: Inyectar JS a pedidos HTTP a librerías o código JS con MITM Abusar interfaz para correr código nativo u exfiltrar datos Código a inyectar depende de: Métodos interfaz expuesta target-sdk de la aplicación / Versión de Android Permisos de la aplicación

35 Caso 8: Interfaces Javascript-Java / comunicación HTTP

36 Bibliografía: 1. Vulnerabilidad Facebook SDK 2. Android Secure Coding: JPCERT 3. Vulnerabilidad PicsArt 4. Vulnerabilidad Facebook 5. Vulnerabilidad MercadoLibre 6. Vulnerabilidad Instagram 7. Vulnerabilidad Evernote

Vulnerabilidades en aplicaciones y desarrollo seguro en Android. 22 o Escuela de Verano de Ciencias Informáticas RIO 2015

Vulnerabilidades en aplicaciones y desarrollo seguro en Android. 22 o Escuela de Verano de Ciencias Informáticas RIO 2015 Vulnerabilidades en aplicaciones y desarrollo seguro en Android Juan Heguiabehere Joaquín Rinaudo 22 o Escuela de Verano de Ciencias Informáticas RIO 2015 Arquitectura típica Vectores de ataque Anatomía

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

S31_CompTIA Mobile App Security+ for Android

S31_CompTIA Mobile App Security+ for Android S31_CompTIA Mobile App Security+ for Android Presentación Este curso enseña el conocimiento y las habilidades necesarias para crear de forma segura una aplicación móvil Android nativo, al tiempo que garantiza

Más detalles

Man in The Middle 07

Man in The Middle 07 Man in The Middle 07 Que es MITM Definición y Alcance Métodos de Autenticación vulnerados Métodos para realizar MITM Dns Spoofing y Poisoning (local, lan y via wifi) Access Point Falso Proxy Spoofing ARP

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág.

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág. MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0 Pág. 1 Tabla de contenido Objetivo... 3 Alcance... 3 Definiciones, acrónimos y abreviaciones... 3 Referencias... 4 Descripción... 4 Funcionalidad... 5 Prerrequitos

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales Session Hijacking: en aplicaciones web empresariales OWASP LATAM TOUR 2012 OMAR PALOMINO HUAMANÍ KUNAK CONSULTING SAC omarc320@gmail.com opalomino@kunak.com.pe Telef: 973861650 http://www.el-palomo.com

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

SEGURIDAD OCTUBRE 2015. Versión 1

SEGURIDAD OCTUBRE 2015. Versión 1 SEGURIDAD OCTUBRE 2015 Versión 1 1 INDICE 1 INDICE... 2 2 INTRODUCCIÓN... 3 2.1 REQUISITOS... 3 2.2 OBJETIVOS Y ALCANCE DEL PRESENTE DOCUMENTO... 3 3 SEGURIDAD EN LAS COMUNICACIONES... 4 4 LOS CLIENTES...

Más detalles

Puerta de enlace de TS - TS Gateway

Puerta de enlace de TS - TS Gateway 1 de 31 01/12/2007 1:41 Puerta de enlace de TS - TS Gateway Configuración de Puerta de enlace de TS en Windows 2008, Los servicios de Terminal Services en Windows 2008 traen una nueva función llamada "Puerta

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Troyanos Bancarios en Android

Troyanos Bancarios en Android Troyanos Bancarios en Android De espías de SMS a Botnets Móviles Carlos A. Castillo L. Mobile Malware Researcher Agenda Introducción Zitmo/Spitmo: The Big Picture Zitmo Funcionamiento General Diferencias

Más detalles

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10 Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top Mauro Flores mauflores@deloitte.com mauro_fcib UySeg Modelo de Amenazas (Threat Model) Mobile Top La Lista 1 Almacenamiento Inseguro

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara 7º Unidad Didáctica Protocolos TELNET y SSH Eduard Lara 1 1. SERVIDOR TELNET Telnet viene de TELecommunication NETwork. Es el nombre de un protocolo de red y del programa informático que implementa el

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Android 4 Principios del desarrollo de aplicaciones Java

Android 4 Principios del desarrollo de aplicaciones Java La plataforma Android 1. Presentación 13 2. Origen 14 3. Google Play 15 3.1. Creación de una cuenta de desarrollador 16 3.2 Publicación de una aplicación 16 3.3. Seguimiento y actualización de una aplicación

Más detalles

Android Professional

Android Professional Android Professional Información del examen: Certificación Asociada: Android Professional Duración: 150 minutes. Número de preguntas: 70. Porcentaje para aprobar: 70%. Formato: opción Múltiple. Lenguaje:

