23-setiembre Cristian Cappo Facultad Politécnica, UNA
|
|
- María Teresa Camacho Agüero
- hace 8 años
- Vistas:
Transcripción
1 23-setiembre-2009 Cristian Cappo Facultad Politécnica, UNA En el marco de la VIII Exposición Tecnológica y Científica 2009
2 Cristian Cappo: Graduado de la Facultad Politécnica de la Universidad Nacional de Asunción (FPUNA) en Análisis de Sistemas Informáticos. Profesor de la FPUNA (desde el año 1999): Algoritmos y Estructura de Datos (Ing. Informática) Algoritmos (fundamentos de programación) (Ing. en Electrónica) Estructura de los lenguajes (Lic. en Ciencias Informáticas) Actualmente docente e investigador a tiempo completo de la Universidad Nacional de Asunción (DITCoDE ) y alumno de doctorado del Programa de Posgrado en Informática de la FPUNA (desde julio/2009)
3 1. Aplicaciones y arquitectura web 2. Problemas, vulnerabilidades y ataques 3. Lidiando con las vulnerabilidades 3.1 Análisis estático 3.2 Detección de intrusión. Generalidades 3.3 Detección de intrusión en aplicaciones web 4. Investigación en el área - FPUNA
4 Success is foreseeing failure El éxito es prever el fracaso Henry Petrosky Colapso del puente Tacoma Narrow (USA-1940)
5
6 Son aplicaciones que utilizan la infraestructura web para su funcionamiento, por ejemplo Internet. La web se ha convertido en el medio natural para desplegar los servicios de software Existen actualmente cerca de 30 mil millones de sitios web indexados (agosto/2009) por Google, Msn, Yahoo y Ask ( Es raro que un sitio web NO tenga al menos una aplicación que tenga capacidad de generar contenido dinámico y de recibir datos de sus potenciales usuarios.
7 Las aplicaciones para web son fáciles de construir, desarrollar y desplegar.
8 Ventajas Basado en un protocolo simple como HTTP (ligero y sin estado) Solo se requiere de un navegador (browser) Los navegadores ofrecen todo lo necesario para construir interfaces atractivas a los usuarios. Además es posible hacer parte (a veces bastante) del procesamiento del lado cliente. La tecnología y los entornos de desarrollo de las aplicaciones se están volviendo relativamente simples. Existen numerosas herramientas de acceso gratuito y otros recursos para incorporar a las aplicaciones propias.
9 Esquema básico/usual del entorno web Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80
10 Todas las transacciones HTTP siguen el mismo formato. Cada solicitud del cliente (request) y la respuesta del servidor (response) tienen tres partes: la línea request o response, una cabecera (header) y un cuerpo (body).
11 Métodos HTTP básicos Método Descripción Body? GET Solicitar un documento del servidor No HEAD Solicitar solo el header del servidor No POST Enviar datos al servidor para su procesamiento Si PUT Guardar el cuerpo del request en el servidor Si TRACE OPTIONS Mostrar la traza del mensaje a través de los proxys al server Determina que métodos están habilitados en el servidor DELETE Borra un documento del servidor No No No
12
13
14 HTTP no fue diseñado para aplicaciones El desarrollo de aplicaciones web es desordenado. Las aplicaciones web de por sí, no son seguras. La seguridad en esta área aún es joven. Generalmente los servidores web no proveen buenas herramientas de monitoreo. Existe una conciencia que esta aumentando pero hay un largo camino a recorrer.
15 Así como hay un aumento de número de aplicaciones también crecen los problemas de seguridad debido fundamentalmente a: Conocimientos insuficientes sobre seguridad Tiempo de desarrollo e implementación muy ajustados. Por tanto Aumento en número y severidad de los huecos de seguridad en las aplicaciones: AUMENTO DE VULNERABILIDADES.
16 Hacer lo correcto desde el principio es lo mejor Los desarrolladores deben diseñar y construir software seguro.!la seguridad es ahora parte de la programación! Pero No es posible 100% de seguridad. Se usa productos de terceros del que no se conoce su calidad y en particular su seguridad. Debemos convivir con sistemas que ya están funcionando (sistemas heredados)
17 Si es posible mejorar el software, debe hacerse! Pero es probable que se tenga que aumentar la seguridad desde el exterior y no es fácil. Se debe colocar aplicaciones inseguras en entornos seguros Debe usarse un modelo de amenazas en la implementación para determinar los huecos. Las deficiencias de arquitectura deben ser corregidas. Se debe limitar la exposición a través de un correcto diseño de red.
18 Aspectos a tener sobre seguridad: Monitoreo: Conocer que esta ocurriendo Buenas herramientas del sistema operativo Detección: Conocer cuando existe un ataque Intrusion Detection Systems Prevención: Detener el ataque antes que logre su objetivo Intrusion Prevention Systems Evaluación: Descubrir los problemas antes que los atacantes Análisis estático
19 Principios básicos de seguridad en las aplicaciones web No confiar en la entrada del usuario Revisar huecos de lógica Brindar solo la información necesaria Construir y probar para soportar la carga Carga potencial esperada Ataques de DoS (Denegación de servicio)
20 Firewall DataBase DataBase Cliente Web Servidor Web App - Web App - Web DataBase Tráfico HTTP GET /login.pl?user= Puerto 80 El firewall no puede contrarrestar ataques que vienen en el contenido de los paquetes HTTP (que es puerto abierto)
21 Descubrimiento Examinar el entorno (nmap por ejemplo) Identificar puertos abiertos (port scan) Descubrimiento de tipo y versiones de las aplicaciones Generar y examinar errores Mediante entradas ridículas que provoquen errores Son útiles los errores de base de datos y los trazos de ejecución (stack trace). Encontrar información detrás (código fuente, comentarios, campos ocultos, etc). Definición del objetivo (target) Mecanismo de login Campos de entrada Manejo de sesiones (cookies) Infraestructura Y más
22 Qué es una vulnerabilidad? Es una debilidad o hueco de seguridad que posee una aplicación la que puede ser aprovechada o explotada de forma malintencionada por un atacante y violar así la seguridad del sistema.
