Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Transcripción

1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez

2 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

3 Qué haremos hoy? 1. Tutorial en línea MongoDB 2. Introducción a la seguridad web 3. Inyección SQL 4. Cross site scripting 5. XSS

4 4 Sesión 13. Seguridad en aplicaciones web

5 Vulnerabilidades en la web Fuente: OWASP SQL Injection Cross site scripting ( XSS) Solicitudes falsificadas en sitios cruzados (CSRF) Vurnerabilidades

6 Tipos de ataques Cross Site scripting ( XSS) Cross site scripting (xss) Es un fallo en el sistema de validación de HTML incrustrado y consiste en inyectar código HTML y Javascript donde no debería haberlo y así conseguir algún provecho, normalmente esta vulnerabilidad se usa para el robo de cookies. Ataque del lado del cliente Un ejemplo Causa: Mostrar información que introduce el usuario sin procesarla previamente 064I

7 Ejemplo

8 Código php que procesa la pagina

9 Código malicioso que se inserta "><SCRIPT>alert(5);</SCRIPT>" El html quedaría

10 Resultado ( IE 8)

11 Resultado Google Chrome Modifica lo que escribe el usuario e ignora el ataque

12 Otros ejemplos Fuente:

13 Cómo evitar XSS? Regla de Oro Todas las entradas proporcionadas por el usuario deben de ser validadas antes de ser utilizadas. Quitar HTML Escapar caracteres

14 Escapar valores Convertir de < a < Convertir de > a > Convertir de & a & Convertir de " a " Convertir de ' a &#39; Cómo filtrar datos?

15 SQL Injection. Un usuario ingresa código SQL por medio de campos de entrada de la página web Fuente: w3school Criterio 1=1 Fuente W3C

16 SQL Injection. Ejemplo 2 Criterio = Fuente: w3school

17 SQL Injection. Ejemplo 3

18 SQL Injection. Solución Base de datos Usar Prepared Statements sentencias preparadas No se ejecutan concatenando cadenas de caracteres. Ejm SELECT identificador FROM usuarios WHERE username =? AND password =?

19 SQL Injection. Solución

20 Tutorial sql injection content/uploads/2013/12/taller-sql- INJECTION.pdf

21 Cómo sacar el número de columnas? Con la cláusula ORDER BY y el número de la columna.

22 Guía de SQL injection pthx16w9shirwajbbxxq

23 Unos buenos ejemplos ( SQL injection y XSS) rba-8rj8

24 Premisa: evitar a toda costa errores de este tipo

25 CSRF Cross Site Request Forgery (Solicitudes falsificadas en sitios cruzados) Obliga al navegador de una victima autenticada a enviar una petición HTTP falsificada, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima.

26 Volviendo a la seguridad Cross Site Request Forgery ( CSRF o XSFR) A diferencia de Cross Site Scripting, este explota la confianza que un sitio vulnerable tiene en los usuarios No es posible hacerle seguimiento pq es realizada desde la dirección IP de un sitio legítimo Ejemplo com/watch?v=uycmh QM_h64 com/watch?v=6tsjwc -AYc0 Víctima hace las peticiones que el atacante quiere en un sitio vulnerable. Requiere que la víctima esté autenticada en el sitio vulnerable

27 Ejemplo (XSFR) Explotar la vulnerabilidad

28 Cómo prevenirla?. Un ejemplo Asociando tokens únicos verificables en cada acción

29 Cómo prevenirla?. Un ejemplo

30

31 Fuente de consulta XSS: Buen tutorial. Mal español, pero buen mensaje XSS: Mejor escrito y buenos ejemplos Prevencion XSS: de-ataques-xss-aprende-prevenir-php/ Seguridad. Errores comunes.