S E G U R I D A D E N A P L I C A C I O N E S W E B

Tamaño: px
Comenzar la demostración a partir de la página:

Download "S E G U R I D A D E N A P L I C A C I O N E S W E B"

Transcripción

1 H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A R A E G U I L U Z G A R B I Ñ E L Ó P E Z I G A R K I S A N M I L L A N C A R M E N R O D R I G U E Z

2 S E G U R I D A D E N A P L ICO AN CE S W E B INDICE XSS 3 EN QUÉ CONSISTE UN ATAQUE XSS? 3 DIRECTO 3 INDIRECTO 3 BASADO EN DOM 6 CÓMO SE PUEDEN EVITAR? 7 SQL INJECTION 9 EN QUÉ CONSISTE UNA INYECCIÓN SQL? 9 CÓMO SE PUEDEN EVITAR? 11 2

3 XSS Referencias utilizadas EN QUÉ CONSISTE UN ATAQUE XSS? XSS es el acrónimo utilizado para referirse a un tipo de ataque (también a la debilidad de seguridad que permite dicho ataque) denominado originalmente Cross-Site Scripting 1. Este tipo de ataques se realiza sobre aplicaciones que utilicen HTML (normalmente sitios web). Su nombre podría ser traducido como scripting inter-sitios y se refiere al fundamento de este ataque: inyectar código de script en un sitio web desde otro. Se han documentado tres tipos de ataques XSS: Directo Indirecto Basado en el DOM DIRECTO Denominado en textos de lengua inglesa reflected o non-persistent. Este tipo de ataques se dan cuando datos proporcionados por un cliente web (a través de una URL, de un formulario, etc.) son inmediatamente utilizados por scripts de servidor para generar una página de resultados para dicho cliente web. Si estos datos no son validados y son automáticamente incluidos en la respuesta del servidor, el cliente puede inyectar código (normalmente malicioso) en dicha respuesta. En un principio puede parecer que un cliente puede inyectar código solo en respuestas dirigidas a sí mismo ( vaya ataque!), pero si dicho usuario malicioso crea una URL con código de script y logra que otro usuario acceda a ella, puede lograr que dicho código se ejecute en la respuesta proporcionada al otro usuario. Para enmascarar este tipo de ataques se suele codificar en hexadecimal el código de script (para que el usuario inocente no perciba nada extraño). INDIRECTO También conocido como inyección HTML. Denominado en textos de lengua inglesa Persistent o stored. 1 Con objeto de no confundir sus siglas con las hojas de estilo en cascada (Cross Site Scripting = CSS), se cambió la primera letra por la X (cross=cruz). 3

4 Este tipo de ataques se dan cuando los datos proporcionados por los clientes web son almacenados en el servidor (en una base de datos, sistema de archivos, variable de sesión, etc.) y mostrados posteriormente en otra página web del servidor. Ejemplo En la aplicación del laboratorio utilizamos valores introducidos por el usuario a la hora de registrarse almacenados en la base de datos como contenido de, por ejemplo, etiquetas de un formulario. En la clase que mostramos a continuación utilizamos el valor de pregunta de seguridad del usuario almacenado en la base de datos para asignar el valor a una etiqueta de texto: Partial Class CambiarPassword Inherits System.Web.UI.Page ( ) Protected Sub BBuscar_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles BBuscar.Click Dim username As String = Membership.GetUserNameBy (CT .Text) Dim muser As OdbcMembershipUser = Membership.GetUser(username) ( ) EPreguntaShow.Text = muser.passwordquestion ( ) End Sub Esto provoca que, si el usuario a la hora de hacer su registro introduce valores maliciosos en el campo de la pregunta de seguridad cuando quiera modificar su password y pulse sobre el botón BBuscar se introducirá como valor de la etiqueta correspondiente el código malicioso, que se ejecutará cuando el usuario cargue la página. <script>alert("esto es lo que puedo hacer con xss")</script> Existe una directiva de página de ASP que permite validar las peticiones de los clientes (request), por si estas contuvieran contenido sospechoso. Si activamos esta directiva de pagina (validaterequest= true ) obtendríamos la siguiente salida (una 4

5 excepción que podemos capturar para que el cliente malicioso no tenga noticia de que le hemos descubierto): Si deshabilitamos dicha opción obtenemos la siguiente salida: Podemos comprobar que el código malicioso ha sido almacenado en la BD: Si el usuario accede a la opcion de cambiar contraseña proporcionando su y pulsando el botón BBuscar (comprobar) 5