23 Open Web Application Security Project (Proyecto Abierto de Seguridad en Aplicaciones Web) Organización que se dedica a ayudar a entender y mejorar la seguridad en las aplicaciones y servicios web. OWASP Guide to Building Secure Web Applications, Lista las diez vulnerabilidades más importantes dadas en aplicaciones web. El último reporte es del OWASP Top Tiene relación con CVE (Common Vulnerability and Exposures ( cve.mitre.org ) ) : identificación, codificación y registro de vulnerabilidades. Cerca de 50% de las vulnerabilidades registradas corresponden a aplicaciones web.
24
25 1. Secuencia de Comandos en Sitios Cruzados (XSS). 2. Fallas de inyección 3. Ejecución de ficheros malintencionados 4. Referencia insegura y Directa a objetos 5. Falsificación de Petición de Sitios Cruzados (CSRF) 6. Revelación de información y gestión incorrecta de errores. 7. Pérdida de autenticación y gestión de sesiones. 8. Almacenamiento criptográfico inseguro. 9. Comunicaciones inseguras 10. Falla de restricción de acceso a URL.
26 1) Secuencia de Comandos en Sitios Cruzados (XSS) La aplicación puede ser usada como un mecanismo para transportar un ataque al usuario final con un navegador. El navegador del usuario no tiene forma de conocer que el script es no validado o malicioso, y lo ejecuta. Puede acceder a cookies, tokens de sesión o información sensible guardada en el navegador. Eventualmente pueden reescribir totalmente el contenido de la página HTML.
27 Pueden ser categorizados en dos clases Permanentes: Se guardan en el servidor, como por ejemplo una base de datos, en un foro, en un blog, comentario, etc. Requiere que la víctima acceda al sitio web contaminado. Reflejados El código inyectado es reflejado fuera del servidor, tal como un mensaje de error, resultado de búsqueda, o cualquier otra respuesta que incluya alguno o todas las entradas enviadas al servidor como parte de la petición.
28 Consideremos de siguiente script Perl $query = new CGI; Entrada no validada $directory = $query->param( msg ); print <html><body> <form action= displaytext.pl method= get > $msg <br> <input type= text name= txt > <input type= submit value= OK > </form></body></html> ; Si se le invoca text.pl?msg=hola Mundo entonces vemos lo siguiente:
29 El código anterior es vulnerable a XSS. La entrada no es validada por tanto puede inyectarse código en la página Si introducimos en el URL text.pl?msg=<script>alert( Hola )</script> <html><body> <form action="displaytext.pl" method="get"> <script> alert("hola") </script> <br> <input type="text" name="txt"> <input type="submit" value="ok"> </form></body></html>
30 Usuario hace login El usuario solicita el URL malicioso al servidor El server responde con el script del atacante El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 El atacante envía un URL malicioso al usuario 2 6 El navegador del usuario envía el dato al atacante
31 Usuario hace login El usuario ve la respuesta del atacante El server responde con el script del atacante El atacante envía una respuesta conteniendo un script malicioso El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 6 El navegador del usuario envía el dato al atacante
32 2) Fallas de inyección La inyección ocurre cuando los datos proporcionados por el usuario son enviados e interpretados como parte de una orden o consulta. Existen varios tipos: SQL, LDAP, XPath, XSLT, XML, ordenes de sistemas operativos entre otros. El más común es la inyección de sentencias o comandos SQL.
33 Permite a los atacantes retransmitir código a través de la aplicación web a otro sistema vía SQL. Para aprovechar una vulnerabilidad de este estilo el atacante debe encontrar un parámetro que la aplicación utiliza para construir una consulta SQL. Las consecuencias son varias: Obtener información privada Corromper o destruir el contenido de un base de datos Ejecutar comandos del sistema operativo Y otros..
34 Consideremos el siguiente código perl $query = new CGI; $username = $query->param( username ); $password = $query->param( password ); $sql_command = select * from users where username= $username and password= $password ; $sth = $dbh->prepare($sql_command) No validado
35 Un atacante podría aprovechar esta vulnerabilidad: Agregar or 1=1 en el campo password, de forma que la consulta queda select * from users where username= juan and password= or 1=1 De esta forma el atacante logro acceder a la aplicación.
36 Otros ejemplos de código vulnerable: En PHP $sql = "SELECT * FROM table WHERE id = '". $_REQUEST['id ]. " "; En Java String query = "SELECT user_id FROM user_data WHERE user_name = '" + req.getparameter("userid") + "' and user_password = '" + req.getparameter("pwd") +"'";
37 Otras palabras claves a detectar Exec XP_ Exec SP_ OpenRowSet Execute inmediate UNION SELECT INSERT DELETE UPDATE
38 3) Ejecución de ficheros malintencionados En muchas plataformas, el entorno de trabajo permite el uso de referencias a objetos externos, como URLs o referencias al sistema de ficheros. Cuando los datos no son comprobados correctamente, esto puede llevar a que se incluya, procese o ejecute contenido arbitrario hostil y remoto por el servidor Web.
