fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03
|
|
- Mercedes Pinto Páez
- hace 8 años
- Vistas:
Transcripción
1 fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03
2 Vulnerabilidades
3 Dónde están llegando las cosas... Los bancos británicos se aseguran contra el phishing: cargarán las pérdidas a los usuarios de sistemas inseguros. 6. Abril La Asociación de la Banca Británica (BBS) ha publicado un código (que ha entrado en vigor el pasado 31 de marzo) que responsabiliza de posibles pérdidas en sus cuentas de banca electrónica a los usuarios que actúen de forma fraudulenta, pero también a todos aquellos que no observen un "cuidado razonable" (punto 12.11). Lo que la banca británica entiende por "cuidado razonable" se aclara en los puntos 12.5 y 12.9, a los que nos remite. Por ejemplo, el punto 12.9 especifica lo siguiente: Mantenga seguro su PC. Utilice antivirus y spyware (sic) actualizados y un cortafuegos personal.
4
5
6 Motivaciones
7 Motivaciones Advertised Price (in US Item Dollars) United States-based credit card with card verification value $1$6 United Kingdom-based credit card with card verification $2$12 value An identity (including US bank account, credit card, date of birth, and government issued identification number) $14$18 List of 29,000 s $5 Online banking account with a $9,900 balance $300 Yahoo Mail cookie exploit advertised to facilitate full access when successful $3 Valid Yahoo and Hotmail cookies $3 Compromised computer $6$20 Phishing Web site hosting per site $35 Verified PayPal account with balance (balance varies) $50$500 Unverified PayPal account with balance (balance varies) $10$50 Skype account $12 World of Warcraft account one month duration $10 Advertised prices of items traded on underground economy servers. Source: Symantec Corporation.
8 Motivaciones $
9 Ataques al cliente web Drive-by downloads Software (malware) descargado desde el ordenador sin la intervención o el conocimiento del usuario Simplemente por visitar una página Web Sin pulsar explícitamente en un enlace Explota vulnerabilidades en el navegador o sus extensiones, software asociado (Adobe Reader, Flash...), software cliente, o el SO (y librerías) Cliente Web?
10 Ataques al servidor web
11 Al servidor web?
12 Vulnerabilidades más explotadas Remote File Inclusion SQL Injection: pero no sólo SQL, cualquier BBDD: LDAP, ficheros... Cross Site Scripting (XSS) Cross Site request forgery (CSRF) Tendencia hacia el: - {ER} Cross Site [a-za-z0-9 ]* \([A-Z]*\) - Cross Site Printing - Cross Site lo que sea... Ver lista OWASP TOP 10
13 Vulnerabilidades más explotadas
14 Anatomía de un ataque típico
15 SQL Injection La inyección de código SQL se produce cuando datos suministrados por el usuario son enviados sin filtrar a un intérprete como parte de una consulta (Query), con el fin de modificar el comportamiento original, para ejecutar comandos o consultas arbitrarias en la base de datos. <code> sql_query= SELECT * FROM users WHERE username = '" + username_string + "' AND userpass = '" + password_string + "'" </code>
16 SQL Injection username: prueba password: test Consulta final en DB: SELECT * FROM users WHERE username = 'prueba' AND userpass = 'test'
17 SQL Injection username: prueba' password: test Consulta final en DB: SELECT * FROM users WHERE username = 'prueba'' AND userpass = 'test' Microsoft OLE DB Provider for ODBC Drivers (0x80040E14) [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ' AND userpass=userpass_string'
18 SQL Injection: 'OR 1=1; - username:'or 1=1; password: test Consulta final en DB: SELECT * FROM users WHERE username = '' OR 1=1 ; AND userpass = 'test' ; DROP TABLE... ; SELECT * FROM......