6 obtiene la siguiente página (el código de script se ha ejecutado): Para ver lo práctico (en cuanto a malas intenciones ) de este ejemplo pensemos en: Que el dato introducido por el usuario con malas intenciones es un dato que el usuario introduce en la bd y que posteriormente otros muchos usuarios recuperan de manera inconsciente a través de sus peticiones a un sitio web (un post en un foro, por ejemplo). Que el script no se limita a una alerta, sino que es un script que, por ejemplo, recoge una cookie de autenticación de sesión y la reenvía a otro usuario. BASADO EN DOM A diferencia de los dos tipos de ataque XSS anteriores, el código malicioso no se ejecuta porque el servidor devuelva una respuesta HTML con dicho codigo embebido, sino porque el cliente comienza a parsear un árbol DOM utilizando datos entre los que se encuentra dicho código (por ejemplo, utilizando la URL actual del documento document.url que incluye un script malicioso). 6

7 CÓMO SE PUEDEN EVITAR? La forma más efectiva de evitar los tipos de ataques XSS se basa en el principio no confíes nunca en el usuario. Filtrar el contenido de las peticiones del cliente en busca de caracteres sospechosos y traducirlos a sus entidades HTML correspondientes (convertir < y > a < y >) para generar código HTML valido es de gran utilidad (sin embargo esto supone un mayor tiempo de proceso de la petición). Este tipo de técnica es la que aplica ASP por defecto, como se ha visto con anterioridad. Como medida adicional es aconsejable revisar el contenido de las respuestas generadas en el servidor que utilicen datos introducidos por el usuario o procedentes de una base de datos (variables de sistema como las de sesión también son susceptibles de manipulaciones de este tipo). En ASP esto se puede conseguir a través de los métodos UrlEncode y HttpEncode de la clase HttpUtility. Ejemplo Si en el ejemplo anterior el servidor realiza una traducción de los símbolos sospechosos y los traduce a sus entidades HTML correspondientes el valor almacenado en la base de datos pasaría a ser el que se muestra a continuación: Y, por tanto, la respuesta obtenida al intentar modificar la password sería la mostrada a continuación: 7

8 Para evitar los ataques basados en DOM es aconsejable: 1. Evitar realizar redirecciones o reescribir parte del documento en el cliente utilizando datos del cliente. 2. Analizar el código del lado del cliente, de manera que las referencias a objetos DOM que puedan ser manipuladas por el usuario deberían ser inspeccionadas (por ejemplo: document.url, document.location, etc.). 8

9 SQL INJECTION Referencias utilizadas EN QUÉ CONSISTE UNA INYECCIÓN SQL? Al igual que XSS, el término inyección SQL se refiere tanto al tipo de ataque realizado como a la vulnerabilidad que permite realizarlo. La inyección SQL permite a un usuario ejecutar codigo SQL de cosecha propia (normalmente con fines ilícitos) enmascarándolo o camuflándolo dentro de código SQL utilizado en una aplicación para realizar las tareas que correspondan al comportamiento habitual de ésta. Este codigo enmascarado se ejecutará en la base de datos con los mismos permisos con los que se ejecute el código que lo contiene. Ejemplo 1 Public Shared Function obtenertipo(byval As String) As OleDbDataReader Dim st = "select tipo from usuarios where ='" & & "'" comando = New OleDbCommand(st, conexion) Return (comando.executereader()) End Function Si el parametro es una cadena de texto como la que siguiente (suponemos que es un valido registrado en la base de datos): SELECT * FROM usuarios WHERE LIKE '% Lograríamos ejecutar en la base de datos las siguientes consultas SQL: select tipo from usuarios where SELECT * FROM usuarios WHERE LIKE '%' Es decir, podriamos seleccionar todos los datos de todos los usuarios de la base de datos. Ejemplo 2 Public Shared Function comprobarpassword(byval As String) As OleDbDataReader 9