39 Permite a un atacante Ejecución remota de código Instalación remota de rootkits y así controlar el sistema completo. Comúnmente se da en sistemas que usan PHP (inclusión remota de archivos). El daño causado es proporcional a la fortaleza del aislamiento de la plataforma del entorno de trabajo. El siguiente fragmento de código PHP es vulnerable a inclusión remota: include $_REQUEST['filename ]; programa.php?filename=
40 4) Referencia insegura y Directa a objetos Ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación tales como un archivo, directorio, registro de la base de datos, o clave como un URL o un parámetro de formulario web
41 Ejemplo 1: <select name="language"> <option value="fr">français</option></select> require_once($_request['language ]."lang.php"); Este código puede ser atacado suministrando una cadena como../../../../etc/passwd%00 y acceder a archivos del sistema (fijarse que se inyectó el byte nulo %00 y así evitar que se añada otra cadena, lang.php en este caso)
42 Ejemplo 2: Un atacante puede explotar la vulnerabilidad probando con varios valores para una clave que está expuesta por la aplicación. int cartid = Integer.parseInt( request.getparameter("cartid" )); String query = "SELECT * FROM table WHERE cartid=" + cartid;
43 5) Falsificación de Petición de Sitios Cruzados (CSRF) Un ataque CSRF fuerza el navegador validado de una víctima a enviar una petición a una aplicación Web vulnerable, la que realiza la acción elegida a través de la víctima.
44 El usuario solicita al servidor la petición El server responde Usuario hace login a una aplicación El atacante utiliza el dato de la sesión del usuario para personalizarse 2 5 El usuario visita una página del atacante que tiene un CSFR El navegador del usuario envía el dato de la sesión al atacante
45 El servidor responde e incluye un cookie
46 El atacante ha inyectado un iframe
47 6) Revelación de información y gestión incorrecta de errores. Las aplicaciones pueden revelar, involuntariamente, información sobre su configuración, su funcionamiento interno, o pueden violar la privacidad a través de una variedad de problemas. Las aplicaciones Web suelen revelar información sobre su estado interno a través de mensajes de error detallados o de depuración. Esta información, a menudo, puede ser utilizada para lanzar, o incluso automatizar, ataques muy potentes.
48
49 7) Pérdida de autenticación y gestión de sesiones. Implican fallas en la protección de credenciales y tokens de sesión a través de su ciclo de vida. Se presentan habitualmente en las funciones auxiliares de autenticación como el cierre de sesión, gestión de contraseñas, expiración de sesión, recuérdame, pregunta secreta y actualización de la cuenta.
50 8) Almacenamiento criptográfico inseguro Se refiere a la falta de cifrar datos que son delicados ó aplicar algoritmos de criptografía mal diseñados. Ejemplo en PHP... $props = file('config.properties', FILE_IGNORE_NEW_LINES FILE_SKIP_EMPTY_LINES); $password = base64_decode($props[0]); $link = mysql_connect($url, $usr, $password); if (!$link) { die('could not connect: '. mysql_error()); }..
51 9) Comunicaciones inseguras Falta de uso de canales seguros como SSL que aseguren el cifrado de la comunicación y evitar que los atacantes puedan husmear en el tráfico de red.
52 10) Falla de restricción de acceso a URL. Se refiere a la protección que se debe dar a URLs que son delicadas. Normalmente solo se usa solo una restricción de visualización (seguridad por oscuridad) pero no es suficiente. Algunos ejemplos: URL ocultas o especiales suministradas solo a administradores. Archivos especiales ocultos. Código que evalúa privilegios en el cliente y no en el servidor.
53 Otras (en la versión OWASP 2004) - Desbordamiento de buffers (buffer overflow) - Su objetivo es corromper la pila de ejecución de una aplicación web y así poder ejecutar código malicioso. Normalmente aplicable a CGI y no a lenguajes interpretados (PHP, Perl, Java, JSP, etc). - Denegación de servicio (DoS) - Consumo de los recursos de tal forma que los usuarios lícitos no pueden acceder a los servicios. - Manejo inseguro de configuración - Configuración por defecto: usuarios, archivos, configuraciones, funciones.
54
55 En la etapa de desarrollo (estático) Utilizando analizadores estáticos de código En la etapa de producción (dinámico) Utilizando los detectores de intrusión
56
57 Permiten detectar vulnerabilidades en el proceso de construcción de la aplicación. Deben estar apoyados por una metodología que incluya revisiones de seguridad en cada etapa de construcción de la aplicación.
58 Existen herramientas que permiten encontrar vulnerabilidades (algunos ejemplos) LAPSE: Lightweight Analysis for Program Security in Eclipse (para Java) findbugs (para Java) Fortify Inc: Bibliografía: Secure Programming with static analysis. Brian Chess and Jacob West
59 Fortify Sw Inc. posee una página interesante donde puede encontrarse una lista de errores de programación y diseño en varios lenguajes de programación (
60
61 El número de incidentes de seguridad sigue creciendo, los administradores de redes y sistemas aplican de forma lenta las medidas correctivas. El desarrollo de mecanismos de seguridad como la autenticación y el control de acceso pueden ser deshabilitados como consecuencia de una mala configuración o de acciones maliciosas. Los usuarios de un sistema pueden abusar de sus privilegios y realizar acciones dañinas. Aún cuando un ataque no tuvo éxito es importante enterarse del intento.
62 Un sistema de detección de intrusión (IDS) es un software que detecta accesos sin autorización a una red de datos o un sistema computacional. Es capaz de detectar el tráfico malicioso en una red o el uso anormal de las computadoras. Un IDS es un entidad dinámica de monitoreo que complementa las habilidades de un firewall.