Más detalles

Protección de su Red

Protección de su Red Protección de su Red Ing. Teofilo Homsany Gerente General SOLUTECSA PaiBlla Mall, Local 45. Telefono: +507.209.4997 E mail: ventas@solucionesdetecnologia.com Áreas vulnerables de su red Gateway (entrada

Más detalles

Seguridad en Internet

Seguridad en Internet Seguridad en Internet. Resumen Cuando se realizan pagos en Internet y acceso a sitios Web que requieren certificado, intervienen dos protocolos seguros SSL y SET, ofreciendo confidencialidad, identificación,

Más detalles

UPC-DAC/FIB-PTI 1. Seguridad en HTTP

UPC-DAC/FIB-PTI 1. Seguridad en HTTP UPC-DAC/FIB-PTI 1 Introducción Seguridad en HTTP Esta práctica nos introduce en los dos puntos importantes sobre seguridad en HTTP: la autentificación y el transporte seguro de datos. Para el transporte

Más detalles

Riesgos de la TI: "Man In The Middle", Ataques consecuencia de esta técnica y formas de detección

Riesgos de la TI: Man In The Middle, Ataques consecuencia de esta técnica y formas de detección Riesgos de la TI: "Man In The Middle", Ataques consecuencia de esta técnica y formas de detección Indice de Contenidos 1. Qué es Man In The Middle? 2. Introducción al modelo OSI y la pila TCP/IP 3. El

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Propuesta 2015-2016 ANDROID ATC

Propuesta 2015-2016 ANDROID ATC Propuesta 2015-2016 ANDROID ATC Contenido Carta de Presentación... 2 Android Application Development... 3 TEMARIO... 4 Android Security Essentials... 8 TEMARIO... 9 Monetize Android Applications... 11

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Mobile Apps and How To Pentest Them.

Mobile Apps and How To Pentest Them. Mobile Apps and How To Pentest Them. About Me $whoami Ing. Gustavo M. Sorondo (Puky) CTO @ Cinta Infinita Information Security http://www.cintainfinita.com Introducción (Según su programación) Web Based

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

Ing. Gustavo M. Sorondo ekoparty Security Conference Septiembre 2013 Buenos Aires, Argentina

Ing. Gustavo M. Sorondo ekoparty Security Conference Septiembre 2013 Buenos Aires, Argentina Ing. Gustavo M. Sorondo ekoparty Security Conference Septiembre 2013 Buenos Aires, Argentina iampuky Ing. Gustavo M. Sorondo Pentester @ Cybsec Security Systems http://www.cybsec.com Founder Member @ Mateslab

Más detalles

Trabajo elaborado para el área de Gestión de Redes y Datos

Trabajo elaborado para el área de Gestión de Redes y Datos WINDOWS ESSENTIALS David Stiven Monsalve Juan Pablo Franco Marcela Aguirre Sebastián Cardona FICHA: 625354 Trabajo elaborado para el área de Gestión de Redes y Datos Alejandro Gómez Martínez Ingeniero

Más detalles

Lista de acrónimos... xv. Cómo leer este libro?... xvii

Lista de acrónimos... xv. Cómo leer este libro?... xvii Índice general Lista de acrónimos... xv Cómo leer este libro?... xvii CAPÍTULO 1. Diseño avanzado de interfaces de usuario... 19 1.2.1. Insertar fragments desde XML... 27 1.2.2. Insertar fragments desde

Más detalles

Lista de acrónimos... 15. Cómo leer este libro?... 1.1.1 La clase Application... 21 1.1.2 Uso del patrón Singleton... 25

Lista de acrónimos... 15. Cómo leer este libro?... 1.1.1 La clase Application... 21 1.1.2 Uso del patrón Singleton... 25 Contenido Lista de acrónimos... 15 Cómo leer este libro?... 17 CAPÍTULO 1. Diseño avanzado de interfaces de usuario... 19 1.1.1 La clase Application... 21 1.1.2 Uso del patrón Singleton... 25 1.3.1 Insertar

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1 Extensión de módulos de pruebas de seguridad de la herramienta Webgoat Proyecto OWASP Daniel Cabezas Molina Daniel Muñiz Marchante 1 1. Introducción y objetivos 2. Herramientas utilizadas 3. Prueba de

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP Programación páginas web JavaScript y PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Android 5 Principios del desarrollo de aplicaciones Java

Android 5 Principios del desarrollo de aplicaciones Java La plataforma Android 1. Presentación 13 2. Origen 14 3. Google Play 15 3.1 Creación de una Cuenta de desarrollador 16 3.2 Publicación de una aplicación 17 3.3 Seguimiento y actualización de una aplicación