10 Dim st = "select contraseña from usuarios where ='" & & "'" comando = New OleDbCommand(st, conexion) Return (comando.executereader()) End Function Si el parametro es una cadena de texto como la que siguiente (suponemos que es un valido registrado en la base de datos): or 't'='t Lograríamos ejecutar en la base de datos las siguientes consultas SQL: select contraseña from usuarios where or 't'='t' El resultado de la segunda condicion del or es 1, por lo que el mismo se evalua siempre a true, ejecutando la sentencia, lo que nos permite seleccionar la contraseña del usuario que elijamos. Las inyecciones SQL permiten también obtener información de la base de datos a la que no estamos autorizados a acceder. Ejemplo 3 Si conseguimos ejecutar una sentencia como la siguiente (ver ejemplos 1 y 2 para mas información sobre como conseguirlo): SELECT 1/0 FROM usuarios WHERE En primera instancia se ejecuta la segunda parte de la consulta (from usuarios where ), por lo que la selección solo se realizará si existe un en la tabla Como la seleccion es una división entre cero y ésta genera un error la consulta en su totalidad generará un error si y sólo si existe un en la tabla usuarios Un atacante puede servirse de esta clase de ataques para averiguar si existen ciertos campos en la base de datos. Sin embargo ASP (mas exactamente el objeto OleDbCommand) controla que haya caracteres de final de sentencia ( y otros caracteres especiales) y bloquea la ejecución de los comandos mostrados en los ejemplos anteriores, como se muestra a continuación. 10

11 CÓMO SE PUEDEN EVIT AR? Referencias utilizadas Al igual que con los ataques XSS, la forma más sencilla de evitar los ataques por inyección SQL es aplicar la máxima no confíes nunca en el usuario, realizando filtrados sobre la entrada del usuario, los parámetros de las URL y los valores de las cookies en busca de caracteres como las comillas simples, barras, barras invertidas, puntos y coma, caracteres especiales como los retornos de carro, nuevas líneas, etc. En ASP es posible denegar al usuario la introducción de estos caracteres utilizando validadores de campos de introducción de datos basados en expresiones regulares (ver la referencia indicada al principio de la sección). Al ejecutar sentencias en la base de datos que utilicen información proporcionada por el usuario es aconsejable utilizar sentencias parametrizadas que nos permiten restringir el tipo de dato que utilizamos e incluso la longitud de los mismos, como se muestra a continuación. Ejemplo consulta = "select tipo from usuarios where Dim comando As New OleDbCommand(consulta, conexion) comando.parameters.add(" ", OleDbType.VarChar, 15) con lo que solo admitiriamos valores string de longitud 15 para el campo , pudiendo utilizar procedimientos análogos para valores numéricos, por ejemplo. 11

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Aplicaciones seguras con ClaseSeguridad

Aplicaciones seguras con ClaseSeguridad Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar

Más detalles

Tareas sobre ASP. Las cookies son incluidas por un script CGI (servidor) en la cabecera de un paquete http de respuesta al cliente.

Tareas sobre ASP. Las cookies son incluidas por un script CGI (servidor) en la cabecera de un paquete http de respuesta al cliente. Tareas sobre ASP Igarki San Millán Rodríguez Garbiñe López Estívariz Carmen Rodríguez Vázquez Sara Eguiluz Sáez de Urturi Relación entre HTTP y cookies: Las cookies complementan el protocolo HTTP en la

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014 Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

ARE YOUR WEB VULNERABLE?

ARE YOUR WEB VULNERABLE? CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad. Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

" ##$ % & '( % & )*+),$ -##$ -!- $! "-./ - 0WebClass1-2

 ##$ % & '( % & )*+),$ -##$ -!- $! -./ - 0WebClass1-2 ! " ##$ % & '( % & )*+),$ -##$ -!- $! "-./ - 0WebClass1-2!" # 345 637 6$5!!!89 & 5 :8-7 & & ;(< 8 $ + - 8 : #= ' 7= : 0 & 0 &- =.> = ;(("9 &? WebClass - 1@#$% &'A1 ;(< 8- ( ) * *+ " $ % B9 5 5 # :!- WebClass

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

RETO HACKER DE VERANO

RETO HACKER DE VERANO RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque

Más detalles

En este ejemplo también vamos a crear la capa Entidades que va a servir para modelar nuestra base de datos.