63 Organización de un IDS generalizado [Axelsson, 1998] Flujo de datos/control Respuesta a actividad intrusiva
64 Audit collection Recolectar los datos sobre la entidad monitoreada. Audit data storage: Módulo para guardar los datos que serán analizados. Analysis and detection Implementa los algoritmos de detección Configuration data Contiene información de configuración del detector. Por ejemplo: niveles de sensibilidad, tiempo de recolección, respuesta a las intrusiones, etc. Reference data Datos sobre ataques conocidos (signature) o perfil de funcionamiento del sistema (anomaly). Active/Processing data Datos de resultados parciales Alarm Es la parte que maneja la salida del IDS. Puede ser una respuesta automática a una intrusión o la emisión de una alerta al administrador de seguridad de la organización.
65 Firewall Servidor Web App - Web App - Web Servidor de Base de datos IDS Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80
66 Un IDS debe llenar los siguientes requerimientos [Dacier et al, 1999] Precisión No debe identificar una acción legítima como intrusiva (Una acción legítima identificada como falsa es llamada Falso- Positivo) Rendimiento Con posibilidad de reaccionar en tiempo real antes de que una intrusión tenga éxito. Completitud No debe fallar en detectar una intrusión (una intrusión no detectada es llamada falso-negativo). Tolerancia a fallas Un IDS debe ser resistente a ataques Escalabilidad: Un IDS debe ser capaz de procesar el número de eventos correspondiente al peor caso sin perder información.
67 Según su arquitectura NIDS ( Network IDS ) Se basan en el comportamiento de la red HIDS ( Host IDS ) Se basan en el comportamiento del servidor Según el abordaje de los algoritmos de detección Por plantilla o reglas (signature based) Por anomalía (anomaly based) Híbridos
68 Esta clasificación es debido a [Dacier et al, 1999] Método de detección Anomaly based y Signature based Comportamiento en la detección Pasivo y proactivo Localización de la fuente de auditoría NIDS y HIDS Frecuencia de uso Tiempo real y offline
69 Por plantilla o signature La información de auditoría que es analizada se compara con un conjunto predefinido de ataques (llamados plantillas o reglas o signatures). Ventajas Detección con bajo ratio de falsos positivos Identificación precisa del tipo de intrusión Protección inmediata De bajo consumo de recursos Desventajas Cada nuevo ataque requiere una actualización de la base de datos de plantillas No puede lidiar con ataques desconocidos o variaciones de los ya registrados (ataques polimórficos) La descripción de los ataques debe hacerse de forma muy precisa y detallada.
70 Por anomalía Se basan en que todas las actividades anómalas son maliciosas. Construyen un modelo del comportamiento normal, denominado perfil. Comparan entonces la información auditada con el perfil para establecer si existe o no una intrusión.
71 Detección por anomalía Ventajas Detección de ataques desconocidos Detección de ataques internos Es difícil para un atacante conocer a priori que actividad genera o no una alarma. Desventajas Generación de muchos falsos positivos El tiempo requerido para el entrenamiento El comportamiento de un ambiente monitoreado puede cambiar (luego del entrenamiento), por tanto se requiere re-entrenar. En el periodo de entrenamiento se puede incluir ataques.
72 Premisas de la detección por anomalía Una actividad intrusiva es un subconjunto de una actividad anómala. En un caso ideal coinciden. Pueden darse las siguientes combinaciones que caracterizan a un evento: Intrusivo pero no anómalo : falso negativo No intrusivo pero anómalo : falso positivo No intrusivo no anómalo: verdadero negativo Intrusivo y anómalo : verdadero positivo
73
74 Qué información necesitamos? Máquina origen Timestamp Método HTTP URI solicitado Paquete HTTP completo Un ataque puede encontrarse en: URI Cabecera HTTP del cliente Cookie En el cuerpo (consulta)
75 Detección por plantilla (signature) Es el método habitual y más sencillo de implementar. Dos principales detectores por signature existen en el mundo OpenSource - Snort (ww.snort.org) - mod_security (p/apache: Los de uso comercial son varios.
76 Detección por signature Ejemplo de una regla de SNORT para XSS Para un típico <script>alert(document.cookie)</script> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting attempt"; flow:to_server,established; content:"<script>"; nocase; classtype:web-application-attack; sid:1497; rev:6;) Para un típico ataque <img src=javascript> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting HTML Image tag set to javascript attempt"; flow:to_server,established; content:"img src=javascript"; nocase; classtype:web-application-attack; sid:1667; rev:5;)
77 Detección por signature Lo anterior puede ser evadido <a href="javascript#[code]"> <div onmouseover="[code]"> <img src="javas cript:[code]"> <xml src="javascript:[code]"> <img src=base64(amf2yxnjcmlwda==)>
78 Detección por signature Podemos mejorar usando una expresión regular /((\%3D) (=))[^\n]*((\%3c) <)[^\n]+((\%3e) >) Chequea la ocurrencia de : = seguido de uno o mas \n seguido de < o su equivalente hex. cero o mas / seguido de > o su equivalente hex.
79 Inconvenientes de la detección por signature Los desarrolladores asumen que los campos ocultos no cambian. Por tanto no puede detectar si hubo o no manipulación en estos campos. Por ejemplo, no puede escribirse una regla, cuando se cambia de un valor 200 a 2 (suponiendo que el campo sea precio).
80 Inconvenientes en la detección por signature(2) Ataques de fuerza bruta (password, identificadores, usuarios, etc). Ejemplo:
81 Inconvenientes en la detección por signature(3) No es posible indicar una regla que pueda detectar vulnerabilidades relacionados a la lógica de la aplicación. En algunos casos es preciso un mejor mecanismo. Considere el siguiente ejemplo y suponga que se encuentra en un mail o en un foro: <scri<s<script>crip>>alert(document.cookie) </scri</script>ip> Qué debería hacer el detector?
