Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
|
|
- Carmelo Saavedra Cabrera
- hace 8 años
- Vistas:
Transcripción
1 Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
2 Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5. Ataques NG 6. Previniendo.. 7. Medidas en el servidor
3 Introducción Seguridad, tanta importancia? Robo de datos Violación de privacidad Personificación Ejecución remota de código Suplantación de contenido (phishing) Cambio de contenido (deface)
4 Introducción 90% de los sitios son vulnerables. 75% de los sitios son blanco de XSS. En Chile.. La mayoría de los atacantes son extranjeros. Script kiddies efectúan mass deface. Linux lidera sistemas atacados. Existen organismos fiscales que velan por políticas de seguridad.
5 go?
6 Cross-Site Scripting (XSS) En el futuro, XSS será el buffer overflow y JavaScript el shellcode
7 Cross-Site Scripting (XSS) Tipo de ataque que aprovecha la mala validación de datos en páginas generadas dinámicamente. El atacante puede incluir código malicioso (JavaScript) que será ejecutado en el navegador de la víctima.
8 Cross-Site Scripting (XSS) 2 tipos de XSS Persistente: Código inyectado que luego es guardado y mostrado cada vez que se visita el sitio. No Persistente: Código inyectado en una url aprovechando el método GET y entregado a la víctima ocultado en enlaces, preferentemente.
9 Cross-Site Scripting (XSS) Descubriendo XSS Cualquier sitio que devuelva datos ingresados por el usuario puede ser vulnerable (form, db, etc). Probando con el conocido <script>alert( xss );</script>
10 Cross-Site Scripting (XSS) Peligros de XSS Fácil de encontrar Útil para el phishing Pérdida de cookies Alteración de páginas hacia el cliente Patrones cada vez más creativos La gran mayoría de los usuarios tiene activado Javascript. IE más vulnerable que Mozilla Firefox.
11 Cross-Site Scripting (XSS) Y ahora estamos en la Web 2.0, qué? Ajax amplia el abanico de posibilidades en que un atacante pueda inyectar código. Ajax expone funciones internas al cliente Puentes (Ajax Bridging) pueden ocultar ataques a sitios externos. Ajax y XSS como w0rm.
12 Cross-Site Scripting (XSS) Muy aburrido?
13 Inyección SQL
14 Inyección SQL Se inyecta código SQL en variables ingresadas por el usuario que posteriormente son parte de consultas a la base de datos Un mal saneamiento de los datos nos lleva a ejecutar sentencias no esperadas en la DB No es problema de la DB.
15 Inyección SQL El atacante no sabe la organización de la db, a menos que se trate de una aplicación open source. Mediante el ingreso de caracteres que tienen significado especial en la consulta, va recopilando información a partir de los errores. 1' OR 1 = 1; --
16 Inyección SQL Ejemplo 1 $r = pg_query($conexion, "SELECT * FROM usuarios WHERE usuario='{$user}' AND pass='{$pass}'"); $usr = pg_fetch_array($r); if($usr[0] == $user) echo "OK"; OR 1=1;--
17 Inyección SQL Datos importantes sobre la db en los esquemas de información. Oracle, MSSQL Server y Mysql están bien documentadas sus formas de explotación. Postgresql, la gran duda poco documentado o más seguro?
18 Nuestro código en el servidor
19 Inclusión de archivos Una mala programación puede llevar a la inclusión de archivos con código tanto local como remota. Este tipo de ataque es el más peligroso. Permite inclusión de archivos de sistema con información relevante, si está al alcance del usuario del proceso.
20 Inclusión de archivos 2 tipos de inclusión Local : Se pueden incluir archivos de sistema u otros como los que contienen información sobre db, usuarios, etc. Remota : Involucra la inclusión de archivos externos al servidor, probablemente programados por el atacante.
21 Ejecución de comandos Ataque producido por mal saneamiento en los datos introducidos por el usuario y que pasan a ser parte de comandos al sistema. No sólo referente a PHP, cualquier lenguaje web que tenga acceso al sistema y antes visto en cgi-bins.
22 Nuestro código en el servidor Vamos a estirar los dedos :)
23 Ataques Nueva Generación
24 Cross-Site Request Forgery CSRF se aprovecha de la autenticación de la víctima en un sitio para efectuar peticiones sin conocimiento de esta. Estas peticiones son de acuerdo a las acciones que el usuario puede hacer en el sitio ( comprar, agregar, pagar, etc).