En este ejemplo también vamos a crear la capa Entidades que va a servir para modelar nuestra base de datos. La programación por capas es un estilo de programación en el que el objetivo primordial es la separación de la lógica de negocios de la lógica de diseño; un ejemplo básico de esto consiste en separar la

Más detalles

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato

Más detalles

XPERTO EN DISEÑO DE PÁGINAS WEB

XPERTO EN DISEÑO DE PÁGINAS WEB Curso ICA de: EXPERTO EN DISEÑO DE PÁGINAS WEB Módulo 1: Program. cliente: JavaScript Estudia el lenguaje JavaScript para crear guiones o scripts que se incluyen en las páginas web y que son ejecutados

Más detalles

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos

Más detalles

Pentesting con OWASP Zed Attack Proxy

Pentesting con OWASP Zed Attack Proxy Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar

Más detalles

Programación páginas web JavaScript y PHP

Programación páginas web JavaScript y PHP Programación páginas web JavaScript y PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la

Más detalles

TUTORIAL DESARROLLO DE APLICACIONES PARA EVOLUTION CON MS ACCESS

TUTORIAL DESARROLLO DE APLICACIONES PARA EVOLUTION CON MS ACCESS TUTORIAL DESARROLLO DE APLICACIONES PARA EVOLUTION CON MS ACCESS 1 Introducción... 3 2 Despliegue de la aplicación de ejemplo... 3 2.1 Requisitos previos... 3 2.2 Despliegue de la aplicación... 3 3 Prueba

Más detalles

Novedades ebd versión 3.2

Novedades ebd versión 3.2 Novedades ebd versión 3.2 En este documento se detallan los cambios más importantes realizados en la versión 3.2 de ebd. Además de estas modificaciones, se han implementado mejoras de rendimiento y corregido

Más detalles

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273

http://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273 Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de

Más detalles

Internet Information Server

Internet Information Server Internet Information Server Internet Information Server 5.0 es un servidor web, que incluye los servicios de HTTP, HTTPS, FTP, SMTP (correo saliente) y NNTP (grupos de noticias). Además es capaz de ejecutar

Más detalles

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,

Más detalles

http://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com

http://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com Conceptos XSS: (Cross Site Scripting) tipo de vulnerabilidad surgida como consecuencia de errores de filtrado de las entradas del usuario en aplicaciones

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Solución al Reto Hacking v2.0 de Informática 64

Solución al Reto Hacking v2.0 de Informática 64 Febrero 2007 Introducción Este documento describe dos soluciones posibles al segundo Reto Hacking de Informática 64 que se publicó el 10 de febrero de 2007 en la siguiente dirección web: http://retohacking2.elladodelmal.com

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

PHP Básico. PHP para principiantes

PHP Básico. PHP para principiantes PHP Básico PHP para principiantes Copyright (c) 2006 Guillermo Valdez Lozano. E-mail: guivaloz(en)gmail.com http://www.movimientolibre.com Se otorga permiso para copiar, distribuir y/o modificar este documento

Más detalles

Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL

Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security Incidentes de Seguridad I: Kaspersky 2 Incidentes de Seguridad

Más detalles

Curso de PHP. Acceso a bases de datos MySQL en PHP

Curso de PHP. Acceso a bases de datos MySQL en PHP Curso de PHP Acceso a bases de datos MySQL en PHP Bases de datos en la Web Esquema básico de un sitio web soportado por bases de datos: Lenguaje SQL SQL (Structured Query Language) es el lenguaje que se

Más detalles

Día 2: Utilizando controles de datos en Visual Studio 2008.

Día 2: Utilizando controles de datos en Visual Studio 2008. Día 2: Utilizando controles de datos en Visual Studio 2008. Requerimientos de este laboratorio: Base de datos creada en el laboratorio 1 en SQL SERVER. Visual Studio 2008 *Nota: Si usted cuenta con el

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

Dossier de prácticas

Dossier de prácticas Dossier de prácticas Intranet / Extranet Màster d Enginyeria del Software Desenvolupament d aplicacions sobre Internet Fundació Politècnica de Catalunya Jaume Moral Ros Albert Obiols Vives 1 Dossier de

Más detalles

1. crear la base de datos BANCO, dentro de ella crear las siguientes tablas y establecer la siguiente relación.