19 SQL Injection Objetivos: Evadir autenticaciones, controles de acceso. Obtener y/o modificar datos arbitrarios de la BBDD Leer ficheros del sistema operativo Ejecutar comandos en el S.O. Blind SQL Injection
20 XSS Cross Site Scripting La vulnerabilidad ocurre cuando una aplicación recibe datos enviados por el usuario, y los devuelve al browser sin validarlos o codificarlos. Para poder explotar esta vulnerabilidad generalmente el atacante tendrá que engañar a la víctima en abrir un link, visitar una página, ver una imagen, etc... Que se puede hacer con ellos?: Robo de información de autenticación y secuestro de cuentas Robo y envenenamiento de cookies Phishing Escaneo de puertos de intranet Vulnerabilidades del browser
21 XSS Cross Site Scripting La vulnerabilidad ocurre cuando una aplicación recibe datos enviados por el usuario, y los devuelve al browser sin validarlos o codificarlos. Para poder explotar esta vulnerabilidad generalmente el atacante tendrá que engañar a la víctima en abrir un link, visitar una página, ver una imagen, etc... Prueba simple: <script>alert("xss")</script> Puedo dejarlo de forma permanente? Libro de visitas, SQL Injection, etc.. Lo siguiente un defacement (desfigurar): <html><body><img SRC=" Sin comillas: <script>alert(string.fromcharcode(116, 48, 112, 80, 56, 117, 90, 122))</script> Obtención de cookies: document.location = "
22 RFI [Remote] File Inclusion La inclusión remota de ficheros o código permite a los atacantes incluir código y datos arbitrarios en la aplicación vulnerable, que luego se ejecutará en el servidor. Muchas aplicaciones permiten subir ficheros, fotos,documentos, etc... La inclusión de los ficheros puede ser tanto local como remota. La podemos encontrar en urls del tipo:
23 RFI [Remote] File Inclusion Si logramos incluir código, ficheros o realizar un upload podemos... Ejecutar comandos a través de una consola web. (Darkraver web-kit) Paneles de control (c99, r57) Cliente SQL a través de http. Subir y ejecutar cualquier binario (Port redirectors, túneles, etc) Cualquier cosa que se nos ocurra. Control total del servidor :P
24 Failure to Restrict URL Access Usualmente la aplicación protege solamente las funcionalidades más sensibles, evitando publicar los links o las urls a los usuarios no autorizados. Los atacantes explotan esta vulnerabilidad accediendo directamente a estas funcionalidades Existen muchos diccionarios creados para explotar esta vulnerabilidad: Diccionarios de distintos idiomas Diccionarios por contexto dependiendo del servidor Web, servidor de aplicaciones, y Aplicaciones /admin :P
25 CSRF Cross Site Request Forgery El atacante fuerza al browser de la víctima a realizar una petición, en la sesión autenticada o no, de una aplicación sin el conocimiento del usuario. <IMG SRC= />
26 Automatizando los ataques Para todos estos ataques hay herramientas especializadas y muy potentes: SQL Injections Sqlbif: SqPyfia: Sqlmap: Sqlix : Failure tor restrict URL access: Wfuzz: Dirb: - WebSlayer - ProxyStrike - Mtools -...
27 Recomendaciones generales Activar SIEMPRE las actualizaciones automáticas cuando el software lo permite Mantenerse informado sobre los cambios del software Página Web Oficial del fabricante Listas de correo Instalar y usar software AntiVirus (No protege contra todo el código malicioso) Seguir el principio de: No lo habilites sino lo necesitas Usar cuentas con privilegios limitados Administrador para la gestión y el mantenimiento del SO y software Usuario sin privilegios para el uso diario Educar al usuario para evitar comportamientos inseguros En Firefox: Extension 'no-script'
28 Abriendo los ojos
29 OWASP The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. Everyone is free to participate in OWASP and all of our materials are available under an open source license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work.
30 OWASP gran cantidad de proyectos interesantes
31 OWASP Top Ten Project 2007 Educar desarrolladores, diseñadores, arquitectos y organizaciones sobre las consecuencias de las vulnerabilidades en la seguridad. Todos los años contamos con un nuevo proyecto Top Ten. A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access
32 WebScarab / WebScarab NG Framework para análisis de aplicaciones que se comunican por HTTP/HTTPS Multiplataforma Totalmente extensible Utilización como proxy: podemos revisar y modificar las peticiones hechas por el navegador antes de ser enviadas al servidor, y revisar y modificar las respuestas del servidor antes que lleguen al navegador. Útil, no? :P Análisis SessionID: podemos analizar las cookies de forma fácil Simulador de ancho de banda Fuzzer: automatizar tareas repetitivas a la hora de reemplazar listas de valores...
33 WebScarab / WebScarab NG White Box Hacking Comprobar nuestras propias aplicaciones Podemos divertirnos por ahí :P
34 WebGoat Una deliberadamente insegura aplicación web J2EE, para aprender lecciones sobre seguridad web. Qué mejor forma de aprender que hacer lo que ellos hacen? Conjunto de lecciones sobre ataques que tendremos que pasar, de menor a mayor dificultad. Nos da acceso al fuente para que podamos ver qué no debemos hacer, explicaciones de la solución, estadísticas de cómo van nuestros ataques. Necesitaremos como herramienta adicional un Proxy HTTP/HTTPS, WebScarab? Podemos jugar a hackear cosas, o bajarnos el fuente, arreglarlo, y ver si es segura nuestra forma de programar. Es bastante divertido, y a la vez estamos aprendiendo.