82 Detección por anomalía Suelen complementar los detectores por signature Una sola técnica no puede abarcar todos los posibles ataques. Normalmente se utilizan varias técnicas. Alguna técnicas utilizadas estan basadas en: Modelos estadísticos Técnicas de Machine Learning y Data Mining Computación inmunológica Procesamiento de señales Métodos basados en especificación Análisis de estados
83 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 ( University of California, Santa Barbara) Uno de los trabajos más citados en el área específica Modelo de Datos (solo la cadena de consulta)
84 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) Modelo de detección Utiliza seis modelos de detección que identifica una entrada anómala en un conjunto asociado a un programa particular. Cada modelo genera un valor de probabilidad que indica si la entrada guarda relación con el perfil normal. Para determinar el valor final (score) se usa la siguiente fórmula Cada modelo opera en dos fases: entrenamiento y detección
85 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Modelos: Longitud Distribución de caracteres Inferencia estructural Enumerador Presencia o ausencia de atributos Orden de los atributos
86 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Longitud Se basa en el hecho de que la longitud de ciertos atributos es fija o su variación es pequeña. Distribución de caracteres Se basa en el hecho de que los valores de los parámetros tienen una distribución similar de caracteres.
87 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Inferencia estructural Se basa en el hecho de que muchos atributos pueden ser generados como cadenas generadas por una gramática regular. Construye una gramática probabilística (Modelo de Markov) Enumerador Se basa en el hecho de que los valores de los atributos pueden tomar un conjunto finito de constantes.
88 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Presencia o ausencia de atributos Se basa en que el procesamiento es usualmente resultado de una alta regularidad en el número, nombre y orden de los parámetros. Se detecta si el conjunto de parámetros se encuentra en el conjunto normal observado en la etapa de entrenamiento. Orden de los atributos La lógica de una aplicación es usualmente secuencial y por tanto el orden relativo de los parámetros se mantiene aun cuando un parámetro es omitido en la consulta.
89 Anomaly Detection of Web based Attacks (C. Kruegel & G. Vigna) 2003 Capacidad de detección
90 Using Generalization and Characterization Techniques in the Anomalybased Detection of Web Attacks (Robertson, Kruegel & Kemmerer) 2006 Basado en Anomaly Detection of Web based Attacks Se dispuso un mecanismo de generalización mediante un modelo abstracto que encuentra anomalías iniciales y similares. Para cada modelo se establece una medida de similaridad. Incluye capacidad de caracterizar los ataques en los siguientes tipos utilizando algunas heurísticas: Directory traversal Presencia de los caracteres. y / XSS Elementos de JS o HTML SQL Inyection Elementos de SQL Buffer Overflow Caracteres no ASCII
91 Using Generalization and Characterization Techniques in the Anomaly-based Detection of Web Attacks 2006
92 Using Generalization and Characterization Techniques in the Anomaly-based Detection of Web Attacks 2006
93 Otros trabajos en el área Swaddler: An Approach for the Anomaly-based Detection of State Violations in Web Applications (2007) Basado en estado de ejecución de las aplicaciones. The Essence of Command Injection Attacks in Web Applications (2006). Orientado a inyección de código (XSS, SQL inyection, etc) Data Mining for Intrusion Detection: from Outliers to true Intrusions (2009) Utiliza técnicas de Data Mining y separación de agrupación mediante wavelets.
94 Otros trabajos en el área (2) Spectrogram: A Mixture-of-Markov-Chains Model for Anomaly Detection in Web Traffic (2009) Learning DFA Representations of HTTP for Protecting Web Applications (2007) Boosting Web Intrusion Detection Systems by Inferring Positive Signatures (2008)
95 IDS distribuidos. Correlación de alarmas distribuida. Métricas globalmente aceptadas para determinar la eficiencia de los IDS. Conjunto de datos estandarizado para las pruebas. Dinamicidad de los cambios en las aplicaciones Automatización
96
97 Detección de intrusión en aplicaciones web Detector basado en anomalía En principio utilizando algunas aspectos del trabajo de Robertson & Kruegel. Utilización de técnicas del área de procesamiento de señales para detección de anomalías (ondeletas o wavelets). Trabajo presentado en el CNMAC 2009 (Congreso Nacional de Matemática Aplicada y Computacional, Cuiaba-BR)
98 En el marco de un proyecto conjunto de investigación con la Universidad Federal de Santa María (UFSM). Actualmente en desarrollo: Infraestructura de captura de datos para análisis real (sniffer). Reporte técnico sobre uso de transformadas wavelets para detección de longitudes anómalas en cadenas de consulta HTTP.
99
CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesProgramación páginas web. Servidor (PHP)
Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesRESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014
RESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014 FAMILIA PROFESIONAL: INFORMATICA Y COMUNICACIONES MATERIA: 28. DESARROLLO WEB EN ENTORNO SERVIDOR CURSO: 2º DE CFGS DESARROLLO DE APLICACIONES
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesDETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB
DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB Cristian Cappo (ccappo@pol.una.py) Facultad Politécnica - UNA Laboratorio de Computación Científica y Aplicada En esta presentación 1. Aplicaciones
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesMineria de datos y su aplicación en web mining data Redes de computadores I ELO 322
Mineria de datos y su aplicación en web mining data Redes de computadores I ELO 322 Nicole García Gómez 2830047-6 Diego Riquelme Adriasola 2621044-5 RESUMEN.- La minería de datos corresponde a la extracción
Más detallesPROGRAMACIÓN PÁGINAS WEB CON PHP
PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesLa interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la
Servicios web Introducción Un servicio web es un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones. Distintas aplicaciones de software desarrolladas en lenguajes
Más detallesLABORATORIO DE RC: PRÁCTICA 4: IMPLEMENTACIÓN DE UN CLIENTE DE CORREO
UNIVERSIDADE DA CORUÑA Departamento de Tecnoloxías da Información e as Comunicacións LABORATORIO DE RC: PRÁCTICA 4: IMPLEMENTACIÓN DE UN CLIENTE DE CORREO PRÁCTICA 4: Implementación de un Cliente de Correo
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesUNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection
UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del
Más detallesAyuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa...2. 1.1 Configuración Internet Explorer para ActiveX...
INDICE 1 Configuración previa...2 1.1 Configuración Internet Explorer para ActiveX...2 1.2 Problemas comunes en sistema operativo Windows...8 1.2.1 Usuarios con sistema operativo Windows XP con el Service
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesPropuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA
Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Documento de trabajo elaborado para la Red Temática DocenWeb: Red Temática de Docencia en Control mediante Web (DPI2002-11505-E)
Más detallesMaxpho Commerce 11. Gestión CSV. Fecha: 20 Septiembre 2011 Versión : 1.1 Autor: Maxpho Ltd
Maxpho Commerce 11 Gestión CSV Fecha: 20 Septiembre 2011 Versión : 1.1 Autor: Maxpho Ltd Índice general 1 - Introducción... 3 1.1 - El archivo CSV... 3 1.2 - Módulo CSV en Maxpho... 3 1.3 - Módulo CSV
Más detallesSEGURIDAD WEB. Cristian Cappo (ccappo@pol.una.py)
SEGURIDAD WEB Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación y Desarrollo
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesCAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO
CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO En la actualidad la mayoría de las grandes empresas cuentan con un sin número de servicios que ofrecen a sus trabajadores y clientes. Muchos de estos servicios
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales
Más detallesTema 4: Tecnologías Web Java
Tema 4: Tecnologías Web Java Introducción Aplicación web Aplicación que corre en al menos un servidor y a la que el usuario accede desde un cliente de propósito general (ej.: navegador en un PC, teléfono
Más detallesabacformacio@abacformacio.com
Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesModulo I. Introducción a la Programación Web. 1.1 Servidor Web.
Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Antes de analizar lo que es un servidor Web y llevara a cabo su instalación, es muy importante identificar diferentes elementos involucrados
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesCAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS
Capitulo 6. Sistema de Detección de Intrusos con Redes Neuronales. 69 CAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS USANDO REDES NEURONALES. En este capítulo se realiza la preparación adecuada de toda la
Más detallesINTRODUCCION. Tema: Protocolo de la Capa de aplicación. FTP HTTP. Autor: Julio Cesar Morejon Rios
INTRODUCCION Tema: Protocolo de la Capa de aplicación. FTP HTTP Autor: Julio Cesar Morejon Rios Qué es FTP? FTP (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas conectados
Más detallesSistemas de Información Administrativo - Universidad Diego Portales. Cátedra : Sistemas de Información Administrativa S.I.A.
Cátedra : Sistemas de Información Administrativa S.I.A. Escuela de Contadores Auditores Tema: Ingeniería del Software Estrategias de Pruebas Relator: Sr. Eduardo Leyton G Pruebas del Software (Basado en
Más detallesSesión No. 4. Contextualización INFORMÁTICA 1. Nombre: Procesador de Texto
INFORMÁTICA INFORMÁTICA 1 Sesión No. 4 Nombre: Procesador de Texto Contextualización La semana anterior revisamos los comandos que ofrece Word para el formato del texto, la configuración de la página,
Más detallesCORPORACIÓN MEXICANA DE INVESTIGACIÓN EN MATERIALES, S.A. DE CV
Página 1 de 6 1. OBJETIVO El presente documento tiene la finalidad de citar los beneficios de la migración de la herramienta de análisis de riesgo, mantenimiento e inspección que en lo sucesivo se denominará
Más detallesEXTENSIÓN DE UML PARA APLICACIONES WEB
EXTENSIÓN DE UML PARA APLICACIONES WEB 1. Descripción Esta extensión de UML define un conjunto de estereotipos, valores etiquetados y restricciones que nos permiten modelar aplicaciones web. Los estereotipos
Más detallesApp para realizar consultas al Sistema de Información Estadística de Castilla y León
App para realizar consultas al Sistema de Información Estadística de Castilla y León Jesús M. Rodríguez Rodríguez rodrodje@jcyl.es Dirección General de Presupuestos y Estadística Consejería de Hacienda
Más detallesEspecificación WebService para:
Especificación WebService para: Bandeja de salida Carga masiva Consulta de reportes Bogotá, Diciembre 2010 Modelo Unico de Ingresos, Servicio y Control Automatizado Contenido Procedimiento y Especificación
Más detallesDetectar y solucionar infecciones en un sitio web
Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales
Más detallesCURSO DE PROGRAMACIÓN PHP MySQL
CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesTema 4. II - Cookies. Arquitecturas Distribuidas 11/12
Tema 4. II - Cookies Arquitecturas Distribuidas 11/12 1 II. Cookies 1. Necesidad de mantener información de estado y HTTP 2. Sesiones 3. Qué son las cookies? 4. Funcionamiento de cookies 5. Envío de cookies
Más detallesTema 1 HTTP y aplicaciones web
Tema 1 HTTP y aplicaciones web Indice 1. HTTP para sitios web estáticos 2. HTTP básico para aplicaciones web 3. Aplicaciones AJAX 4. APIs REST 1.1. HTTP para sitios web estáticos Petición/respuesta HTTP
Más detallesLa importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detallesHacking ético y Seguridad en Red
TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...