1. crear la base de datos BANCO, dentro de ella crear las siguientes tablas y establecer la siguiente relación. 1. crear la base de datos BANCO, dentro de ella crear las siguientes tablas y establecer la siguiente relación. Ingresar los siguientes datos en el orden respectivo. 1. Tabla: cliente VISUAL.NET Página

Más detalles

TFC J2EE. Aplicación Web para la gestión de facturación de una empresa de cerrajería. Sara Gutiérrez Melero ITIG Junio de 2012

TFC J2EE. Aplicación Web para la gestión de facturación de una empresa de cerrajería. Sara Gutiérrez Melero ITIG Junio de 2012 TFC J2EE Aplicación Web para la gestión de facturación de una empresa de cerrajería Sara Gutiérrez Melero ITIG Junio de 2012 Consultor: Jose Juan Rodriguez Índice 1. Introducción Objetivos Planificación

Más detalles

Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL Introducción a ataques de tipo inyección: Inyección SQL Jorge Peris Cortés - jorpecor@alumni.uv.es Asignatura: Redes Ingeniería Informática - Curso 2011/2012 Universidad de Valencia 1 Índice INTRODUCCIÓN...

Más detalles

Aprender a desarrollar un sitio Web con PHP y MySQL Ejercicios prácticos y corregidos

Aprender a desarrollar un sitio Web con PHP y MySQL Ejercicios prácticos y corregidos Introducción 1. Objetivo del libro 13 2. Funcionamiento de un sitio Web 13 Instalación 1. Introducción 17 2. Instalación de EasyPHP 13.1 18 Las bases del lenguaje PHP 1. Las etiquetas 23 1.1 Sintaxis básica

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

PHP 5.6 Desarrollar un sitio web dinámico e interactivo

PHP 5.6 Desarrollar un sitio web dinámico e interactivo Introducción 1. Objetivo del libro 9 2. Breve historia de PHP 10 3. Dónde conseguir PHP? 10 4. Convenciones de escritura 11 Información general sobre PHP 1. Qué es PHP? 13 2. Estructura básica de una página

Más detalles

Sage CRM. 7.2 Guía de autoservicio

Sage CRM. 7.2 Guía de autoservicio Sage CRM 7.2 Guía de autoservicio Copyright 2013 Sage Technologies Limited, editor de este trabajo. Todos los derechos reservados. Quedan prohibidos la copia, el fotocopiado, la reproducción, la traducción,

Más detalles

TUTORIAL INTEGRACIÓN DE IVR ASTERISK CON EVOLUTION DBR

TUTORIAL INTEGRACIÓN DE IVR ASTERISK CON EVOLUTION DBR TUTORIAL INTEGRACIÓN DE IVR ASTERISK CON EVOLUTION DBR 1 Introducción... 3 2 Tutorial... 3 2.1 Requisitos previos... 3 2.2 Aplicación IVR simple en dialplan asterisk... 3 2.3 Comprobando el funcionamiento...

Más detalles

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del

Más detalles

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing

Más detalles

Detectar y solucionar infecciones en un sitio web

Detectar y solucionar infecciones en un sitio web Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales

Más detalles

Índice: Tema 4.2 4.2 Conexión con Bases de Datos

Índice: Tema 4.2 4.2 Conexión con Bases de Datos Índice: Tema 4.2 4.2 Conexión con Bases de Datos 4.2.1 Envío y recepción de datos mediante formularios 4.2.2 Administración de MySQL con phpmyadmin 4.2.3 Conexión con Bases de Datos desde PHP Índice: Tema

Más detalles

MANUAL DE USUARIO. Webservice simple para la exportación rápida de información proveniente de una base de datos. Versión 0,1,1

MANUAL DE USUARIO. Webservice simple para la exportación rápida de información proveniente de una base de datos. Versión 0,1,1 MANUAL DE USUARIO Webservice simple para la exportación rápida de información proveniente de una base de datos Versión 0,1,1 Jorge Iván Meza Martínez INTRODUCCIÓN Esta aplicación permite

Más detalles

Ejercicios - Persistencia en Android: ficheros y SQLite

Ejercicios - Persistencia en Android: ficheros y SQLite Ejercicios - Persistencia en Android: ficheros y SQLite Índice 1 Uso de ficheros (0.5 puntos)...2 2 Persistencia con ficheros (0.5 puntos)...3 3 Base de datos: SQLiteOpenHelper (0.5 puntos)... 3 4 Base

Más detalles

Curso librerias Web 2.0. Aplicaciones Web Serv Inf UA JSON

Curso librerias Web 2.0. Aplicaciones Web Serv Inf UA JSON JSON JSON... 1 1) DEFINICIÓN... 1 LITERALES DE MATRIZ... 1 LITERALES DE OBJETO... 2 SINTAXIS DE JSON... 3 2) CODIFICAR Y DECODIFICAR JSON... 4 MOOTOOLS: Json... 4 JSON.encode(objeto)... 4 JSON.decode(string,