Más detalles

REDES DE COMPUTADORES I INFORME ESCRITORIO REMOTO

REDES DE COMPUTADORES I INFORME ESCRITORIO REMOTO REDES DE COMPUTADORES I INFORME ESCRITORIO REMOTO Nombres: Diego Carvajal R. Sebastian Valdes M. Ayudante: Evandry Ramos Profesor: Agustín J. González Fecha: 6 / 09 / 2013 1. Resumen: Este informe, se

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

CAPÍTULO 1. Visión general y entorno de desarrollo... 21

CAPÍTULO 1. Visión general y entorno de desarrollo... 21 Índice general Lista de acrónimos... xv Cómo leer este libro?... xvii CAPÍTULO 1. Visión general y entorno de desarrollo... 21 1.1. Qué hace que Android sea especial?... 22 1.2. Los orígenes... 23 1.3.

Más detalles

Tema 2: Introducción a Android

Tema 2: Introducción a Android Tema 2: Introducción a Android Android Android es un sistema operativo basado en el Kernel de Linux diseñado principalmente para dispositivos móviles con pantalla táctil. Android Fue desarrollado originalmente

Más detalles

CONFIGURACIÓN DEL SERVIDOR

CONFIGURACIÓN DEL SERVIDOR CONFIGURACIÓN DEL SERVIDOR Una vez finalizadas las configuraciones iniciales de las interfaces y direcciones IPs, desde cualquier equipo de la red abrimos el navegador e introducimos la dirección IP del

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Experiencias de Seguridad en SAP. Julio C. Ardita CYBSEC

Experiencias de Seguridad en SAP. Julio C. Ardita CYBSEC Julio C. Ardita CYBSEC Agenda - Evolución de la seguridad en SAP - Las capas donde aplicar seguridad en SAP - Experiencias y soluciones de seguridad en SAP Nuestra experiencia de seguridad en SAP Trabajamos

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Organización Mexicana de Hackers Éticos. Sniffers

Organización Mexicana de Hackers Éticos. Sniffers Organización Mexicana de Hackers Éticos Sniffers Definición Un sniffer es una herramienta que captura paquetes o frames. Este intercepta tráfico en la red y muestra por línea de comandos o GUI la información.

Más detalles

VÍDEO intypedia009es LECCIÓN 9: INTRODUCCIÓN AL PROTOCOLO SSL. AUTOR: Dr. Alfonso Muñoz Muñoz

VÍDEO intypedia009es LECCIÓN 9: INTRODUCCIÓN AL PROTOCOLO SSL. AUTOR: Dr. Alfonso Muñoz Muñoz VÍDEO intypedia009es LECCIÓN 9: INTRODUCCIÓN AL PROTOCOLO SSL AUTOR: Dr. Alfonso Muñoz Muñoz Dr. Ingeniero de Telecomunicación. Universidad Politécnica de Madrid R&D Security Researcher. T>SIC Group UPM

Más detalles

Índice. Herramientas de desarrollo. Historia Qué es Android? Arquitectura del sistema. Componentes Android Modelos de Negocio

Índice. Herramientas de desarrollo. Historia Qué es Android? Arquitectura del sistema. Componentes Android Modelos de Negocio 1 Introducción a Android Índice Historia Qué es Android? Arquitectura del sistema Herramientas de desarrollo Componentes Android Modelos de Negocio 2 Objetivos Herramientas de desarrollo Conocer las herramientas

Más detalles

Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ

Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ RED IP DE TELEFÓNICA DE ESPAÑA: GUÍA DE USUARIO DE LA FUNCIO- NALIDAD DE PROXY-CACHÉ ÍNDICE 1. INTRODUCCIÓN...

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

Programación páginas web. Servidor (PHP)

Programación páginas web. Servidor (PHP) Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.