25 Cross-Site Request Forgery
26 Feed Injection Los lectores de feed también son vulnerables a ataques XSS y CSRF. Actúan de diferente manera: Lectores tratan '<' y '>' como literales. Lectores cambian entidades html a sus valores reales. Ademas copian en disco. Lectores evaden un tipo de feed, pero caen en otro.
27 Blind SQL Injection Usa la misma vulnerabilidad de SQL Injection simple. En vez de ir recopilando información de los errores, compara la respuesta de la db frente a dos peticiones. Útil cuando el servidor no entrega información. Su lógica es preguntar al servidor y de acuerdo a la respuesta tomar caminos diferentes.
28 Otros nuevos muchachos Xpath Injection LDAP Injection
29 Previniendo..
30 Previniendo.. Cross-Site Scripting (XSS) Caracteres no alfanúmericos no interpretarlos (entidades html). Para la validación, aceptar lo que concuerda con el patrón y lo demás negarlo ( white-listing ). Validar input y sobre todo output. Como usuario, desactivar la carga de scripts no provenientes de la página que visitamos. Fijarnos a lo que lleva cada link o imagen.
31 Previniendo.. Inyección SQL Validación correcta de las variables que serán parte de la consulta. Ocupar funciones destinadas a cada motor de base de datos. Ser cauteloso con la salida de errores. Privilegios mínimos del usuario que accede a la bd. Uso de consultas parametrizadas.
32 Previniendo.. Inclusión de Archivos No llamar archivos de sitios de terceros. Si las páginas son llamadas por GET, hacer una contravalidación eficiente. Preferir el uso de constantes que de variables. Funciones como basename() previenen inclusiones locales (Divergencia entre SO).
33 Previniendo.. Ejecución de comandos Ocupar funciones que provee PHP para prevenir comandos no deseados. Limitar uso de recursos para no consumir al servidor. Limitar comandos al uid de Apache( mediante PATH o permisos)
34 Previniendo.. Cross-Site Request Forgery (CSRF) Uso de token especial CAPTCHA Redirección POST sobre GET
35 Previniendo.. Generalidades Cuidado con los errores (Path Disclosure, XSS, etc). No confiar 100% en herramientas externas. Estar al tanto de nuevos vectores de ataque. Tener claro que funciones son peligrosas de usar y evitar su uso.
36 Medidas en el servidor
37 Medidas en el servidor Apache Denegar acceso a archivos fuente (*.inc, *.phps, *.bak, etc). Buena configuración de timeouts y conexiones para evitar DoS.
38 Medidas en el servidor PHP Modo seguro (safe_mode). No permitir páginas de terceros (allow_url_fopen). No variables globales. No magic_quotes_gpc. Cuidado con llamadas a sistema. Cuidado uploads. Guardar información delicada en el servidor y no en archivos (db info).
39 Medidas en el servidor Postgresql Configurar permisos claros para los usuarios. Si no es necesario, bloquear conexión remota a la bd.
40 Medidas en el servidor A tener en cuenta.. Restringir Google Hacking. Usar otra capa de seguridad (mod_security, grasp core, suhosin). Entre hosting dedicado y compartido, dedicado. Estar al tanto de nuevas versiones del software ocupado. Tener conciencia de seguridad.
41 Medidas en el servidor A tener en cuenta.. Restringir Google Hacking. Usar otra capa de seguridad (mod_security, grasp core, suhosin). Entre hosting dedicado y compartido, dedicado. Estar al tanto de nuevas versiones del software ocupado. Tener conciencia de seguridad.
42 Links
43 Preguntas?
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesS E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Más detallesSu Seguridad es Nuestro Éxito
Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio
Más detallesCurso Online. Desarrollo Seguro en Java
Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por
Más detalles################## # Cross Site Scripting [XSS] # Autor: sl4xuz # Contact: sl4x.xuz@gmail.com ##################
################## # Cross Site Scripting [XSS] # Autor: sl4xuz # Contact: sl4x.xuz@gmail.com ################## [~] Indice [~] 0x01 - Introducción 0x02 - Qué es XSS? 0x03 - Casos en que se presenta XSS
Más detallesLa utilización de las diferentes aplicaciones o servicios de Internet se lleva a cabo respondiendo al llamado modelo cliente-servidor.