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

TEMA 5: Trabajando con bases de datos. ClaseOracleBD

TEMA 5: Trabajando con bases de datos. ClaseOracleBD TEMA 5: Trabajando con bases de datos. ClaseOracleBD Índice de contenido Introducción...1 Archivo de configuración...1 Agregar una cadena de conexión a Web.config con un control de origen de datos...2

Más detalles

Badboy: Manual de usuario

Badboy: Manual de usuario Badboy: Manual de usuario Fecha: Referencia: EJIE S.A. Mediterráneo, 3 Tel. 945 01 73 00* Fax. 945 01 73 01 01010 Vitoria-Gasteiz Posta-kutxatila / Apartado: 809 01080 Vitoria-Gasteiz www.ejie.es Este

Más detalles

Prof. Giovanni Francisco Sáenz Araica.

Prof. Giovanni Francisco Sáenz Araica. Universidad Nacional de Ingeniería Facultad de Electrotecnia y Computación Ingeniería en Computación Administradores de Bases de Datos Conexión de Bases de Datos: Bases de Datos llevadas a Visual Basic.Net

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Site Analytics // Guía de primeros pasos. Guía de primeros pasos. Site Analytics. AKJZNAzsqknsxxkjnsjx Guía de primeros pasos página 1

Site Analytics // Guía de primeros pasos. Guía de primeros pasos. Site Analytics. AKJZNAzsqknsxxkjnsjx Guía de primeros pasos página 1 Guía de primeros pasos Site Analytics Guía de primeros pasos página 1 Guía de primeros pasos: Site Analytics Versión 2.0 (03.22.10) Derecho del autor 2010. Todos los derechos reservados La distribución

Más detalles

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA 301127- Programación de sitios web Act 4: Lección Evaluativa 1

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA 301127- Programación de sitios web Act 4: Lección Evaluativa 1 Qué es PHP? PHP: HyperText Preprocessor. Es un lenguaje de tipo scripting, que actualmente está siendo utilizado como una de las mejores alternativas para desarrollar aplicaciones en la Web. Un lenguaje

Más detalles

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática. SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones

Más detalles

1.- GENERAL. 2.- INGRESO AL SISTEMA.

1.- GENERAL. 2.- INGRESO AL SISTEMA. Contenido 1.- GENERAL.... 3 2.- INGRESO AL SISTEMA.... 3 2.1.- Ingreso y uso del sistema.... 3 3.- AMBIENTE DE TRABAJO.... 4 4.- GESTIÓN DE COMPROBANTES.... 5 4.1.- AGREGAR COMPROBANTE.... 5 4.1.1.- Agregar

Más detalles

Scripting en el cliente: Javascript. Tecnologías Web

Scripting en el cliente: Javascript. Tecnologías Web Scripting en el cliente: Javascript Tecnologías Web Motivación Por qué usar JavaScript? Permite crear efectos atractivos visualmente Permite crear sitios WEB que se visualicen de la misma manera en distintos

Más detalles

Seguridad de un Portal

Seguridad de un Portal Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

PROGRAMACIÓN PÁGINAS WEB CON PHP

PROGRAMACIÓN PÁGINAS WEB CON PHP PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Manual de usuario para la parametrización de la integración Openbravo-Sugar

Manual de usuario para la parametrización de la integración Openbravo-Sugar Manual de usuario para la parametrización de la integración Openbravo-Sugar Fichero: Manual usuario - Integración Openbravo- Sugar - Spanish Versión: 1.0 Sevilla, 3 de febrero de 2010 Histórico de cambios

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

MAESTRO DE PHP PHP NIVEL 1

MAESTRO DE PHP PHP NIVEL 1 MAESTRO DE PHP MAESTRO DE PHP es el curso más completo diseñado para que aprendas desde 0 hasta poder desarrollar aplicaciones robustas utilizando Frameworks. Incluye los Cursos PHP Nivel 1 y PHP Avanzado

Más detalles

GUÍA DE TRABAJO GRADO 11 Programación de. Software Ing. Néstor Raúl Suarez Perpiñan Página 1 de 6