35 WebGoat Lecciones Cross Site Scripting Access Control Thread Safety Hidden Form Field Manipulation Parameter Manipulation Weak Session Cookies Blind SQL Injection Numeric SQL Injection String SQL Injection Web Services Fail Open Authentication Dangers of HTML Comments... etc...
36 WebGoat Recomendado para desarrolladores Java para pasar una tarde de domingo.
37 OWASP Testing Guide v2/3 Information Gathering Authentication Data Validation Testing: Oracle, LDAP, XSS... DoS Web Services AJAX Testing Cómo escribir un informe de seguridad OWASP Guide v3 Próxima traducción al castellano Es una guía de buenas prácticas: Gestión de sesiones, autenticación, autorización, WS, Ajax, Phising, Mantenimiento...
38 OWASP varios Se está viendo la forma de patrocinar a OWASP por parte de CRUE y CENATIC Todas sus guías las venden en papel, sin ánimo de lucro (14 EUR la más cara con 547pág.) Existen muchos más proyectos: OWASP Legal Project OWASP CSRFGuard Project: filtro J2EE mitigar ataques CSRF OWASP LiveCD Education Generador de informes de seguridad OWASP Code Review...
39 Software Libre
40 Software Libre, tenemos un problema El hecho que el mercado gire la cabeza hacia el software libre, ha hecho que muchos atacantes también lo hagan hacia él. Tienen el código fuente. Nosotros no nos preocupamos demasiado. Hemos de estar más al día en BBDD de vulnerabilidades No olvidemos que dentro del Software Libre también existen aplicaciones mal hechas. Hemos de añadir un factor más en la selección: cuán seguro es un software, antes de cogerlo porque sí.
41
42 Software Libre: Soluciones OPCIÓN 1: preguntadnos OPCIÓN 2: yo es un producto seguro existe un equipo detrás estamos dispuestos a meter mano bbdd de vulnerabilidades lista de correo del producto
43 Medidas
44 White Box Hacking Hemos de probar nuestra aplicación, al igual que lo harían ellos, por lo que nos vendrá muy bien seguir el curso de WebGoat. Este tipo de trabajos deben hacerlo personas ajenas al desarrollo de la aplicación en cuestión: - empresa de seguridad externa - formar equipo en ATICA No lo hagáis, y si lo hacéis por vuestra propia cuenta, por favor, avisad.
45 Las aplicaciones seguras no nacen por generación espontánea, son el resultado de una organización, que decide que hará que sus aplicaciones serán seguras...
46 Política de seguridad - Necesitamos de una política de seguridad. Sí, aquí en ATICA. - Esta ha de ser tomada como un objetivo de la organización. - No sólo pensemos en la seguridad web, también en la física. - Hagámos una, y vamos a usarla.
47 QA Tiene calidad nuestro código fuente?
48 Medimos la calidad de nuestro software? Si no lo medimos difícilmente podremos decir si es de calidad o no...
49 ...no tan importante es elegir entre una metodología u otra, como elegir al menos una...
50 Metodología Qué metodologías utilizamos? Obviamente dependerá del proyecto: RUP, UML, SCRUM Por qué? El desarrollo ad-hoc es desestructurado a la hora de hacer aplicaciones seguras. Existen metodologías que incluyen este objetivo. Diseño, testeo y documentación. Ahora todos juntos: Diseño, testeo y documentación!
51 Coding Standards Tenemos que converger a tener estándares en el código a la hora de programar. El mantenimiento se hará más fácil. No dependeremos tanto de las personas. A alguien nuevo le sería más fácil ponerse al día. Por poner un ejemplo:
52 Formación Estamos faltos de formación en temas de seguridad Soluciones Autoformación Nos formamos entre nosotros (eso estaría bien) Sería fructífero contarnos los unos a los otros, aunque sea una vez al año que hacemos. 1 hora de cada 1 de nosotros. Así sabríamos un poco mejor, que cuando uno de nosotros tira una gota a un lago, las ondas llegan hasta la orilla. Formación externa
53 Leer, leer, leer... El índice de lectura en España mejora ligeramente y se sitúa en el 57 por ciento Y yo digo que el 37,3% de las estadísticas son falsas. Sé que no tenemos Labs Days como en Google.