Procesamiento del lado del servidor La Programación del lado del servidor es una tecnología que consiste en el procesamiento de una petición de un usuario mediante la interpretación de un script en el
Más detallesDOCS. Pautas básicas para el DESARROLLO DE PLUGINS
Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesCross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es
Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,
Más detallesPolítica de cookies. la utilización de cookies en las webs y aplicaciones de PERSONLIG-GUIDE-
Política de cookies Uso de cookies en las webs y aplicaciones de PERSONLIG-GUIDE- MALLORCA En cumplimiento de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
Más detallesUn laboratorio bajo lupa
Un laboratorio bajo lupa Claudio Salazar Security Research Team (cc) pablolizardo Una estructura común Root Ayudantes Ayudantes Ayudantes Ayudantes Usuario Usuario Usuario Usuario Usuario Usuario Usuario
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales
Más detallesARE YOUR WEB VULNERABLE?
CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML
Más detalleshttp://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com
XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com Conceptos XSS: (Cross Site Scripting) tipo de vulnerabilidad surgida como consecuencia de errores de filtrado de las entradas del usuario en aplicaciones
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesAtaques a Aplicaciones de Bases de Datos
Ataques a Aplicaciones de Bases de Datos Esteban Martínez Fayó Argeniss (www.argeniss.com) ekoparty security conference Noviembre 2007 Buenos Aires, Argentina Agenda Introducción a la seguridad en Bases
Más detallesb1010 formas de escribir código (in)seguro
b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection
Más detallesMINT A NIVEL BROSERW CON BEEF
MINT A NIVEL BROSERW CON BEEF Y METASPLOIT Como usuario seguimos con las mismavulnerabilidades 17 DE ABRIL DEL 2015 SANTA CRUZ BOLIVIA WALTER CAMAMA MENACHO About Me About Me - Ingeniero de sistemas Universidad
Más detallesUNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection
UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del
Más detallesDetectar y solucionar infecciones en un sitio web
Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales
Más detallesMANUAL DE USUARIO. Webservice simple para la exportación rápida de información proveniente de una base de datos. Versión 0,1,1
MANUAL DE USUARIO Webservice simple para la exportación rápida de información proveniente de una base de datos Versión 0,1,1 Jorge Iván Meza Martínez INTRODUCCIÓN Esta aplicación permite
Más detallesInternet Information Server
Internet Information Server Internet Information Server 5.0 es un servidor web, que incluye los servicios de HTTP, HTTPS, FTP, SMTP (correo saliente) y NNTP (grupos de noticias). Además es capaz de ejecutar
Más detallesSeguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Más detallesDesarrollo seguro en Drupal. Ezequiel Vázquez De la calle
Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal
Más detallesToda base de datos relacional se basa en dos objetos
1. INTRODUCCIÓN Toda base de datos relacional se basa en dos objetos fundamentales: las tablas y las relaciones. Sin embargo, en SQL Server, una base de datos puede contener otros objetos también importantes.
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesQuienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)
CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesÍndice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.
Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar
Más detallesCorreo Electrónico: Webmail: Horde 3.1.1
CONTENIDOS: PAGINA Qué es Webmail?. 2 Acceder a Webmail. 2 Instilación del Certificado UCO. 4 Instilación Certificado I.explorer. 4 Instilación Certificado Firefox. 7 Opciones Webmail. 8 Opciones Información
Más detallesMontando Web for Pentester en VirtualBox
.es Montando Web for Pentester en VirtualBox I .es Contenidos VirtualBox... 2 Instalación de VirtualBox... 2 Web for Pentester... 8 Instalación de Web for Pentester... 8 II .es VirtualBox Descripción Oracle
Más detallesGuía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
Más detallesAGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web
Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas
Más detallesINYECCIóN DE CóDIGO EN APLICACIONES PHP. Autor: Iñaki Rodriguez (2005) (mra@euskalnet.net)
INYECCIóN DE CóDIGO EN APLICACIONES PHP Autor: Iñaki Rodriguez (2005) (mra@euskalnet.net) 0 - Introducción Este sencillo artículo nos introduce un poco en el mundo de las auditorías de aplicaciones web.