Más detalles

MÁSTER. en desarrollo de aplicaciones. Dirigido a. Objetivos. Requisitos. Duración. Metodología. Contenidos

MÁSTER. en desarrollo de aplicaciones. Dirigido a. Objetivos. Requisitos. Duración. Metodología. Contenidos MÁSTER en desarrollo de aplicaciones Dirigido a Todas aquellas personas interesadas en convertirse en expertos programadores en desarrollo de aplicaciones móviles independientemente de cuál sea su formación

Más detalles

PARÁMETROS DE CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS

PARÁMETROS DE CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS PARÁMETROS DE CONFIGURACIÓN DE SISTEMAS MANEJADORES DE BASE DE DATOS Introducción 3 GESTIÓN DE MEMORIA 3 Memoria Dinámica 4 Memoria predefinida 5 Áreas especiales de memoria 5 GESTIÓN DE ALMACENAMIENTO

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

SEGURIDAD EN APLICACIONES WEB CON APACHE TOMEE. Ing. Javier Mantilla Portilla

SEGURIDAD EN APLICACIONES WEB CON APACHE TOMEE. Ing. Javier Mantilla Portilla SEGURIDAD EN APLICACIONES WEB CON APACHE TOMEE Ing. Javier Mantilla Portilla Acerca de mí Quien soy? Especialista en Ingenieria de Software 10 Años experiencia en desarrollo Desarrollador JAVA, PHP Autodidacta

Más detalles

Aspectos Básicos de Networking

Aspectos Básicos de Networking Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Objetivo: Al término de la sesión el participante aplicará las principales características

Más detalles

Introducción a las Redes de Computadoras. Obligatorio 2 2011

Introducción a las Redes de Computadoras. Obligatorio 2 2011 Introducción a las Redes de Computadoras Obligatorio 2 2011 Facultad de Ingeniería Instituto de Computación Departamento de Arquitectura de Sistemas Nota previa - IMPORTANTE Se debe cumplir íntegramente

Más detalles

Extensión K2B proyectos para Smart Devices

Extensión K2B proyectos para Smart Devices Extensión K2B proyectos para Smart Devices Descripción de la Arquitectura Versión 2.0 15/10/2012 Historia de revisiones Fecha Versión Descripción Autor 28/08/2012 1.0 Creación del documento Diego Cardozo

Más detalles

Intercambio de ficheros institucionales

Intercambio de ficheros institucionales Intercambio de ficheros institucionales Unidad de Infraestructuras Junio 2013 Versión: 1.0 INDICE 1. INTRODUCCIÓN... 4 2. INICIO DEL CLIENTE DE INTERCAMBIO DE FICHEROS INSTITUCIONALES... 5 3. VISTA GENERAL

Más detalles

TEMA 1. Introducción

TEMA 1. Introducción TEMA 1 Introducción LO QUE ABORDAREMOS Qué es Android? Qué lo hace interesante? Arquitectura del sistema Entorno de desarrollo 2 QUÉ ES ANDROID? Sistema operativo para móviles Desarrollado inicialmente

Más detalles

Administración de servicios Web (MF0495_3)

Administración de servicios Web (MF0495_3) Ficha de orientación al alumno para su participación en la acción formativa Administración de servicios Web (MF0495_3) A quién está dirigido este Módulo Formativo? Trabajadores ocupados o desempleados

Más detalles

Requisitos del sistema: servidor? Qué tipo de software necesita su servidor para funcionar? Algunos sistemas no tienen ningún requisito.

Requisitos del sistema: servidor? Qué tipo de software necesita su servidor para funcionar? Algunos sistemas no tienen ningún requisito. Criterios de CMS Cuando vaya a decidirse por un nuevo sistema de gestión o manejo de contenido (Content Management System en inglés, abreviado CMS), es imperativo que considere las necesidades de su organización

Más detalles

LBINT. http://www.liveboxcloud.com

LBINT. http://www.liveboxcloud.com 2014 LBINT http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Unidad II. Interfaz Grafica (continuación ) Basado en clases de Ing. Carlos A. Aguilar

Unidad II. Interfaz Grafica (continuación ) Basado en clases de Ing. Carlos A. Aguilar Clase:005 1 Unidad II Interfaz Grafica (continuación ) Basado en clases de Ing. Carlos A. Aguilar 2 Agenda Desarrollo de Apps para Android Aplicaciones en Android Componentes Básicos de las Aplicaciones

Más detalles

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com.

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com. PROYECTO 1 ÍNDICE 1. Presentación 2. Que es OpenVPN 3. Uso de las VPN s 4. Implementación 5. Seguridad 6. Ventajas 6. Requisitos 7. Objetivos 8. Presupuesto 2 Presentación Es una solución multiplataforma

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas

Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas Introducción 1. Preámbulo 15 2. Desciframiento de un ataque conseguido 17 3. Descifrado de contramedidas eficaces 18 3.1 Análisis de riesgos reales 18 3.2 Consideraciones técnicas 19 3.3 Consideraciones

Más detalles

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013 Plan de Trabajo en Verano de Informática de 4º ESO Departamento de Tecnología, curso 2012-2013 Este dossier contiene los siguientes documentos de tu interés: Batería de actividades por unidad didáctica

Más detalles

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado Ministerio Secretaría General de la Presidencia Unidad de Modernización y

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

TUTORIAL PARA CREAR UN SERVIDOR FTP

TUTORIAL PARA CREAR UN SERVIDOR FTP TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos

Más detalles

SIEWEB. La intranet corporativa de SIE

SIEWEB. La intranet corporativa de SIE La intranet corporativa de SIE por ALBA Software Acceso a los servicios SIE desde páginas Web para los usuarios de sistema *. Administración del Sistema (cuentas de usuarios, permisos, servicios, etc...)

