Seguridad en Aplicaciones Web

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad en Aplicaciones Web"

Álvaro Moreno Roldán
hace 10 años
Vistas:

1 Seguridad en Aplicaciones Web

2 Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad

3 Aplicaciones Web Actuales Cada vez más complejas Muchas tecnologías diferentes Más críticas para el negocio

4 Tecnologías Web HTML5, CSS3, JavaScript SQL, NoSQL PHP, Java,.Net WebServer, S.O, Hardware

5 OWASP Top

6 Diez vulnerabilidades NO requieren diez medidas de seguridad

7 Validación de Entrada Diferenciar Datos Fiables de No Fiables Definir los tipos de datos esperados Validar que cumplan con los requisitos Filtrar los datos que no los cumplan

8 Validación de Entrada: Datos Fiables vs No Fiables Fiables: Totalmente controlados por la aplicación, no pueden ser manipulados por ninguna entidad externa. No Fiables: Todos los otros datos.

9 Validación de Entrada: Tipos de Dato Esperados Direcciones de Números de Teléfono Archivos de Imagen Texto Libre etc...

10 Validación de Entrada: Filtrado de Datos Muchas librerías disponibles Java OWASP ESAPI PHP Filters Librerías propias (último recurso!)

11 Validación de Entrada: PHP Filters if(filter_var($ , FILTER_VALIDATE_ )) { echo OK ; } else { echo ERROR ; }

$FILTER_VALIDATE_EMAIL)) {$

12 Validación de Entrada: PHP Filters Filtros: Indican si un valor cumple con ciertos criterios (ej.: Dirección de válida) Saneadores: Modifican los valores para ajustarlos a ciertos criterios (ej.: Escapar caracteres especiales HTML)

: Dirección de email válida) Saneadores: Modifican los

13 Validación de Entrada: Vulnerabilidades Asociadas A1: Inyección (SQL, LDAP, Comandos, etc) A3: Cross Site Scripting (XSS) A10: Redirecciones y Reenvíos no validados

14 Validación de Acciones Verificar la integridad de los datos (y sesiones) Verificar el acceso a los datos de la aplicación Verificar las peticiones realizadas por los usuarios

15 Validación de Acciones: Integridad de Sesiones Desde qué IP o zona fue iniciada? Qué navegador se utilizó para iniciarla? Expirar sesiones (y no permitir simultáneas) Usar identificadores únicos e irrepetibles

16 Validación de Acciones: Acceso a Datos Establecer un único canal de acceso a los datos Verificar que el usuario tenga permisos de acceso

17 Validación de Acciones: Peticiones de Usuario Controlar el acceso a las funciones Comprobar permisos de usuario Comprobar acciones personales (ej. PassReset)

18 Validación de Acciones: Vulnerabilidades Asociadas A2: Pérdida de autentic. y gestión de sesiones A4: Referencia directa insegura a objetos A6: Exposición de datos sensibles A7: Ausencia de control de acceso a funciones A8: Falsific. de petic. en sitios cruzados (CSRF)

y gestión de sesiones A4: Referencia directa insegura a objetos A6:

19 Gestión de Cambios Documentar los cambios de configuración Configurar en base a mejores prácticas Aplicar actualizaciones a todos los componentes

20 Gestión de Cambios: Documentar Cambios Pequeños cambios pueden tener grandes efectos Es una tarea poco feliz, pero necesaria Excluyente en entornos con más de un SysAdmin

21 Gestión de Cambios: Seguir las Mejores Prácticas Bien probadas y documentadas Desarrolladas por personas muy capacitadas Facilitan la solución de problemas

22 Gestión de Cambios: Aplicación de Parches Mejora la estabilidad de los sistemas Nos protege contra vulnerabilidades conocidas Evita que los sistemas queden obsoletos

23 Gestión de Cambios: Vulnerabilidades Relacionadas A5: Configuración de Seguridad Incorrecta A9: Uso de componentes con vulnerab conocidas

24 Denegación de Servicio Simples (DoS) Distribuídos (DDoS) Relativamente fáciles de realizar

25 Denegación de Servicio

26 Denegación de Servicio: Infraestructuras Distribuídas

27 Herramientas de Auditoría Simplifican el proceso de auditoría Permiten reportar fácilmente a la gerencia No requieren grandes conocimientos

28 Herramientas de Auditoría: Zed Attack Proxy (ZAP) Open Source Multiplataforma (Java) Desarrollado por OWASP Fácil de Utilizar Super Potente

29 Herramientas de Auditoría: Zed Attack Proxy (ZAP)

30 Herramientas de Auditoría: Algunas de las Mejores BurpSuite ( Vega ( Arachni ( scanner.com)

31 Filtrado Dinámico de Tráfico Intrusion Prevention Systems (IPS) Threat Intelligence Web Application Firewalls

32 Filtrado Dinámico de Tráfico Intrusion Prevention Systems Reglas de firewall en base al tráfico habitual Bloqueo de violaciones a los protocolos Detección de ataques en base a firmas

33 Filtrado Dinámico de Tráfico Threat Intelligence Actualiza los Firewalls e IPS automáticamente Toma como fuente ataques globales Trabajan de forma colaborativa

34 Filtrado Dinámico de Tráfico Web Application Firewalls Dedicados a las aplicaciones web Bloquean ataques conocidos y nuevos Fáciles de implementar (si, fáciles)

35 Web Application Firewalls Análisis ZAP (On / Off)

36 Web Application Firewalls Análisis Vega (On / Off)

37 Filtrado Dinámico de Tráfico Herramientas Recomendas Firewall: IPTables IDS/IPS: Snort / Suricata WAF: ModSecurity + ModEvasive Threat Intelligence: Emerging Threats

38 Desarrollo Seguro Seguridad en el proceso de desarrollo Capacitación a los desarrolladores Entender que es tiempo INVERTIDO

39 Desarrollo Seguro: OWASP Development Guide Recurso fundamental sobre el tema Acceso Gratuito Version en Español

40 Desarrollo Seguro: Vulnerabilidades Asociadas A1: Inyección (SQL, LDAP, Comandos, etc) A2: Pérdida de autentic. y gestión de sesiones A3: Cross Site Scripting (XSS) A4: Referencia directa insegura a objetos A6: Exposición de datos sensibles A7: Ausencia de control de acceso a funciones A8: Falsific. de petic. en sitios cruzados (CSRF) A10: Redirecciones y Reenvíos no validados

41 Preguntas?

42 MUCHAS GRACIAS! Fabian Portantier Coordinador Carrera Seguridad Informática Argentina, Capital Federal (54) (011) Todas las marcas y logos utilizados en la presentación son propiedad de sus respectivos propietarios

Documentos relacionados

El estado actual de la Seguridad Informática. El Estado Actual de la Seguridad Informática

El Estado Actual de la Seguridad Informática Fabian Martinez Portantier Consultor en Seguridad Informática Co-Fundador de Securtia (www.securetia.com) Instructor y Escritor sobre el tema Coordinador de