GUÍA DE TRABAJO GRADO 11 Programación de. Software Ing. Néstor Raúl Suarez Perpiñan Página 1 de 6 Página 1 de 6 Tema: INICIO, USUARIOS Y LISTADO DE PRIMARIAS CON VISUAL BASIC.NET Objetivo: Programar el ingreso a una aplicación realizando verificación de usuarios /contraseñas y cargar listados de llaves

Más detalles

!" #$!"# $ % &!" ' $ *()"! $ ' + ), -./#" # $ $ + %& $ '00( $ -0 102 / 0+), 0""(# $ /3-4 - 5 6-7 8-0 2 / '0 0-7 8 + 0 /3 ' - -7 8 + 0' - 0

! #$!# $ % &! ' $ *()! $ ' + ), -./# # $ $ + %& $ '00( $ -0 102 / 0+), 0(# $ /3-4 - 5 6-7 8-0 2 / '0 0-7 8 + 0 /3 ' - -7 8 + 0' - 0 !" #$!"# $ % &!" ' "()"# $ *()"! $ ' + ), -./#" # $ $ + %& $ '00( $ -0 102 / 0+), 0""(# $ -' ' /3-4 - 5 '+!" "()"5*()" 6-7 8-0 2 / '0 0-7 8 + 0 /3 10'-10 ' - -7 8 + 0' - 0 0 0 *0 " "( + 2/ "()"*()" '!"

Más detalles

Curso de Programación PHP

Curso de Programación PHP Curso de Programación PHP Presentación : PHP es el lenguaje de programación más usado en los servidores de Internet debido a su potencia, velocidad de ejecución y simplicidad que lo caracterizan. Este

Más detalles

Joomla! La web en entornos educativos

Joomla! La web en entornos educativos Joomla! La web en entornos educativos Módulo : 2012 ACL (I). Usuarios. Estructura predeterminada. 4 Las versiones 2.5 de Joomla! poseen un avanzado ACL (Access Control List), que especifica qué usuarios

Más detalles

Parte 3 - Consultas SQL + Servicios Web + Índices

Parte 3 - Consultas SQL + Servicios Web + Índices Parte 3 - Consultas SQL + Servicios Web + Índices 12450 Estructuras de Datos y de la Información 2 Prácticas Laboratorio - Curso 2008-2009 3.1 Consultas SQL: Ernesto Arroyo Jesús Bisbal Philippe Roussel

Más detalles

MANUAL DE USUARIO SEGUIMIENTO DE TÍTULOS OFICIALES. 5 de febrero de 2010

MANUAL DE USUARIO SEGUIMIENTO DE TÍTULOS OFICIALES. 5 de febrero de 2010 MANUAL DE USUARIO SEGUIMIENTO DE TÍTULOS OFICIALES 5 de febrero de 2010 INDICE 1. CONFIGURACION DEL IDIOMA EN INTERNET EXPLORER... 3 2. GESTIÓN DE USUARIOS... 5 2.1. Modificaciones de las propiedades del

Más detalles

Programación páginas web. Servidor (PHP)

Programación páginas web. Servidor (PHP) Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.

Más detalles

Comencemos a programar con. Entrega 10. Estructuras de Control II

Comencemos a programar con. Entrega 10. Estructuras de Control II Comencemos a programar con VBA - Access Entrega 10 Estructuras de Control II Eduardo Olaz 10-2 Estructuras de Control, segunda parte Las Instrucciones While - - - Wend La estructura de bucle For Contador

Más detalles

NOTA. HONEYPOT II Servicios con HoneyBOT. Objetivo: Usar un honeypot con varios servicios de interacción media. Herramientas necesarias:

NOTA. HONEYPOT II Servicios con HoneyBOT. Objetivo: Usar un honeypot con varios servicios de interacción media. Herramientas necesarias: HONEYPOT II Servicios con HoneyBOT Popularidad: 8 Simplicidad: 10 Impacto: 5 Nivel de Riesgo: 2 Objetivo: Usar un honeypot con varios servicios de interacción media Herramientas necesarias: HoneyBOT (http://www.atomicsoftwaresolutions.com/download.php)

Más detalles

30 de Mayo de 2008. www.sigrid.es

30 de Mayo de 2008. www.sigrid.es Guia de Instalación del servidor SgdWMS 30 de Mayo de 2008 www.sigrid.es 2 Índice 1.- INTRODUCCIÓN... 3 2.- INSTALACIÓN DE INTERNET INFORMATION SERVER (IIS)... 3 3.- INSTALACIÓN DEL SERVIDOR SGDWMS EN

Más detalles

Manual del Modelizador. 28 de enero de 2009

Manual del Modelizador. 28 de enero de 2009 Índice de contenidos Introducción... 1 Proceso de ejecución de modelos... 1 Origen de datos... 3 Detalles técnicos... 3 Lenguaje de programación... 3 Estructura de los modelos... 3 Biblioteca de clases...