54 Conclusiones Necesidad de una política de seguridad Utilizar metodologías Utilizar estándares de código Necesitamos formación en materia de seguridad Hey! También tenemos deberes nosotros: leer y autoformarnos... QA, emepecemos a medir nuestra calidad Concluyo sabiendo que el 90% de vosotros me odiaréis de por vida... (el 37,3% de las estadísticas son falsas)
55 Un enfoque práctico UCLM
56 Similar a la UMU...
57 Similar a la UMU...
58 Todos somos la UCLM
59 Seguridad en aplicaciones Web Problemática
60 OWASP Top10 SANS Top10
61 Enfoque organizativo
62 Gestión de la seguridad por perfiles Buscar puntos de control de la seguridad.
63 Dónde actuar
64 Dónde actuar
65 Estrategia de seguridad web
66 Estrategia de seguridad web A, administradores D, desarrollo S, seguridad externa? WAF, Web Application Firewalls WASS, Web Application Security Scanners
67 Plan de mejora Seguridad en aplicaciones web Ámbito: Aplicaciones web corporativas
68 Marco normativo Requisitos para las aplicaciones web
69 Análisis de la situación de partida Diferencias entre las directrices y la situación de partida Cuestiones Personal y organización Políticas (logs, red, incidentes) Procedimientos y métodos (parcheo, cambios, etc.) Entorno (red, servicios, etc.) Inventarios Aplicaciones, bases de datos, servidores y personal Herramientas, lenguajes, librerías, frameworks Necesaria adaptación: Desarrollo Explotación Evaluación Apoyo
70 Adaptación: DESARROLLO
71 Adaptación: EXPLOTACIÓN
72 Adaptación: EVALUACIÓN
73 Adaptación: APOYO
74 Plan de choque Futuro
75 Referencias Open Web Application Security Project (OWASP) Web Application Security Consortium (WASC) Center for Internet Security (CIS) Raul Siles
Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com
Principales vulnerabilidades en aplicaciones Web Christian Martorella Edge-security.com 1 #Whoami: Christian Martorella Cofundador Edge-security.com CISSP, CISM, CISA, OPST, OPSA Actualmente trabajando
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesGuía Rápida de Inicio
Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesRETO HACKER DE VERANO
RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque
Más detallesInternet Information Server
Internet Information Server Internet Information Server (IIS) es el servidor de páginas web avanzado de la plataforma Windows. Se distribuye gratuitamente junto con las versiones de Windows basadas en
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesCurso de PHP con MySQL Gratis
Curso de PHP con MySQL Gratis Introducción Este mini curso o mini tutorial de PHP le ayudará a realizar cualquier sistema para que pueda insertar uno o varios registros a una base de datos con MySQL, este
Más detallese-mailing Solution La forma más efectiva de llegar a sus clientes.
e-mailing Solution La forma más efectiva de llegar a sus clientes. e-mailing Solution Es muy grato para nosotros presentarles e-mailing Solution, nuestra solución de e-mail Marketing para su empresa. E-Mailing
Más detallesSIEWEB. La intranet corporativa de SIE
La intranet corporativa de SIE por ALBA Software Acceso a los servicios SIE desde páginas Web para los usuarios de sistema *. Administración del Sistema (cuentas de usuarios, permisos, servicios, etc...)
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesTeléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.
Como identificar phishing Sobre CSIRT-cv CSIRT-cv es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en
Más detallesGuía de uso del Cloud Datacenter de acens
guíasdeuso Guía de uso del Cloud Datacenter de Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Un Data Center o centro de datos físico es un espacio utilizado para alojar
Más detallesCIF-KM. GUÍA DE LOS PRIMEROS PASOS
CIF-KM. GUÍA DE LOS PRIMEROS PASOS Secciones 1. CONCEPTOS PREVIOS. 2. INSTALAR CIF-KM. 2.1 Descargar e instalar CIF-KM. 2.2 Configuración de CIF-KM. 2.3 Acceso externo al servidor de CIF-KM. 3. PRIMERA
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesMANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD
MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...
Más detallesSeminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com
Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos
Más detallesBloquean el tráfico basándose en un esquema de aplicaciones fiables - no fiables.
CORTAFUEGOS: Son programas que nos ayudan a controlar las conexiones que puede iniciar o recibir un ordenador conectado a la red. También nos protegen de intrusiones no deseadas, evita que la información
Más detallesManual hosting acens
Manual hosting acens Contenido Acceso al panel de control de cliente... 3 Asociar un dominio a mi Hosting... 5 Acceso al panel de administración del hosting... 7 INICIO - Visión general del estado de nuestro
Más detallesCómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia
Cómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com La puesta en marcha de WordPress es muy sencilla,
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesEXPERTOS EN DESARROLLO WEB
EXPERTOS EN DESARROLLO WEB ADAPTACIÓN A LA NUEVA NORMATIVA SOBRE COOKIES NUEVA NORMATIVA SOBRE EL USO DE COOKIES A D SITUACIÓN DESEADA SITUACIÓN ACTUAL Se establecen multas a las empresas que no informen
Más detallesDossier de prácticas
Dossier de prácticas Administración de Web Sites Màster d Enginyeria del Software Desenvolupament d aplicacions sobre Internet Fundació Politècnica de Catalunya Jaume Moral Ros Albert Obiols Vives 1 2
Más detallesIntroducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org
Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify
Más detallesANTIPHISHING: Qué es? Para qué sirve? De qué protege? Escenarios de aplicación. Recomendaciones y buenas prácticas.
ANTIPHISHING: Qué es? El phishing es una técnica que combina el spam (envío de correos masivos de forma indiscriminada) y la ingeniería social (tácticas de persuasión que suelen valerse de la buena voluntad
Más detallesRecomendaciones de Seguridad Red Social Twitter
Recomendaciones de Seguridad Red Social Twitter Medidas de seguridad para Twitter Tras varios ataques a cuentas de reconocidas empresas, Twitter anunció nuevas medidas de seguridad. Cualquier usuario que
Más detallesDetectar y solucionar infecciones en un sitio web
Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales
Más detallesAgenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar
Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Juan Antonio Calles (@jantoniocalles) Quiénes somos? Jefe de Proyectos de Seguridad en everis www.flu-project.com elblogdecalles.blogspot.com
Más detallesAGREGAR COMPONENTES ADICIONALES DE WINDOWS
INSTALACIÓN DE IIS EN WINDOWS XP El sistema está desarrollado para ejecutarse bajo la plataforma IIS de Windows XP. Por esta razón, incluimos la instalación de IIS (Servidor de Web) para la correcta ejecución
Más detallesLiLa Portal Guía para profesores
Library of Labs Lecturer s Guide LiLa Portal Guía para profesores Se espera que los profesores se encarguen de gestionar el aprendizaje de los alumnos, por lo que su objetivo es seleccionar de la lista
Más detallesMicrosoft Intune Manual de Usuario
Microsoft Intune Manual de Usuario 1. Introducción... 2 2. Acceso al panel de control de cliente Movistar... 3 3. Configure Microsoft Intune... 4 3.1. Agregar usuarios... 5 3.2. Crear Grupos... 7 3.2.1.
Más detallesConfigurar protección infantil en Windows XP
Configurar protección infantil en Windows XP Web de la asociación española de pediatría En la web de la asociación española de pediatría podemos encontrar un link al site que han montado junto a Microsoft
Más detallesb1010 formas de escribir código (in)seguro
b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesSeguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Más detallesOWASP: Un punto de vista. aplicaciones web seguras
OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesSeguridad en el desarrollo
OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo
Más detallesSon herramientas diseñadas para detectar, bloquear y eliminar virus informáticos y otros programas maliciosos.
ANTIVIRUS: Qué es? Son herramientas diseñadas para detectar, bloquear y eliminar virus informáticos y otros programas maliciosos. Existen dos tipos de antivirus: de escritorio y en línea. Los antivirus
Más detallesMáster Profesional en Tecnologías de Seguridad. Seguridad en la web
Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa
Más detallesCapítulo 1: Empezando...3
F-Secure Anti-Virus for Mac 2014 Contenido 2 Contenido Capítulo 1: Empezando...3 1.1 Qué hacer después de la instalación?...4 1.1.1 Administrar la suscripción...4 1.1.2 Abrir el producto...4 1.2 Cómo asegurarme
Más detallesManual de instalación Actualizador masivo de Stocks y Precios
Manual de instalación Actualizador masivo de Stocks y Precios Instrucciones para la instalación de Actualizado masivo de Stocks y Precios Módulo para Prestashop desarrollado por OBSolutions Módulo para
Más detallesGuía de Instalación para clientes de WebAdmin
Panda Managed Office Protection Guía de Instalación para clientes de WebAdmin Tabla de contenidos 1. Introducción... 4 2. Instalación de Panda Managed Office Protection a partir de una instalación de Panda
Más detallesINTRANET: MANUAL DE INSTALACIÓN
INTRANET: MANUAL DE INSTALACIÓN 1 de 15 INDICE 1 Requisitos mínimos... 3 2 Instalación... 4 2.1 Instalación de los ficheros de la Intranet... 4 2.2 Registro de las librerías... 4 2.3 Configuración del
Más detallesEficiencia en la Automatización y Gestión de Servicios
Eficiencia en la Automatización y Gestión de Servicios GESTIÓN EFECTIVA DE SERVICIOS CON SERVICETONIC Hoy en día las empresas están obligadas a hacer más con menos recursos y como consecuencia de ello
Más detallesGuía de seguridad informática Buenas prácticas para el Nuevo Año
Guía de seguridad informática Buenas prácticas para el Nuevo Año UNA VIDA DIGITAL SEGURATEC 2012 está llegando a su fin, y qué mejor manera de prepararse para el nuevo año, que tomando conciencia de las
Más detallesSistema de SaaS (Software as a Service) para centros educativos
Sistema de SaaS (Software as a Service) para centros educativos Definiciones preliminares: Qué es SaaS? SaaS (1) es un modelo de distribución del software que permite a los usuarios el acceso al mismo
Más detalles3. Qué necesitamos para usar Wordpress?
Contenido 1. Objetivos de este tutorial... 2 2. Qué es Wordpress?... 2 3. Qué necesitamos para usar Wordpress?... 2 3.1 Alojamiento web... 3 3.2 DOMINIO O DIRECCIÓN DE INTERNET... 3 3.3 Cuenta FTP... 4
Más detallesInstalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta
Configuración de una red con Windows Aunque existen múltiples sistemas operativos, el más utilizado en todo el mundo sigue siendo Windows de Microsoft. Por este motivo, vamos a aprender los pasos para
Más detallesPentesting con OWASP Zed Attack Proxy
Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar
Más detallesQUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A)
APRENDERAPROGRAMAR.COM QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A) Sección: Divulgación Categoría: Herramientas Informáticas Fecha
Más detallesInstalar y configurar W3 Total Cache
Instalar y configurar W3 Total Cache en WordPress Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com La velocidad de carga de una web influye mucho a la hora de mejorar el
Más detallesÍndice. Página 2 de 14
Índice Pág. 1. Requisitos... 3 2. Acceso a la plataforma online... 3 3. Estructura y funcionamiento de los cursos... 5 4. Elementos del menú lateral... 9 a. Profesor... 9 b. Soporte Técnico... 10 c. Aplicaciones
Más detallesEl e-commerce de Grupo JAB es una herramienta que permite a los clientes del Grupo, realizar un amplio conjunto de servicios de consulta, petición y
El de Grupo JAB es una herramienta que permite a los clientes del Grupo, realizar un amplio conjunto de servicios de consulta, petición y compra en los diversos almacenes del Grupo JAB. En concreto podremos:
Más detallesNosotros nos encargamos de la parte técnica, tú de las ventas. Tiendas online Gorile Qué es Gorile? Visita nuestra web: gorile.com
Qué es Gorile? Una tienda online que te permite vender productos o servicios en internet. Sin preocuparse de la parte técnica, con todas las herramientas enfocadas a la venta online. Cómo crece una tienda
Más detallesPANEL DE CONTROL (Zona de Administración) MANUAL DE USO Por conexanet. Revisión 1.1 Fecha 2006-08
PANEL DE CONTROL (Zona de Administración) MANUAL DE USO Por conexanet Revisión 1.1 Fecha 2006-08 Índice 1. Acceder 2. Menú 3. Gestión Básica 3.1 Añadir 3.2 Editar 3.3 Eliminar 3.4 Eliminación de registros
Más detallesAbril 2011. WebApp STR- a3erp. Aplicación de registro de pedidos, albaranes y facturas para a3erp. Compatible con las principales plataformas
WebApp STR- a3erp Aplicación de registro de pedidos, albaranes y facturas para a3erp Alto ahorro de costes en empresas con representantes y/o técnicos móviles Compatible con las principales plataformas
Más detallesGuía de Inicio Respaldo Cloud
Guía de Inicio Respaldo Cloud Calle San Rafael, 14 28108 Alcobendas (Madrid) 900 103 293 www.acens.com Contenido 1 Introducción... 3 2 Características Respaldo Cloud... 4 3 Acceso y activación... 5 - Gestión
Más detallesINSTALACIÓN DE MEDPRO
1 Estimado Cliente: Uno de los objetivos que nos hemos marcado con nuestra nueva plataforma de gestión, es que un cliente pueda instalar MedPro y realizar su puesta en marcha de forma autónoma. Siga paso
Más detallesDECLARACIÓN DE PRIVACIDAD DE FONOWEB
DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones
Más detallesWeb: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesReputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:
Aprobado en Consejo Informático 19-3-2013 - OFFICESCAN Reputació n Web Contexto y situación actual Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas
Más detallesTEMA 4: EMPEZANDO A NAVEGAR ESCUELA UNIVERSITARIA DE INFORMÁTICA. Raúl Martín Martín
TEMA 4: EMPEZANDO A ESCUELA UNIVERSITARIA DE INFORMÁTICA NAVEGAR Raúl Martín Martín SERVICIOS DE INTERNET SERVICIOS DE INTERNET Las posibilidades que ofrece Internet se denominan servicios. Hoy en día,
Más detallesINFORMACIÓN DE NAVEGADORES
INFORMACIÓN DE NAVEGADORES Para operar con las Sedes Electrónicas de la Informática Presupuestaria es necesario tener un navegador web actualizado, aunque es posible que su funcionamiento sea correcto
Más detallesPOLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales
POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI Lineamientos generales Esta política de privacidad lo guiará en relación con nuestros lineamientos relacionados con el uso de su información personal,
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesMás Clientes Más Rápido: Marketing Online bien enfocado
Más Clientes Más Rápido: Marketing Online bien enfocado A continuación describo una propuesta comercial que estimo le interesará ya que tiene el potencial de incrementar su negocio en un período relativamente
Más detallesManual del Alumno de la plataforma de e-learning.
2 Manual del Alumno de la Plataforma de E-learning 3 4 ÍNDICE 1. Página de Inicio...7 2. Opciones generales...8 2.1. Qué es el Campus...8 2.2. Nuestros Cursos...9 2.3. Cómo matricularme...9 2.4. Contactar...9
Más detallesBase de datos en Excel
Base de datos en Excel Una base datos es un conjunto de información que ha sido organizado bajo un mismo contexto y se encuentra almacenada y lista para ser utilizada en cualquier momento. Las bases de
Más detallesTecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de
Más detallesS E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Más detallesArchivo de correo con Microsoft Outlook contra Exchange Server
Archivo de correo con Microsoft Outlook contra Exchange Server Resumen Con este proceso de archivado, lo que pretendemos es guardar nuestro correo en un archivo de datos, para así poder realizar una copia
Más detalles2011-2012 RESOLUCIÓN DE ERRORES EN MOODLE CAMPUS VIRTUAL-BIRTUALA UPV-EHU
2011-2012 RESOLUCIÓN DE ERRORES EN MOODLE CAMPUS VIRTUAL-BIRTUALA UPV-EHU Antecedentes:... 2 1. Introducción... 3 2. Imágenes que no se visualizan... 3 3. URLs de recursos o actividades que no son autocontenido...
Más detallesMANUAL DE CLIENTE RECEPTOR
MANUAL DE CLIENTE RECEPTOR CLICKFACTURA SERVICIO CLICKFACTURA 2015 Copyright El contenido de este documento está sujeto a cambios sin previa notificación. Se prohíbe cualquier reproducción o copia sin
Más detallesTenemos que instalar los programas de los usuarios también (los anteriormente mencionados) y los siguientes que vamos a nombrar.
TUTORIAL INCEME Programas necesarios PC s usuarios En los ordenadores donde se va a ejecutar INCEME van hacer falta una serie de programas para su funcionamiento. Tendremos que tener los.net Framework
Más detallesManual de uso. Manual de uso - citanet 1
Manual de uso Manual de uso - citanet 1 1. Requisitos previos a la instalación... 3 2. Primer inicio de la aplicación.... 3 2.1. Pantalla de inicio de sesión.... 3 2.2. Datos de la empresa y configuración
Más detallesPlataforma e-ducativa Aragonesa. Manual de Administración. Bitácora
Plataforma e-ducativa Aragonesa Manual de Administración Bitácora ÍNDICE Acceso a la administración de la Bitácora...3 Interfaz Gráfica...3 Publicaciones...4 Cómo Agregar una Publicación...4 Cómo Modificar
Más detallesGuía de uso del sistema CV-Online
Guía de uso del sistema CV-Online 1.- Registro. a.- Pasos para completar el formulario. 2.- Ingreso al sistema. a.- Olvidó su Usuario o contraseña? b.- Consulta. c.- Crear nueva cuenta. 3.- Administrador
Más detallesHOSTING YDOMINIOS Publicar nuestra Web. Iván Martínez Toro
HOSTING YDOMINIOS Publicar nuestra Web Iván Martínez Toro ÍNDICE DECONTENIDOS Introducción. Hosting, Hospedaje o Alojamiento Web. Qué nos puede ofrecer?. Tipos de Alojamiento. Gratuitos. De Pago. Dominios.
Más detallesTEMA 3. REDES Y SEGURIDAD INFORMÁTICA
TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una
Más detallesOptimizar base de datos WordPress
Optimizar base de datos WordPress Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com WordPress se ha convertido en uno de los CMS más utilizados en todo el mundo. Su robustez,
Más detallesMi propuesta consiste en crear un portal Web que contemple las siguientes funcionalidades:
Propósito del prototipo: Mi propuesta consiste en crear un portal Web que contemple las siguientes funcionalidades: 1º. Mostrar noticias y eventos propios del grupo de personas que administren la Web.
Más detallesDOMINIO CON IP DINÁMICA
DOMINIO CON IP DINÁMICA El problema que encontramos cuando queremos que un servidor nuestro sea accesible desde internet es que, por lo general, los prestadores de servicio de internet nos asigna una IP
Más detallesMANUAL DE USUARIO DE UNIFIED IM
MANUAL DE USUARIO DE UNIFIED IM Spontania v5 Febrero, 2009 1 Índice Índice... 2 1 Como instalar IM... 3 2 Interface UnifiedIM... 6 Barra de herramientas... 6 IM... 7 Contactos... 7 Acciones... 8 Barra
Más detallesEscritorio remoto y VPN. Cómo conectarse desde Windows 7
Escritorio remoto y VPN. Cómo conectarse desde Windows 7 Hay ocasiones en las que es necesario conectarnos a un equipo informático situado a mucha distancia de donde nos encontramos para realizar sobre
Más detallesPack Seguridad Autónomos Consola de gestión del programa agente
Manual de Usuario Consola de gestión del programa agente Índice 1 Introducción... 2 2 Acceso al agente instalado... 3 3 La consola de gestión... 4 4 Estado de los componentes instalados... 5 5 Barra de
Más detallesMÒDUL 1: Instal lació, administració, gestió i implementació del servidor web i la seva seguretat. Conexión Remota a Computador
MÒDUL 1: Instal lació, administració, gestió i implementació del servidor web i la seva seguretat Conexión Remota a Computador ÍNDICE 1. Reachout 2. PCAnyWhere 3. VNC 4. DameWare 5. Escritorio Remoto en
Más detallesManual Básico de Helm 4.2 para Usuarios:
Manual Básico de Helm 4.2 para Usuarios: Ante todo queremos agradecerle por elegir a para trabajar junto a usted. Esperamos que este manual lo ayude a trabajar con comodidad y facilidad. Este manual es
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesConfiguracion Escritorio Remoto Windows 2003
Configuracion Escritorio Remoto Windows 2003 Instalar y configurar servicio de Terminal Server en Windows 2003 Fecha Lunes, 25 diciembre a las 17:04:14 Tema Windows (Sistema Operativo) Os explicamos cómo
Más detallesFUENTES SECUNDARIAS INTERNAS
FUENTES SECUNDARIAS INTERNAS Las fuentes secundarias son informaciones que se encuentran ya recogidas en la empresa, aunque no necesariamente con la forma y finalidad que necesita un departamento de marketing.
Más detallesControl de objetivos y alertas mediante Tablas Dinámicas
Control de objetivos y alertas mediante Tablas Dinámicas Autor: Luis Muñiz Socio-Director SisConGes & Estrategia info@sistemacontrolgestion.com INTRODUCCIÓN Estamos ante una situación en que los sistemas
Más detallesBuenas Prácticas en Correo Electrónico
Buenas Prácticas en Correo Electrónico Ataques mas frecuentes que se realizan por Correo Electrónico Tomado de: http://ceds.nauta.es/bpcorreo.ppt Modificado por Lidia Guerra Prevenir los problemas Actos
Más detallesPrivacidad. Política de Privacidad del Sitio Web. Introducción. Cookies y Seguimiento
Privacidad Aviso de Prácticas de Privacidad de la HIPAA: Para leer más sobre nuestras prácticas de privacidad en relación con la información médica y de salud según la Ley de Portabilidad y Responsabilidad
Más detallesRedes de área local: Aplicaciones y servicios WINDOWS
Redes de área local: Aplicaciones y servicios WINDOWS 7. Escritorio remoto 1 Índice Definición de Escritorio Remoto... 3 Habilitar Escritorio Remoto... 4 Instalación del cliente de Escritorio Remoto...
Más detalles