Más detallesBanco de la República Bogotá D. C., Colombia
Banco de la República Bogotá D. C., Colombia Subgerencia de Informática Departamento de Seguridad Informática MANUAL DE USUARIO PARA EL SERVICIO - SISTEMA DE GESTIÓN PKI DE USUARIOS ROAMING - USI-GI-56
Más detallesControl de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing
Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing Leandro Meiners lmeiners@cybsec.com Agosto de 2005 Buenos Aires - ARGENTINA Temario Temario Estadísticas y Cifras Detección
Más detallesWeb: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesGuía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesInfraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor
Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallesSecuriza tu red con Snort y sus amigos
www.securityartwork.es www.s2grupo.es Securiza tu red con Snort y sus amigos José Luis Chica Uribe Técnico de seguridad IT jchica@s2grupo.es Índice Seguridad: conceptos Tipos de ataques Cómo defenderse?
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesPROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP
PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos
Más detallesIntegración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce
Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor Índice 1. Introducción 2. Desarrollo
Más detallesBASES DE DATOS TEMA 3 MODELO ENTIDAD - RELACIÓN
BASES DE DATOS TEMA 3 MODELO ENTIDAD - RELACIÓN 3.3 Aplicaciones Definición de Aplicación (Application). Programa informático que permite a un usuario utilizar una computadora con un fin específico. Las
Más detallesDesarrollo y servicios web
Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesCurso PHP Módulo 1 R-Luis
Lenguaje PHP Introducción Archivos HTML y PHP: Crear un archivo php es tan sencillo como cambiarle la extensión a un archivo html, por ejemplo podemos pasar de index.html a index.php sin ningún inconveniente.
Más detallesCONSTRUCCIÓN DEL PROCESO MESA DE AYUDA INTERNA. BizAgi Process Modeler
CONSTRUCCIÓN DEL PROCESO MESA DE AYUDA INTERNA BizAgi Process Modeler TABLA DE CONTENIDO PROCESO DE MESA DE AYUDA INTERNA... 3 1. DIAGRAMA DEL PROCESO... 4 2. MODELO DE DATOS... 5 ENTIDADES DEL SISTEMA...
Más detallesGuía Rápida de Puesta en Marcha de MailStore
Guía Rápida de Puesta en Marcha de MailStore Primeros Pasos Paso 1: Requerimientos de sistema e instalación El servidor de MailStore se puede instalar en cualquier PC en la red. Si se esta utilizando un
Más detallesDescribir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI.
Procesos de Negocio Objetivos Describir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI. Identificar y analizar los procesos de negocios,
Más detallesIntroducción al desarrollo web (idesweb)
Introducción al desarrollo web (idesweb) Práctica 8: PHP 2 (cookies y sesiones) 1. Objetivos Conocer el concepto de cookie y sus posibles usos. Aprender a utilizar las cookies con PHP. Conocer el concepto
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallesEjemplos básicos de webmathematica para profesores
Ejemplos básicos de webmathematica para profesores Cualquier cálculo hecho dentro Mathematica puede ser realizado usando webmathematica con dos limitaciones significativas. Primero, al usar webmathematica,
Más detallesMesa de Ayuda Interna
Mesa de Ayuda Interna Documento de Construcción Mesa de Ayuda Interna 1 Tabla de Contenido Proceso De Mesa De Ayuda Interna... 2 Diagrama Del Proceso... 3 Modelo De Datos... 4 Entidades Del Sistema...
Más detallesUNIDAD 2: Abstracción del Mundo real Al Paradigma Orientado a Objetos
2.1. Principios básicos del Modelado de Objetos UNIDAD 2: Abstracción del Mundo real Al Paradigma Orientado a Objetos Hoy en día muchos de los procesos que intervienen en un negocio o empresa y que resuelven
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesCurso de Programación PHP
Curso de Programación PHP Presentación : PHP es el lenguaje de programación más usado en los servidores de Internet debido a su potencia, velocidad de ejecución y simplicidad que lo caracterizan. Este
Más detallesUNIVERSIDAD DE OVIEDO
UNIVERSIDAD DE OVIEDO ESCUELA POLITÉCNICA DE INGENIERÍA DE GIJÓN MÁSTER EN INGENIERÍA INFORMÁTICA TRABAJO FIN DE MÁSTER SPRING ROO ADD-ONS PARA PROTOTIPADO RÁPIDO JAVIER MENÉNDEZ ÁLVAREZ JULIO 2014 UNIVERSIDAD
Más detallesCRM Gestión de Oportunidades Documento de Construcción Bizagi Process Modeler
Bizagi Process Modeler Copyright 2011 - Bizagi Tabla de Contenido CRM- Gestión de Oportunidades de Venta... 4 Descripción... 4 Principales Factores en la Construcción del Proceso... 5 Modelo de Datos...
Más detallesInstalar y configurar W3 Total Cache
Instalar y configurar W3 Total Cache en WordPress Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com La velocidad de carga de una web influye mucho a la hora de mejorar el
Más detallesPráctica de Seguridad en Redes
Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción
Más detallesProcedimiento de instalación y Configuración del. cliente VPN en Windows. Acceso remoto a la red corporativa
Acceso remoto a la red corporativa Página 1 de 20 Procedimiento de instalación y Configuración del cliente VPN en Windows Acceso remoto a la red corporativa Este documento es propiedad de la Dirección
Más detallesLa utilización de las diferentes aplicaciones o servicios de Internet se lleva a cabo respondiendo al llamado modelo cliente-servidor.