Más detallesPROGRAMACIÓN PÁGINAS WEB CON PHP
PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesTipos de Cookies utilizadas en este sitio web
Uso de las cookies Este sitio web utiliza las Cookies para hacer simples y eficientes los propios servicios para los usuarios que visitan las páginas del sitio. Los usuarios que visitan el Sitio verán
Más detallesAuditoría de Seguridad
Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad
Más detalleshttp://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273
Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de
Más detallesRoberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014
Roberto Garcia Amoriz Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ c_b_n_a QUIEN SOY Roberto García Amoriz: trabajaba como Administrador
Más detallesNOTA:Necesario verificar el nombre de nuestro Servidor-Equipo en donde está nuestro sistema gestor de base de datos.
Instrucciones para corrección del error conexión PHP-SqlServer Como habíamos platicado en clase, les comente acerca de la conexión posible de SQL Server mediante un script de PHP, en este caso solo lo
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesSeminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com
Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos
Más detallesPrograma de Ayuda EMCS Instalación Versión SQL Server Versión 1.0 - Marzo 2010
Programa de Ayuda EMCS Instalación Versión SQL Server Versión 1.0 - Marzo 2010 Programa de Ayuda EMCS Instalación Versión SQL Server Tabla de Contenido 1 INSTALACIÓN EN EL SERVIDOR...3 1.1 CREAR LA BASE
Más detallesContenidos. Procedimientos iniciales... 3. Análisis del equipo para detectar archivos perjudiciales... 5. Qué es un cortafuegos...
Contenidos Procedimientos iniciales... 3 Cómo asegurarse de que el equipo está protegido... 3 Iconos de estado de protección... 3 Desinstalación... 4 Análisis del equipo para detectar archivos perjudiciales...
Más detallesCurso de Programación PHP
Curso de Programación PHP Presentación : PHP es el lenguaje de programación más usado en los servidores de Internet debido a su potencia, velocidad de ejecución y simplicidad que lo caracterizan. Este
Más detallesBypass WAFs KUNAK CONSULTING. Automatizando SQLi con Python. Omar Palomino. omarc320@gmail.com. opalomino@kunak.com.pe. http://www.el-palomo.
Bypass WAFs KUNAK CONSULTING Automatizando SQLi con Python Noviembre, 2013 Omar Palomino omarc320@gmail.com opalomino@kunak.com.pe ÍNDICE 1.Inyecciones SQL 2.Inyecciones manuales vs herramientas 3.Nuevos
Más detallesRETO HACKER DE VERANO
RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,
Más detallesIntroducción a PHP. * No es necesario declarar previamente las variables.
Introducción a PHP La programación de sitios web cada día está más orientada al desarrollo de páginas dinámicas y aplicaciones, o sea sitios donde el usuario pueda interactuar con la web. Dentro de los
Más detallesProgramación páginas web con ASP.NET 3.5 (C#)
Horas de teoría: 40 Horas de práctica: 40 Programación páginas web con ASP.NET 3.5 (C#) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript
Más detallesLa inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.
Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato
Más detallesCookies: qué son y para qué sirven
Cookies: qué son y para qué sirven Desde hace un tiempo las webs nos indican con mensajes que utilizan cookies propias de terceros. Muchos usuarios aceptan el mensaje sin más por el simple hecho de que
Más detallesAplicaciones seguras con ClaseSeguridad
Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar
Más detallesUNIVERSIDAD DE OVIEDO
UNIVERSIDAD DE OVIEDO ESCUELA POLITÉCNICA DE INGENIERÍA DE GIJÓN MÁSTER EN INGENIERÍA INFORMÁTICA TRABAJO FIN DE MÁSTER SPRING ROO ADD-ONS PARA PROTOTIPADO RÁPIDO JAVIER MENÉNDEZ ÁLVAREZ JULIO 2014 UNIVERSIDAD
Más detallesTeléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.
Como identificar phishing Sobre CSIRT-cv CSIRT-cv es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesInternet Information Server
Internet Information Server Internet Information Server (IIS) es el servidor de páginas web avanzado de la plataforma Windows. Se distribuye gratuitamente junto con las versiones de Windows basadas en
Más detallesPOLITICA DE COOKIES. 1. Al abrir el navegador, pincha herramientas en la parte superior y selecciona la pestaña de opciones.
POLITICA DE COOKIES 1.- Información El acceso a este sitio web puede implicar la utilización de cookies. Las cookies son pequeñas cantidades de información que se almacenan en el navegador utilizado por
Más detallesProgramación Aplicada II Ing. Héctor Abraham Hernández
Programación Aplicada II Ing. Héctor Abraham Hernández Guía #7 Fecha: 28/02/2011 Introducción al Visual Web Developer 2008 Objetivo: Conocer cual es el ambiente de web Developer. Microsoft Visual Web Developer
Más detallesFORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.
FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING
Más detallesLOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org
LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo
Más detallesAño 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS
Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING Curso Oficial de Certificación ENHACKE CURSOS enhacke Certificate in WebApp Pentesting ECWAP OBJETIVO GENERAL Capacitar al asistente con los conceptos
Más detalles1. Qué hacemos con la información encontrada en Internet? 2. De cuántas maneras se puede guardar una información?
GUARDAR LA INFORMACIÓN DE INTERNET (Tutoriales) 1. Qué hacemos con la información encontrada en Internet? Si encontramos información interesante en la red podemos guardarla. 2. De cuántas maneras se puede
Más detallesConfiguracion Escritorio Remoto Windows 2003
Configuracion Escritorio Remoto Windows 2003 Instalar y configurar servicio de Terminal Server en Windows 2003 Fecha Lunes, 25 diciembre a las 17:04:14 Tema Windows (Sistema Operativo) Os explicamos cómo
Más detallesEn la nueva versión encontrarás
En la nueva versión encontrarás Captcha en el login p.4 Páginación configurable en secciones p.4 Ordenación de noticias en Modo Blog por secciones p.6 Galería de imágenes dentro de una noticia p.6 Inclusión
Más detallesObjetivo: Introducción conceptual y aplicación básica de los lenguajes del lado del servidor.
Sesión 03: Lenguajes web del servidor Competencias a Conseguir: - Conocer el entorno de trabajo a nivel de servidores web. - Instalación del localhost (Servidor Local). - Repaso general de PHP y ejercicios
Más detallesWDpStats Procedimiento de instalación
WDpStats Procedimiento de instalación Tabla de contenidos WDpStats... 1 Procedimiento de instalación... 1 Tabla de contenidos... 1 Resumen... 2 Requisitos... 2 Instalación... 2 Dificultades... 6 Ejecución...
Más detallesIDENTIFICACIÓN DE LA ACTIVIDAD PEDAGÓGICA
Página1 PROGRAMA DE FORMACIÓN UNIDAD DE APRENDIZAJE ACTIVIDAD OBJETIVOS IDENTIFICACIÓN DE LA ACTIVIDAD PEDAGÓGICA OFIMATICA Y AUXILIAR DE SISTEMAS II-A GESTORES DE CONTENIDO INSTALACIÓN DE SERVIDORES WEB
Más detallesARANZADI INFOLEX COPIAS DE SEGURIDAD.
ARANZADI INFOLEX COPIAS DE SEGURIDAD. En este Documento se explica como realizar Copias de Seguridad en Infolex 7. Se debe tener en cuenta que Infolex 7 es una aplicación que trabaja con un motor de Base
Más detallesFormas de llevar a cabo un backup de una base de datos MySQL
Formas de llevar a cabo un backup de una base de datos MySQL Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Muchas aplicaciones web hacen uso de bases de datos donde
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesPLATAFORMA VIRTUAL BASADA EN MOODLE
PLATAFORMA VIRTUAL BASADA EN MOODLE GUIA PARA LOS ALUMNOS GUIA PARA LOS ALUMNOS El siguiente documento es un manual de usuario para los alumnos en general, que pertenezcan a la Plataforma Virtual basada
Más detallesFundamentos de programación Estudia las estructuras de control y cómo definir funciones en JavaScript.