Más detalles

Servidor web E-Sniper

Servidor web E-Sniper Servidor web E-Sniper Tabla de contenido Instalación del servidor IIS... 1 Instalación de la aplicación... 3 Crear el Website... 4 Comprobar la aplicación... 5 Configurar la base de datos... 6 SQLServer...

Más detalles

Seguridad WEB Inyección de código

Seguridad WEB Inyección de código Seguridad WEB Inyección de código Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación

Más detalles

Explotando un RFI en una WebApp Comercial

Explotando un RFI en una WebApp Comercial Explotando un RFI en una WebApp Comercial A. Alejandro Hernández (nitr0us) nitrousenador@gmail.com Safer Operations Consulting www.saferops.com.mx RTM Security Research Group www.zonartm.org Noviembre

Más detalles

Mantenimiento del espacio web

Mantenimiento del espacio web Mantenimiento del espacio web 11 Actualizaciones de Joomla! La actualización a las nuevas versiones de Joomla! es siempre necesaria si queremos que nuestro espacio web no tenga vulnerabilidades peligrosas,

Más detalles

CIF-KM. GUÍA DE LOS PRIMEROS PASOS

CIF-KM. GUÍA DE LOS PRIMEROS PASOS CIF-KM. GUÍA DE LOS PRIMEROS PASOS Secciones 1. CONCEPTOS PREVIOS. 2. INSTALAR CIF-KM. 2.1 Descargar e instalar CIF-KM. 2.2 Configuración de CIF-KM. 2.3 Acceso externo al servidor de CIF-KM. 3. PRIMERA

Más detalles

Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones

Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones 4.3.1 Manejo de Cookies 4.3.2 Manejo de Sesiones 4.3.3 Aplicación basada en sesiones Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones 4.3.1 Manejo

Más detalles

Pruebas Técnicas Grabación casos de prueba JMeter. Unidad de Calidad

Pruebas Técnicas Grabación casos de prueba JMeter. Unidad de Calidad Pruebas Técnicas Grabación casos de prueba JMeter 1. Introducción. Este documento pretende servir de guía para la grabación de los casos de prueba con la herramiento JMeter 2. Grabación del caso de prueba.

Más detalles

Blind SQL Injectión. Práctico

Blind SQL Injectión. Práctico Blind SQL Injectión Práctico 1 Hola: Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a entender mejor un Blind SQL Injection. La idea principal no es explicar un Blind SQL

Más detalles

Tipos de variables, características generales y aspectos específicos de PHP de estos elementos básicos de la programación.

Tipos de variables, características generales y aspectos específicos de PHP de estos elementos básicos de la programación. Tipos de variables, características generales y aspectos específicos de PHP de estos elementos básicos de la programación. En el manual de páginas dinámicas hemos introducido el concepto de variable. En

Más detalles

Manual CMS Mobincube

Manual CMS Mobincube Manual CMS Mobincube CMS Mobincube Qué es? El CMS (Sistema de Gestión de Contenidos) es un completo website que permite la creación y actualización de contenido remoto. De esta forma, una vez creada una

Más detalles

INDICE Programación Introducción Capitulo 21 BASIC Capitulo 22. COBOL Capitulo 23 DELPHI Capitulo 24. FORTRAN Capitulo 25.

INDICE Programación Introducción Capitulo 21 BASIC Capitulo 22. COBOL Capitulo 23 DELPHI Capitulo 24. FORTRAN Capitulo 25. INDICE Programación Introducción 706 Capitulo 21 BASIC 711 Introducción 711 Sintaxis 713 Procedimientos y control de flujo 713 Tipos de datos 714 Disponibilidad y variantes del dialecto 714 Capitulo 22.

Más detalles

==== Introducción. ==== Buscando un fallo

==== Introducción. ==== Buscando un fallo =============================== Horde/Imp: Cross Site Scripting in Email Subject =============================== FraMe - frame at kernelpanik.org http://www.kernelpanik.org ===============================

Más detalles