Procesamiento del lado del servidor La Programación del lado del servidor es una tecnología que consiste en el procesamiento de una petición de un usuario mediante la interpretación de un script en el
Más detallesACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA
ACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA El Acceso al correo a través de OWA (Outlook Web Access) es una herramienta que permite a los usuarios consultar sus mensajes en una interfaz Web a través de un
Más detallesAlmacenamiento de CFD de Proveedores
Almacenamiento de CFD de Proveedores v. 1.4 Mayo 2011 Act. Julio 2011 Act. Agosto 2011 I N D I C E Contenido PREPARAR EL SISTEMA PARA USARLO... 1 NAVEGADOR... 1 CONFIGURACIÓN... 1 QUÉ HAGO SI EL SISTEMA
Más detallesDiseño de aplicaciones móviles seguras en Android. alvaro.ospina@upb.edu.co aospina@gmail.com
Diseño de aplicaciones móviles seguras en Android alvaro.ospina@upb.edu.co aospina@gmail.com Agenda Que es Android? Historia? Arquitectura Herramientas Medidas de seguridad Que es Android? Pila de software
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesAdelacu Ltda. www.adelacu.com Fono +562-218-4749. Graballo+ Agosto de 2007. Graballo+ - Descripción funcional - 1 -
Graballo+ Agosto de 2007-1 - Índice Índice...2 Introducción...3 Características...4 DESCRIPCIÓN GENERAL...4 COMPONENTES Y CARACTERÍSTICAS DE LA SOLUCIÓN...5 Recepción de requerimientos...5 Atención de
Más detallesFOROS. Manual de Usuario
FOROS Manual de Usuario Versión: 1.1 Fecha: Septiembre de 2014 Tabla de Contenidos 1. INTRODUCCIÓN... 4 1.1 Propósito... 4 1.2 Definiciones, acrónimos y abreviaturas... 4 2. ESPECIFICACIONES TÉCNICAS...
Más detallesProgramación de páginas web dinámicas con CGIs
Programación de páginas web dinámicas con CGIs Esquema Webs estáticas o dinámicas. CGIs: Que son y como funcionan Formularios para enviar información CGIs en perl Webs estáticas o dinámicas Una (página)
Más detalles1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust.
ÍNDICE 1. Descripción de Heartbleed. 2. Impacto de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust. 5. Con Log de debug de apache. 6.
Más detallesObjetivo: Introducción conceptual y aplicación básica de los lenguajes del lado del servidor.
Sesión 03: Lenguajes web del servidor Competencias a Conseguir: - Conocer el entorno de trabajo a nivel de servidores web. - Instalación del localhost (Servidor Local). - Repaso general de PHP y ejercicios
Más detallesARE YOUR WEB VULNERABLE?
CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML
Más detallesCircular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web
ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501
Más detallesWhite Paper Gestión Dinámica de Riesgos
White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar
Más detallesIntroducción a las Redes de Computadoras. Obligatorio 2 2011
Introducción a las Redes de Computadoras Obligatorio 2 2011 Facultad de Ingeniería Instituto de Computación Departamento de Arquitectura de Sistemas Nota previa - IMPORTANTE Se debe cumplir íntegramente
Más detallesBBVA emarkets Seguridad
BBVA emarkets Seguridad BBVA emarkets BBVA emarkets es un sistema para realizar operaciones mediante Internet. El sistema no requiere la instalación de software y se puede ingresar a él mediante un navegador
Más detallesINTRODUCCIÓN A LA PROGRAMACIÓN WEB UNIDAD. Estructura de contenidos: http://www.ucv.edu.pe/cis/ cisvirtual@ucv.edu.pe. 1.
INTRODUCCIÓN A LA PROGRAMACIÓN WEB UNIDAD 1 Estructura de contenidos: 1. Programación Web 2. Sistema De Información 3. Sistema Web 4. Requisitos Para Sistemas Web Con Asp 5. Internet Information Server
Más detallesFigura 4.1 Clasificación de los lenguajes de bases de datos
1 Colección de Tesis Digitales Universidad de las Américas Puebla Romero Martínez, Modesto Este capítulo describen los distintos lenguajes para bases de datos, la forma en que se puede escribir un lenguaje
Más detallesMANUAL DE USUARIO. SISTEMA DE INVENTARIO DE OPERACIONES ESTADÍSTICAS.
MANUAL DE USUARIO. SISTEMA DE INVENTARIO DE OPERACIONES ESTADÍSTICAS. INDICE Cómo Ingresar al Sistema?... 1 Autenticación de Usuario... 2 Pantalla Principal del Sistema de Operaciones Estadisticas... 3
Más detallesGestión de Oportunidades
Gestión de Oportunidades Bizagi Suite Gestión de Oportunidades 1 Tabla de Contenido CRM Gestión de Oportunidades de Negocio... 4 Elementos del Proceso... 5 Registrar Oportunidad... 5 Habilitar Alarma y
Más detalles<Generador de exámenes> Visión preliminar
1. Introducción Proyecto Final del curso Técnicas de Producción de Sistemas Visión preliminar Para la evaluación de algunos temas de las materias que se imparten en diferentes niveles,
Más detallesarquitectura que maneja. Encontraremos también los diferentes servidores que
3.1 INTRODUCCIÓN A lo largo de este capitulo será descrito ArcIMS, así como las características y arquitectura que maneja. Encontraremos también los diferentes servidores que proporciona ArcIMS, además
Más detalles