Descripción: Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología ASP.NET y el servidor
Más detallesMANUAL DE INSTALACIÓN
http://tauproject.sourceforge.net MANUAL DE INSTALACIÓN Proyecto TAU 2 de Octubre de 2008 Versión 1.0 del 02/08/2008 1 1 OBJETO El presente documento, tiene como objeto describir el proceso de instalación
Más detallesDOCENTES FORMADORES UGEL 03 PRIMARIA
DOCENTES FORMADORES UGEL 03 PRIMARIA 1. Recursos y Aplicaciones del Servidor La página de inicio del servidor (http://escuela) contiene los enlaces a las aplicaciones instaladas en el servidor, un enlace
Más detallesabacformacio@abacformacio.com
Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesTema 4: Tecnologías Web Java
Tema 4: Tecnologías Web Java Introducción Aplicación web Aplicación que corre en al menos un servidor y a la que el usuario accede desde un cliente de propósito general (ej.: navegador en un PC, teléfono
Más detallesEstándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web
Secretaría de Planificación Estratégica Oficina de Informática Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web VERSIÓN 4 Julio 2009 Índice 1. Generalidades... 3 1.1
Más detallesManual del panel. Core-Admin
Manual del panel Core-Admin - Manual del panel Core-Admin ÍNDICE 1. Introducción...3 2. Requisitos iniciales...3 2.1. Navegadores soportados...3 2.2. Javascript y Java...3 3. Usar Core-Admin...3 3.1. Acceder
Más detallesGuia rápida EPlus Cliente-Servidor
Guia rápida EPlus Cliente-Servidor Esta guía permitirá al usuario instalar la aplicación e-plus, para firmar y declarar sus trámites a través de acceso remoto. CONSIDERACIONES GENERALES.- El software eplus
Más detallesEvaluación, Reestructuración, Implementación y Optimización de la Infraestructura de Servidores, Base de Datos, Página Web y Redes
Propuesta de Trabajo Instrumental de Grado Evaluación, Reestructuración, Implementación y Optimización de la Infraestructura de Servidores, Base de Datos, Página Web y Redes Mayo 2010 Quienes Somos Elecven
Más detallesCAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS
Capitulo 6. Sistema de Detección de Intrusos con Redes Neuronales. 69 CAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS USANDO REDES NEURONALES. En este capítulo se realiza la preparación adecuada de toda la
Más detallesStudium, Campus Virtual de la Universidad de Salamanca.
Studium, Campus Virtual de la Universidad de Salamanca. Contenidos 1 Qué es Studium 2 Instalación de Studium en USAL 3 Atención a los usuarios 4 Instalación Moodle. MoodleWindowsInstaller 5 Moodle portable
Más detallesManual de configuración navegador Mozilla Firefox
Manual de configuración navegador Mozilla Firefox Guía de configuración del navegador Mozilla Firefox para un correcto funcionamiento con la Banca electrónica de particulares ÍNDICE 0. Introducción 1.
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesENTORNO DE DESARROLLO MICROSOFT.NET 2010
ENTORNO DE DESARROLLO MICROSOFT.NET 2010 UNIDAD 2 Estructura de contenidos: 1. Conociendo ASP 2. Sitio Web y Proyecto Web 3. WebForm 4. Características de los webforms 5. Entorno del.net 6. Controles básicos
Más detallesAtaques más comunes. Virginia Armas Alejandro Do Nascimiento
Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion
Más detallesDISEÑO DE PÁGINAS WEB ING. CIP EDGAR CRUZ
DISEÑO DE PÁGINAS WEB ING. CIP EDGAR CRUZ Qué es? Es un documento o información electrónica capaz de contener texto, sonido, vídeo, programas, enlaces, imágenes, y muchas otras cosas, adaptada para la
Más detallesManual Terabox. Manual del usuario. Versión 1.0.0. 2014 Telefónica. Todos los derechos reservados. http://telefonica.com.ar
Manual del usuario Versión 1.0.0 2014 Telefónica. Todos los derechos reservados. http://telefonica.com.ar 1 1 Índice 1 Índice... 2 2 Terabox... 3 3 Instalación de Terabox... 4 4 Configuración y uso de
Más detallesInstituto Tecnológico de Las Américas (ITLA)
Instituto Tecnológico de Las Américas (ITLA) Sistema Operativo 3 (SO3) Abel Eliezer Mejía Amador Matricula: 2011-3891 How to: Servidor FTP Servidor FTP El protocolo FTP (File Transfer Protocol) es una
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesModulo I. Introducción a la Programación Web. 1.1 Servidor Web.
Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Antes de analizar lo que es un servidor Web y llevara a cabo su instalación, es muy importante identificar diferentes elementos involucrados
Más detallesPOLITICAS DE USO Y ABUSO
POLITICAS DE USO Y ABUSO Copias de Seguridad Webcol Group (webcol.net) realiza copias de seguridad diarias en todos los sitios web para asegurar que archivos críticos nunca se pierdan. Sin embargo Webcol
Más detallesAGREGAR COMPONENTES ADICIONALES DE WINDOWS
INSTALACIÓN DE IIS EN WINDOWS XP El sistema está desarrollado para ejecutarse bajo la plataforma IIS de Windows XP. Por esta razón, incluimos la instalación de IIS (Servidor de Web) para la correcta ejecución
Más detalles