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

Programación Android Completo

Programación Android Completo Programación Android Completo Duración: 50.00 horas Descripción Este curso pretende formar al alumno en el desarrollo de aplicaciones para dispositivos Android. Se estudiarán con detalle todos aquellos

Más detalles

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust.

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust. ÍNDICE 1. Descripción de Heartbleed. 2. Impacto de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust. 5. Con Log de debug de apache. 6.

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Best Practices for controlling Advanced Threats and their Persistence. Matthew Ancelin Cybersecurity Analyst

Best Practices for controlling Advanced Threats and their Persistence. Matthew Ancelin Cybersecurity Analyst Best Practices for controlling Advanced Threats and their Persistence Matthew Ancelin Cybersecurity Analyst Mejores prácticas para controlar las Amenazas Avanzadas y su Persistencia Matthew Ancelin Cybersecurity

Más detalles

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

Módulos: Módulo 1. El núcleo de Linux - 5 Horas Módulos: Módulo 1 El núcleo de Linux - 5 Horas En este módulo se centrará en el estudio en profundidad del núcleo de Linux. Los estudiantes tendrán que ser capaces de conocer en profundidad los distintos

Más detalles

http://www.villacorp.com Pentesting con Android Ing. Javier Villanueva

http://www.villacorp.com Pentesting con Android Ing. Javier Villanueva http://www.villacorp.com Pentesting con Android Ing. Javier Villanueva Quién Soy? Ing. Javier Villanueva Consultor, Investigador e Instructor Independiente en Seguridad Ofensiva ( Hacking Ético ) Director

Más detalles

online Programación para dispositivos Android 4.x

online Programación para dispositivos Android 4.x online Programación para dispositivos Android 4.x Objetivos Conocer los distintos componentes que permiten interactuar con el dispositivo con la voz. Saber cómo reproducir sonido en base a un contenido

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

ENCUENTA - CONTABILIDAD Net. Definiciones generales

ENCUENTA - CONTABILIDAD Net. Definiciones generales ENCUENTA - CONTABILIDAD Net Definiciones generales 2013 ENCUENTA - CONTABILIDAD Net Definiciones generales Contenido 1 GENERALIDADES... 3 2 DISTRIBUCIÓN GENERAL DE LOS ELEMENTOS DEL SISTEMA... 3 3 REQUERIMIENTOS...

Más detalles

Capitulo 2 Android SDK

Capitulo 2 Android SDK Capitulo 2 Android SDK Elaborado por: Gary Briceño http://gary.pe http://gary.pe 1 ESTRUCTURA DE ANDROID SDK http://gary.pe 2 http://gary.pe 3 Android SDK Proporciona los API y herramientas de desarrollo

Más detalles

Por medio de la presente nos complace presentar a ustedes nuestra propuesta de certificaciones de alta cobertura por volumen.

Por medio de la presente nos complace presentar a ustedes nuestra propuesta de certificaciones de alta cobertura por volumen. MBA. JUAN ALFREDO SALDÍVAR CABRAL Director Nacional de MexicoFIRST LIC. ANDRÉS SIMÓN BUJAIDAR Director de Alianzas de MexicoFIRST México D.F. a 05 de agosto de 2014 P R E S E N T E Por medio de la presente

Más detalles

Análisis de Tráfico de Datos. para certificar que khipu no recibe las claves bancarias de sus usuarios.

Análisis de Tráfico de Datos. para certificar que khipu no recibe las claves bancarias de sus usuarios. Análisis de Tráfico de Datos para certificar que khipu no recibe las claves bancarias de sus usuarios. Agosto 2014 1. Contenido Tabla de Contenido 1. Contenido...2 2. Documento...2 3. Introducción...3

Más detalles

Configurando SSL/TLS

Configurando SSL/TLS Configurando SSL/TLS Hacia la seguridad real Miguel Macías Enguídanos miguel.macias@upv.es XXXIII Grupos de Trabajo Cáceres, 06/06/2012 Índice Introducción Sedes electrónicas analizadas Herramientas Elementos

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles