Fundamentos de la Seguridad Informática
|
|
- María Victoria Martín Quiroga
- hace 6 años
- Vistas:
Transcripción
1 Fundamentos de la Seguridad Informática Seguridad en aplicaciones: Gestión de sesiones Web GSI - Facultad de Ingeniería
2 Introducción Las aplicaciones finas de clientes guardan de forma innata datos locales Por diseño, el protocolo HTTP no tiene estado, y no mantiene nativamente una conexión entre el navegador cliente y el software del servidor Aplicaciones web no triviales pueden requerir mantener un estado a lo largo de una sesión FSI Seguridad en Aplicaciones Web 2
3 Solución: sesiones Web! Cómo se implementan? Algo compartido entre servidor Web y cliente Cookies (RFC 6265: HTTP State Management Mechanism) URL Rewriting FSI Seguridad en Aplicaciones Web 3
4 Problemas Variables de sesión expuestas Falsificación Secuestro de sesiones Validación Best practices FSI Seguridad en Aplicaciones Web 4
5 Variables de sesión expuestas Algunos frameworks usan áreas compartidas en el disco del servidor web para guardar datos de sesión Por ejemplo, PHP usa el /tmp en Unix y c:\windows\temp en Windows por defecto Pueden comprometer a la aplicación si el servidor web se comparte o es comprometido FSI Seguridad en Aplicaciones Web 5
6 Usando tokens en acceso a páginas Algunos tokens (nonces) pueden usarse en conjunción con tokens específicos de sesión para proveer medidas de la autenticidad en pedidos de clientes El cliente del otro lado de la sesión es el mismo que pidió la página en la misma sesión Pueden guardarse en cookies o en las propias query strings, y deben ser completamente al azar FSI Seguridad en Aplicaciones Web 6
7 Usando tokens en acceso Es posible evitar el envío de la información del token al cliente a páginas (2) Crear un mapeo entre el cliente y el token en el lado del servidor Esta técnica debería incrementar la dificultad de usar fuerza bruta con los tokens de autenticación de la sesión FSI Seguridad en Aplicaciones Web 7
8 Algoritmos criptográficos débiles en sesiones Si se generan tokens predecibles, un atacante no necesita capturar las variables de sesión de los usuarios remotos Puede simplemente adivinar algunos identificadores de sesión y con el tiempo encontrará uno con la suficiente cantidad de intentos Los tokens de sesión deben ser únicos, no predecibles, y resistentes a ingeniería reversa FSI Seguridad en Aplicaciones Web 8
9 Regeneración de tokens de la sesión Para reducir el riesgo de secuestro de sesiones y ataques por fuerza bruta, el servidor HTTP puede sin esfuerzo expirar y regenerar los tokens Esto decrece la ventana de oportunidad para un ataque por replay o fuerza bruta FSI Seguridad en Aplicaciones Web 9
10 Falsificando la sesión Muchas aplicaciones web toman medidas en contra de intentos de adivinar claves Es menos común para las aplicaciones web detectar muchos intentos de continuar sesiones basadas en adivinar identificadores de sesión Los servidores de aplicación rara vez hacen logs o auditan dichos intentos Los NIDS rara vez tienen firmas para ver este tipo de tráfico FSI Seguridad en Aplicaciones Web 10
11 Captura del token de sesión Si puede capturarse un token en tránsito, es posible hacer secuestro de dicha sesión Es más probable que suceda si sólo usamos HTTP Nunca debe transmitirse en texto claro Usar otro token para áreas que requieran mayor nivel de seguridad FSI Seguridad en Aplicaciones Web 11
12 Secuestro de la sesión Si el identificador se transmite via un parámetro en la URL en vez de una cookie, los GETs pueden guardarse en la historia, el cache, etc. Usando pedidos mediante POST puede ayudar a aliviar este problema Hay propuestas de usar la IP dentro de la asociación a las sesiones Puede ocasionar problemas, NAT, firewalls, se depende de la red FSI Seguridad en Aplicaciones Web 12
13 Tokens de sesión al salir Se debe invalidar el token y borrar el identificador de sesión al salir el usuario En general, las cookies se asocian a la vida de la ventana del browser En una máquina compartida, el identificador de sesión puede quedar en el navegador y ser utilizado por el próximo usuario Se puede dar una fuga de información por este método, y saltear controles de AA FSI Seguridad en Aplicaciones Web 13
14 Ataques de validación de la sesión Como cualquier dato, la variable de sesión debe ser validada para asegurar que está de la forma correcta Que no contiene caracteres no esperados, y es válida en la tabla de sesiones Por ejemplo usar bytes nulos para truncar objetos de sesión y debido a errores de codificación se comparaba el largo del string más corto FSI Seguridad en Aplicaciones Web 14
15 Best practices Usar un manejador de sesión robusto y bien conocido dentro de algún framework de aplicación Siempre usar las versiones más actualizadas porque pueden contener bugs Si se está en duda, no deberían tomarse riesgos y guardar la información sensible del estado en sesiones en el servidor FSI Seguridad en Aplicaciones Web 15
16 Best practices (2) Datos de autorización y roles deberían guardarse en el lado del servidor solamente a no ser que esté protegida mediante encriptación fuerte Siempre, por motivos de seguridad, guardar del lado del servidor Los datos para tomar decisiones no críticas, como por ejemplo el lenguaje o el tema pueden guardarse en datos en el cliente Los campos ocultos nunca deberías usarse para guardar información de estado sensible FSI Seguridad en Aplicaciones Web 16
17 Bibliografía y material de D. Gollman, Computer Security, Wiley, 2006 referencia W. Stallings, Cryptography and Network Security, Prentice Hall, R. Anderson, Security Engineering A Guide to Building Dependable Distributed Systems, Wiley, 2001 OWASP, Open Web Application Security Project, G. Ollmann, Web Based Session Management: Best Practices in Managing HTTP Based Client Sessions, ionmanagement.html FSI Seguridad en Aplicaciones Web 17
18 Fundamentos de la Seguridad Informática Seguridad en aplicaciones: OWASP Top Ten GSI - Facultad de Ingeniería
19 Qué son los riesgos de seguridad en aplicaciones? Los atacantes pueden potencialmente usar rutas diferentes a través de la aplicación para hacer daño a su negocio u organización. Cada una de estas rutas representa un riesgo que puede, o no, ser lo suficientemente grave como para justificar la atención. Agentes Vectores Debilidades Controles Impactos Impactos de Amenaza de Ataque de Seguridad de Seguridad Técnicos al Negocio Ataque Debilidad Control Impacto Recurso Ataque Debilidad Control Impacto Función Ataque Debilidad Impacto Recurso Debilidad Control A veces, estas rutas son triviales de encontrar y explotar, y a veces son muy difíciles. Del mismo modo, el daño que se causa puede ir de ninguna consecuencia, o ponerlo fuera del negocio. Para determinar el riesgo en su organización, puede evaluar la probabilidad asociada a cada agente de amenaza, vector de ataque, y la debilidad en la seguridad, y combinarla con una estimación del impacto técnico y de negocios para su organización. En conjunto, estos factores determinan el riesgo global.
20 Top 1-5 A1- Inyección Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. A2 Pérdida de Autenticación y Gestión de Sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios. A3 Secuencia de Comandos en Sitios Cruzados (XSS) A4 Falla en Control de acceso A5 - Defectuosa Configuración de Seguridad Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Las restricciones a lo que los usuarios autenticados tienen permitido hacer no se hacer cumplir. Los atacantes pueden explotar estas debilidades para acceder funcionalidades/datos no autorizados, como otras cuentas de usuarios, ver archivos sensibles, modificar datos de otros usuarios, cambiar derechos de acceso, etc. Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son
21 Top 6-10 A6 Exposición de datos sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. A7 Protección contra ataques insuficiente La mayoría de aplicaciones y APIs carecen de la habilidad básica de detectar, prevenir, y responder ante ataques manuales y automatizados. Protección de ataques va mucho más allá de validación básica de entrada e involucra detectar, loguear, responder, e inclusive bloquear intentos de ataques. Los dueños de las aplicaciones necesitan también poder desplegar parches rápidamente para protegerse contra ataques. A8 - Falsificación de Peticiones en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima. A9 Utilización de componentes con vulnerabilidades conocidas Algunos componentes tales como las librerías, los frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos. A10 APIs no protegidas adecuadamente Las aplicaciones web frecuentemente involucran aplicaciones con clientes enriquecidos y APIs, como JavaScript en el navegador y aplicaciones móbiles, que conectan a una API de algún tipo (SOAP/SML, REST/JSON, RPC, GWT, etc.). Estas APIs frecuentemente no están protegidas y contienen numerosas vulnerabilidades.
22 A1 - Inyección Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. FSI Seguridad en Aplicaciones Web 22
23 Inyección SQL Demostración Capa de Red Capa de Aplicación Pedido HTTP APPLICATION ATTACK Firewall Accounts Finance Administration Transactions Resp HTTP Communication Knowledge Mgmt Custom Code App Server Web Server Hardened OS E-Commerce Bus. Functions Consulta SQL Firewall Databases Legacy Systems Web Services Directories Human Resrcs Tabla BD Billing Account: "SELECT Account Summary * FROM accounts SKU: WHERE acct= OR 1=1-- " Acct: Acct: Acct: Acct: Aplicación presenta un formulario web al atacante 2. Atacante envía un ataque en los datos del formulario 3. Aplicación dirige el ataque a la base de datos en una consulta SQL 4. Base de datos ejecuta el ataque y envía los resultados cifrados nuevamente a la aplicación 5. Aplicación descifra los datos normalmente y envía los resultados al atacante
24 A1 Evitar Fallas de Inyección Recomendaciones 1. Evitar el interprete completamente 2. Utilizar una interfase que soporte variables parametrizadas (Ej., declaraciones preparadas, o procedimientos almacenados), Las variables parametrizadas permiten al interprete distinguir entre código y datos 1. Decodificar y convertir todas las entradas del usuario a su forma mas simple antes de enviarlas al interprete Siempre efectuar una validación positiva de todas las entradas realizadas por el usuario Seguir el principio de mínimo privilegio en las conexiones con bases de datos para reducir el impacto de una falla Referencias Para mayor información:
25 A2 Pérdida de Autenticación y Gestión de Sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente Permiten a los atacantes comprometer contraseñas, llaves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios FSI Seguridad en Aplicaciones Web 25
26 A3 - XSS Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos cruzados (XSS)en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso FSI Seguridad en Aplicaciones Web 26
27 1 XSS - Demostración Atacante establece una trampa actualizar perfil 2 Atacante ingresa un script malicioso en una pagina web que almacena los datos en el servidor Victima visualiza la pagina accede al perfil Aplicación con vulnerabilidad XSS Almacenado Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script se ejecuta en el navegador de la victima 2 Script silenciosamente envía la sesión de la victima al atacante
28 Recomendaciones A3 Como evitar Fallas de XSS Eliminar la Falla No incluir entradas suministradas por el usuario en la pagina de salida Defenderse de la Falla Recomendación Principal: Codificar todos los datos de entrada en la pagina de salida (Utilizar OWASP s ESAPI para dicha tarea): Siempre efectuar una validación positiva de todas las entradas realizadas por el usuario Cuando grandes cantidades de HTML son suministradas por el usuario, utilizar OWASP s AntiSamy para sanitizar dicho HTML Referencias Ver: Site Scripting) Prevention Cheat Sheet (AntiSamy)
29 A4 Fallas en control de acceso Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular parámetros para acceder a datos no autorizados Aplicaciones o APIs no siempre verifican que el usuario está autorizado a trabajar con el recurso objetivo FSI Seguridad en Aplicaciones Web 29
30 A4 Falla en control de acceso Eliminar referencias directa a objetos Reemplazarla con un valor temporal de mapeo (ej. 1, 2, 3) ESAPI proporciona soporte para mapeos numéricos y aleatorios IntegerAccessReferenceMap & RandomAccessReferenceMap Report123.xls Acct: Validar la referencia directa al objeto Verificar que el valor del parámetro se encuentra adecuadamente formateado. Verificar que el usuario se encuentra autorizado a acceder el objeto determinado Verificar que el modo de acceso al objeto solicitado se encuentra autorizado (ej., lectura, escritura, modificación)
31 A5 Defectuosa Configuración de seguridad Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto FSI Seguridad en Aplicaciones Web 31
32 Defectuosa Configuración de seguridad - Demostración Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Database Custom Code App Configuration Framework Development App Server Web Server QA Servers Atacante Interno Hardened OS Test Servers Source Control
33 A6 Exposición de datos sensibles Atacantes pueden modificar o robar tales datos protegidos inadecuadamente para conducir robos de identidad, fraudes de tarjeta de crédito u otros crímenes Las aplicaciones frecuentemente fallan al autenticar, cifrar, y proteger la confidencialidad e integridad de tráfico de red sensible Cuando esto ocurre, es debido a la utilización de algoritmos débiles, certificados expirados, inválidos, o sencillamente no utilizados correctamente FSI Seguridad en Aplicaciones Web 33
34 Exposición de datos sensibles- Demostración Victima Externa Custom Code Backend Systems Socios de Negocios 1 2 Empleados Attacante Externo Atacante Externo obtiene credenciales y datos de la red Atacante Interno Atacante Interno obtiene credenciales y datos de la red interna
35 A6 Exposición de datos sensibles Proteger con mecanismos apropiados Utilizar TLS en todas las conexiones con datos sensitivos Encriptar mensajes individualmente antes de transmitirlos Ej., XML-Encryption Firmar digitalmente los mensajes antes de transmitirlos Ej., XML-Signature Utilizar los mecanismos correctamente Verificar los certificados SSL antes de usarlos Utilizar SSL en cualquier comunicación autenticada o al transmitir información sensible Verificar que la comunicación entre componentes (ej., servidor web y base de datos) también utiliza un canal seguro. Para mayor información: _Sheet
36 A7 Insuficiente protección Atacantes, usuarios conocidos o anónimos, envían ataques ante ataques La aplicación o API detecta el ataque? Cómo responde? FSI Seguridad en Aplicaciones Web 36
37 Insuficiente protección ante ataques - Demostración Atacante identifica que la URL indica su perfil /user/getaccounts La modifica apuntando a otra carpeta (perfil) /admin/getaccounts, o /manager/getaccounts Qué hace la aplicación?
38 A8 Falsificación de Pedidos en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una víctima autenticada a enviar un pedido HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable piensa son pedidos legítimos provenientes de la víctima FSI Seguridad en Aplicaciones Web 39
39 1 CSRF - Demostración Atacante establece una trampa en algún sitio web en la Internet (o simplemente a través de un correo electrónico) 2 Tag oculto <img> contiene ataque contra sitio vulnerable Mientras que la victima se encuentra conectada al sitio vulnerable, visualiza el sitio del atacante Aplicación con vulnerabilidad CSRF Accounts Finance Administration Transactions Communication Custom Code Knowledge Mgmt E-Commerce Bus. Functions 3 <img> tag es cargado por el navegador envia un pedido GET (utlizando las credenciales) a un sitio vulnerable Sitio vulnerable recibe un pedido legitimo de la victima y ejecuta la acción solicitada
40 A8 Como evitar Fallas de CSRF Agregue un token secreto, no enviado automáticamente, a todos los pedidos HTTP sensitivos Esto hace imposible al atacante falsificar el pedido HTTP (al menos que exista una vulnerabilidad XSS en la aplicación) Los tokens deben ser lo suficientemente fuertes o aleatorios Opciones Almacenar una token único en la sesión y agregarlo en todos los formularios y enlaces Campo Oculto: <input name="token" value="687965fdfaew87agrde" type="hidden"/> URL de uso unico: /accounts/687965fdfaew87agrde Token en el formulario: /accounts?auth=687965fdfaew87agrde Tener cuidado de no exponer el token en el encabezado de referencia Se recomienda el uso de campos ocultos Se puede tener un token único por cada función Use un hash del nombre de una función, id de sesión, y un secreto Se puede solicitar una autenticación secundaria para funciones sensitivas No permita que atacantes almacenen ataques en su sitio Codificar todas las entradas en la salida Esto inactiva todos los enlaces/pedidos en la mayoría de los interpretes Para mayor información:
41 A9 Uso de Componentes con Vulnerabilidades Conocidas En teoría, debiera ser fácil distinguir si estas usando un componente o biblioteca vulnerable Más aún, no todas las bibliotecas usan un sistema numérico de versiones entendible. No todas las vulnerabilidades son reportadas a un centro de intercambio fácil de buscar, Sitios como CVE y NVD se están volviendo fáciles de buscar.
42 A9 Uso de Componentes con Vulnerabilidades Conocidas Para determinar si es vulnerable necesita buscar en estas bases de datos, así como también mantenerse al tanto de la lista de correos del proyecto Debe evaluar cuidadosamente si es o no vulnerable revisando si su código utiliza la parte del componente vulnerable y si el fallo puede resultar en un impacto
43 Cómo evitar? Uso de Componentes vuln. Identificar todos los componentes y la versión que están ocupando, incluyendo dependencias Revisar la seguridad del componente en bases de datos públicas, lista de correos del proyecto, y lista de correo de seguridad, y mantenerlos actualizados. Establecer políticas de seguridad que regulen el uso de componentes
44 A10 APIs no protegidas adecuadamente Los atacantes pueden realizar ingeniería reversa de las APIs, examinando el código del cliente o monitoreando conexiones Las APIs (microservices, services, endpoints) pueden ser vulnerables al rango completo de ataques Las herramientas estáticas no permiten verificar aún el acceso y manualmente puede ser difícil de analizar FSI Seguridad en Aplicaciones Web 45
45 Riesgos adicionales a considerar El Top 10 cubre mucho, pero hay otros riesgos que deberían considerarse Algunos de estos han aparecido en versiones previas del OWASP Top 10, y otros no, incluyendo nuevas técnicas de ataque que están siendo identificadas todo el tiempo FSI Seguridad en Aplicaciones Web 46
46 Otros riesgos de seguridad de aplicación importantes Clickjacking (técnica de ataque recién descubierta en el 2008) Denegación de servicio (estuvo en el Top 10 del Entrada A9) Ejecución de archivos maliciosos (estuvo en el Top 10 del Entrada A3) Falta de detección y respuesta a las intrusiones Fallas de concurrencia FSI Seguridad en Aplicaciones Web 47
47 Otros riesgos de seguridad de aplicación (2) Filtración de información y Manejo inapropiado de errores (fue parte del Top 10 del Entrada A6) Registro y responsabilidad insuficientes (relacionado al Top 10 del Entrada A6) FSI Seguridad en Aplicaciones Web 48
48 Resumen RIESGO RIESGO Agentes de Amenaza Vectores de Ataque Agentes Explotabilidad de Vectores de Ataque Prevalencia Debilidades de Seguridad Detección Impactos Debilidades Técnicos de Seguridad Impacto Impactos al negocio Impactos Técnicos Impactos al negocio A1-Inyección Específico de la Aplicación Amenaza Explotabilidad Prevalencia FÁCIL COMÚN PROMEDIO SEVERO Detección Específico de la Aplicación Impacto Específico de la Específico de la A2-Autenticación PROMEDIO DIFUNDIDA PROMEDIO SEVERO Aplicación Aplicación A1-Inyección Específico de la Aplicación FÁCIL COMÚN PROMEDIO SEVERO Específico de la Aplicación A3-XSS Específico de la Aplicación PROMEDIO MUY DIFUNDIDA FÁCIL MODERADO Específico de la Aplicación A2-Autenticación Específico de Específico la de la Aplicación PROMEDIO DIFUNDIDA A4-Ref. Directa insegura FÁCIL COMÚN FÁCIL MODERADO PROMEDIO Específico de la SEVERO Específico de la Aplicación Aplicación Aplicación Específico de la Específico de la A5-Defectuosa Configuración FÁCIL COMÚN FÁCIL MODERADO A3-XSS Aplicación Específico de la Aplicación PROMEDIO MUY DIFUNDIDA FÁCIL Aplicación MODERADO Específico de la Aplicación A6-Exposición de Datos Sensibles Específico de la Aplicación DIFÍCIL POCO COMÚN PROMEDIO SEVERO Específico de la Aplicación A4-Ref. Directa insegura Específico de la Aplicación FÁCIL COMÚN FÁCIL MODERADO Específico de la Aplicación Específico de la Específico de la A7-Ausencia Control Funciones FÁCIL COMÚN PROMEDIO MODERADO Aplicación Aplicación Específico de la Específico de la A8-CSRF A5-Defectuosa Configuración PROMEDIO COMÚN FÁCIL MODERADO Aplicación Específico de la Aplicación FÁCIL COMÚN FÁCIL Aplicación MODERADO Específico de la Aplicación Específico de la Específico de la A9-Componentes Vulnerables PROMEDIO DIFUNDIDA DIFÍCIL MODERADO Aplicación Aplicación A6-Exposición de Datos Sensibles Específico de la Aplicación DIFÍCIL POCO COMÚN PROMEDIO SEVERO Específico de la Aplicación Específico de la Específico de la A10-Redirecciones no validadas PROMEDIO POCO COMÚN FÁCIL MODERADO Aplicación Aplicación A7-Ausencia Control Funciones Específico de la Aplicación FÁCIL COMÚN PROMEDIO MODERADO Específico de la Aplicación A8-CSRF Específico de la Aplicación PROMEDIO COMÚN FÁCIL MODERADO Específico de la Aplicación A9-Componentes Vulnerables Específico de la Aplicación PROMEDIO DIFUNDIDA DIFÍCIL MODERADO Específico de la Aplicación FSI Seguridad en Aplicaciones Web 49 A10-Redirecciones no validadas Específico de la Aplicación PROMEDIO POCO COMÚN FÁCIL MODERADO Específico de la Aplicación
49 Referencias G. McGraw, Software Security, Addison-Wesley, 2006 OWASP Top Ten 2013 FSI Seguridad en Aplicaciones Web 50
OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría
OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted
Más detallesANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez INTRODUCCIÓN Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos clasificar
Más detallesDepartamento Ingeniería en Sistemas de Información
ASIGNATURA: SEGURIDAD EN APLICACIONES WEB MODALIDAD: Cuatrimestral DEPARTAMENTO: ING. EN SIST. DE INFORMACION HORAS SEM.: 6 horas AREA: ELECTIVA HORAS/AÑO: 96 horas BLOQUE TECNOLOGÍAS APLICADAS HORAS RELOJ
Más detallesAuditoría Técnica de Seguridad de Aplicaciones Web
Auditoría Técnica de Seguridad de Aplicaciones Web Esta obra está sujeta a una licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 España de Creative Commons Estudiante: Isaac Peña Torres Consultor:
Más detallesSeguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Más detallesSu aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard
08/04/16 OWASP LatamTour Rep Dom. 2016 Su aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard Saira Isaac Introducción Saira Isaac Hernández Consultor Enterprise
Más detallesOWASP Top 10 2010 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation http://www.owasp.org/
OWASP Top 10 2010 Los diez riesgos más importantes en aplicaciones web Fabio Cerullo Comité Global de Educación OWASP fcerullo@owasp.org Copyright The OWASP Foundation Permission is granted to copy, distribute
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesSeguridad del protocolo HTTP:
Seguridad del protocolo HTTP: Protocolo HTTPS Hypertext Transfer Protocol Secure (HTTPS), es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto,
Más detallesProgramación páginas web con PHP
Programación páginas web con PHP Duración: 65 horas Objetivos: Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte
Más detallesLOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org
LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo
Más detallesSegurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web
Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema
Más detalleso Seguridad en el acceso a recursos: o Establecer identidad del solicitante (Autentificación). o Permitir o denegar el acceso (Autorizar).
Seguridad Seguridad MASSDE Elementos de seguridad en Elementos de seguridad en o Seguridad en las comunicaciones: o Prevenir la comprensión de las comunicaciones intervenidas (Secreto). o Establecer la
Más detallesVulnerabilidades en Aplicaciones Web Webinar Gratuito
Vulnerabilidades en Aplicaciones Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com
Más detallesCómo desarrollar una Arquitectura de Red segura?
1 Cómo desarrollar una Arquitectura de Red segura? Lic. Julio C. Ardita jardita@cybsec.com 26 de Septiembre de 2001 Buenos Aires - ARGENTINA 2 Cómo desarrollar una Arquitectura de Red segura? Temario -
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesPolítica de Protección de llaves/claves de cifrado para usuario final Agosto 2016
Política de Protección de llaves/claves de cifrado para 1. Introducción La administración de llaves/claves para cifrado, si no se hace correctamente, puede conducir al compromiso y divulgación de las llaves/claves
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales
Más detallesCapítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Más detallesAbout Me. Mario Robles Tencio
About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)
Más detallesPHP 7 Desarrollar un sitio web dinámico e interactivo
Preámbulo 1. Objetivo del libro 11 2. Breve historia de PHP 12 3. Dónde conseguir PHP? 13 4. Convenciones de escritura 14 Introducción a PHP 1. Qué es PHP? 15 2. Estructura básica de una página PHP 17
Más detallesSeguridad de las contraseñas. <Nombre> <Institución> <e-mail>
Seguridad de las contraseñas Contenido Contraseñas Principales riesgos Cuidados a tener en cuenta Fuentes Contraseñas (1/2) Sirven para autenticar un usuario aseguran que
Más detallesCircular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web
ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501
Más detallesConceptos sobre firma y certificados digitales
Conceptos sobre firma y certificados digitales XI Reunión de Responsables de Sistemas de Información San José, Costa Rica Julio 2009 Carlos Rivas Guillén RivasGC@sugeval.fi.cr Agenda Criptografía. Firma
Más detallesDesarrollo y servicios web
Desarrollo y servicios web Luisa Fernanda Rincón Pérez 2014-2 Sesión 4. 2 Qué haremos hoy? 3 1. GET/POST 2. Cookies 3.Sesiones Herramientas análisis HTTP Firebug plug-in for Firefox A must have for Web
Más detallesSeguridad Informática en Bibliotecas
Seguridad Informática en Bibliotecas Téc. Cristina González Pagés Asesora Técnica y Editora Web Biblioteca Médica Nacional 26 de abril 2016 Seg. Informática VS Seg. de la Información La seguridad de la
Más detallesLos contenidos se valorarán en función de los conceptos adquiridos, los procedimientos aprendidos y las actitudes desarrolladas en las clases.
SECUENCIA DIDACTICA: CRIPTOGRAFÍA JUSTIFICACIÓN Esta dirigida a alumnos de 2º de ciclo medio de informática, del Módulo Seguridad Informática. La voy a llevar a cabo en 10 sesiones, de las cuales 4 van
Más detallesRedes de comunicación
UNIVERSIDAD AMERICANA Redes de comunicación Unidad III- Criptografía: Sistemas Asimétricos Recopilación de teoría referente a la materia Ing. Luis Müller 2011 Esta es una recopilación de la teoría referente
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.
ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN Ing. Mg. Miguel Ángel Valles Coral. COMPUTER SECURITY INSTITUTE El 56% de las empresas sufrieron accesos no autorizados a sus sistemas. Las perdidas
Más detallesMECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA
CERTICAMARA S.A. MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA CONTENIDO 1. Conceptos generales 2. Métodos de autenticación 3. Factores de autenticación 4. Certificados
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Más detallesInseguridad de los sistemas de autenticación en aplicaciones web
Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias
Más detallesDeveloping ASP.NET MVC 4 Web Applications
Código: S28 Duración: 25 horas En este curso, los estudiantes aprenderán a desarrollar aplicaciones ASP.NET MVC con avanzadas tecnologías y herramientas de.net Framework 4.5. Se centrará en la codificación
Más detallesEstudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez
Estudio de los riesgos relacionado con las redes Wi-Fi A. Alejandro González Martínez Índice Introducción Seguridad en redes Wi-Fi Cifrado WEP Cifrado WPA/WPA2 WPA2-Enterprise Infraestructura Beneficios
Más detallesSolicitudes Material de Almacén
Solicitudes de Material de Almacén Sistema de Turno Electrónico Solicitudes de Material de Almacén Usuarios del Poder Judicial MANUAL DEL USUARIO PARA LOS OPERATIVOS Realizado por: Sistema Morelos ISC
Más detallesSEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15
Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN
Más detallesPrincipios Básicos de Seguridad en Bases de Datos
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > Principios Básicos de Seguridad en Bases de Datos Principios Básicos de Seguridad en Bases de Datos Por Johnny Villalobos Murillo
Más detallesJavier Herranz Expósito 27/04/16 TEMA 7: WIFI Y VPN
TEMA 7: WIFI Y VPN Cualquier aparato puede tener un ataque, por lo que es muy importante segurizarlo. Existen diversas herramientas que nos permitirán proteger los equipos de la red. Un spyware es un pequeño
Más detallesPOLÍTICA GLOBAL SOBRE PRIVACIDAD EN INTERNET PAYU LATAM
POLÍTICA GLOBAL SOBRE PRIVACIDAD EN INTERNET PAYU LATAM La Política de PayU Latam es cumplir con todas la leyes aplicables sobre protección de datos y privacidad. Este compromiso refleja el valor que le
Más detallesSeminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com
Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos
Más detallesConvocatoria C Convocatoria 2017
Convocatoria C003-2015-01 Convocatoria 2017 Manual de Usuario Responsable Legal de la Empresa Septiembre 2016 Índice Indicaciones generales... 1 Acceso al Sistema... 3 Paso 1. Datos generales de la empresa...
Más detallesTransferencia documentos Actas - Extranet
Transferencia documentos Actas - Extranet Manual de usuario 29 de octubre de 2012 Superintendencia de Bancos e Instituciones Financieras Contenido 1 Introducción.... 3 2 Cómo funciona Extranet... 3 2.1
Más detalles6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED:
6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED: ESPERANZA ELIPE JIMENEZ a) Configura en modo seguro un switch CISCO (Packet Tracer) Desde el packet tracer router configuramos un switch.para ello introducimos
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesSEGURIDAD EN LAS BASES DE DATOS
SEGURIDAD EN LAS BASES DE DATOS DEFINICIÓN DE UN ESQUEMA DE SEGURIDAD Al concepto de seguridad también se le puede llamar privacidad. El problema de la seguridad consiste en lograr que los recursos de
Más detallesA1-Inyección (SQL,OS Y LDPA)
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación
Más detallesPROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y ASP.NET 3.5 (C#)
PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y ASP.NET 3.5 (C#) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor
Más detallesDesarrollo de una aplicación para encriptar información en la transmisión de datos en un aplicativo de mensajería WEB
Desarrollo de una aplicación para encriptar información en la transmisión de datos en un aplicativo de mensajería WEB 2015 MANUAL DE USUARIO Johanna Moya / Andrés Escobar JAMENCRYPT 08/04/2015 TABLA DE
Más detallesPROCEDIMIENTOS DEL NOC RESPALDO Y RECUPERACION DE DATOS
PROCEDIMIENTOS DEL NOC RESPALDO Y RECUPERACION DE DATOS Página 1 de 7 OBJETIVO El objetivo de este procedimiento es describir la política de respaldo por defecto para el NOC de Provectis, entendiéndose
Más detallesLa Firma Digital. Seguridad en Redes TCP/IP. Tabla de Contenidos
La Firma Digital Tabla de Contenidos 7. La Firma Digital... 2 Infraestructura de clave pública... 2 Situación en la administración pública... 3 7.1 Firma Digital con Outlook (Windows, MacOS)... 4 7.2 Firma
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesbla bla Guard Guía del usuario
bla bla Guard Guía del usuario Guard Guard: Guía del usuario fecha de publicación Miércoles, 03. Septiembre 2014 Version 1.0 Copyright 2006-2014 OPEN-XCHANGE Inc., La propiedad intelectual de este documento
Más detallesCliente- Servidor. Bases de Datos Distribuidas
1 2 3 4 Cliente- Servidor La tecnología que se utiliza habitualmente para distribuir datos es la que se conoce como entorno (o arquitectura) cliente/servidor (C/S). Todos los SGBD relacionales del mercado
Más detalles.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.
.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M. Sobre mi Fundamentos de las Aplicaciones Web: http https HTML 5, CSS 3, JavaScript Php C# Java Pyton SQL Server My SQL Oracle Postgresql Fundamentos de las
Más detallesESQUEMA DE SEGURIDAD KEPLER 80
ESQUEMA DE SEGURIDAD KEPLER 80-1 - INDICE 1. Esquema de seguridad... 3 2. Definición de roles... 4 3. Definición de perfiles... 5 4. Definir autorizaciones... 7 5. Definición de usuarios... 9 6. Ingreso
Más detallesProgramación de código seguro
Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo
Más detallesManual del Integrador Contable Premium Soft
Manual del Integrador Contable Premium Soft Desarrollado por el TSU. Douglas D. Diaz A. El módulo de Integración Contable permite registrar la información de manera automática al sistema de Contabilidad
Más detallesMANUAL DE USUARIO PARA EL CAMBIO DE CONTRASEÑA EN EL DIRECTORIO ACTIVO
CONTENIDO 1. OBJETIVO... 3 2. INTRODUCCIÓN... 3 3. INGRESO AL SISTEMA... 3 3.1. LOGUEO... 3 3.2. CONFIGURAR PREGUNTAS DE SEGURIDAD... 6 4. MENU PRINCIPAL... 9 4.1. CAMBIAR CONTRASEÑA.... 10 4.2. CONFIGURAR
Más detallesRecomendaciones para el uso del correo electrónico.
Responsable de Seguridad Informática 27 de julio de 2012 Información del documento: Tipo Recomendación Nivel de Criticidad Criticidad Baja Versión 1.0 Fecha 27/07/2012 Propietario Prosecretaría de Informática
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados
Más detallesSistema Operativo Windows Server 2003/R2, Windows Server 2008, Windows XP / Vista / Seven. Instalador Aplicativo SafeNet Authentication Client
Introducción Este manual de usuario describe el procedimiento para descargar, instalar y usar el aplicativo SafeNet Authentication Client que le permite acceder a su dispositivo TOKEN Aladdin etoken Pro
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detalles1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...
Índice INTRODUCCIÓN...11 CAPÍTULO 1. EXPLOTACIÓN DE SISTEMAS MICROINFORMÁTICOS...13 1.1 La arquitectura de los ordenadores...14 1.1.1 La máquina de Turing...14 1.1.2 La arquitectura Harvard...15 1.1.3
Más detallesFirmador Digital Documentation
Firmador Digital Documentation Release 0.0.1 adsib December 19, 2016 Documentación 1 LEEME 1 1.1 Resoluciones............................................... 1 1.2 Funcionalidades de token.........................................
Más detallesCapitulo 2. Políticas, Planes y Procedimientos de seguridad.
Capitulo 2 Políticas, Planes y Procedimientos de seguridad. 2.1 Introducción y Conceptos Básicos Política de Seguridad: Declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos
Más detallesMS_10962 Advanced Automated Administration with Windows PowerShell
Gold Learning Gold Business Intelligence Silver Data Plataform MS_10962 Advanced Automated Administration with Windows PowerShell www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P.
Más detallesSeguridad 101. Daniel
Seguridad 101 Daniel Rodríguez @dvirus Capítulo 1 Conceptos claves de seguridad Principios de Seguridad Conceptos de Autenticación Servicios de Autenticación Autenticación de Acceso Remoto Principios de
Más detallesSeguridad en Sistemas Informáticos (SSI) Programación Segura
1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP
Más detallesREDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.
REDES DE DATOS Modelo OSI Angélica Flórez Abril, MSc. Jerarquía de protocolos Organización en capas o niveles. El número de capas y sus funciones difieren de red a red. Cada capa ofrece servicios a las
Más detallesDesarrollo Web con PHP
Seguridad Desarrollo Web con PHP Ignacio Andrés González Seguridad 1. Seguridad en las aplicaciones web 2. Seguridad en PHP 3. Variables globales 4. Nombres de ficheros 5. Subida de ficheros 6. Bibliotecas
Más detallesNavegando al Día. Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > Navegando al Día. Por David Eduardo Bernal Michelena
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > Navegando al Día Navegando al Día Por David Eduardo Bernal Michelena numero-09 [1] Buenas prácticas [2] navegador [3] Las actualizaciones
Más detallesNavegadores. Los navegadores. Privacidad. Oscar Herrero INTERNET SEGURO CEIP ARCIPRESTE DE HITA. Fuente:OSI
Navegadores Para la mayoría de usuarios, la cara visible de la informática es Internet. Desde todo tipo de dispositivos (ordenadores, tabletas y smartphones) accedemos a la red en busca de información,
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,
Más detallesCurso Developing Microsoft SQL Server 2014 Databases (20464)
Curso Developing Microsoft SQL Server 2014 Databases (20464) Programa de Estudio Curso Developing Microsoft SQL Server 2014 Databases (20464) Aprende a desarrollar bases de datos en Microsoft SQL Server
Más detallesIn-seguridad y malware en dispositivos móviles
In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias
Más detallesPruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?
Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org
Más detallesESCUELA: Universidad Tecnológica de la Mixteca GRADO: Ingeniero en Computación, séptimo semestre.
1.- IDENTIFICACION: PYPE-01 ESCUELA: Universidad Tecnológica de la Mixteca CLAVE: TIPO ASIGNATURA: Teórico-práctica GRADO: Ingeniero en Computación, séptimo semestre. ANTECEDENTE CURRICULAR: Teoría de
Más detallesConvocatoria C Convocatoria 2016
Convocatoria C003-2015-01 Convocatoria 2016 Manual de Usuario Responsable Legal de la Empresa Septiembre 2015 Índice INDICACIONES GENERALES... 3 ACCESO AL SISTEMA... 5 INFORMACIÓN DE LA EMPRESA... 9 REGISTRO
Más detallesFirma Electronica Avanzada
Firma Electronica Avanzada La Firma Electrónica Avanzada es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como autor legítimo de éste,
Más detallesSoluciones BYOD para el aula. 24.Febrero.2016
Soluciones BYOD para el aula 1 24.Febrero.2016 Escritorios Virtuales Avanzados Software Libre 08/03/2016 2 Qué es evaos? Solución de virtualización de aplicaciones y escritorios Open Source basada en GNU/Linux
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesManual de usuario Sitio del Estudiante Online (SAO)
Manual de usuario Sitio del Estudiante Online (SAO) Tabla de contenido Introducción... 3 Alcance... 3 Detalle Módulos... 3 Perfil del usuario final... 4 Estilo de Navegación y cubrimiento del Software...
Más detallesSEGURIDAD DE LA DATA MASTERBASE S.A.
SEGURIDAD DE LA DATA MASTERBASE S.A. 1 Contenido 1. Introducción... 3 2. Ámbitos de la Seguridad... 3 2.1. El ámbito de operación de los servicios... 3 2.2. El ámbito de Sistemas... 4 2.3. El ámbito de
Más detallesLuis Villalta Márquez
REDES PRIVADAS VIRTUALES. VPN - Beneficios y desventajas con respecto a las líneas dedicadas. - Tipos de conexión VPN: VPN de acceso remoto, VPN sitio a sitio (tunneling) VPN sobre LAN. - Protocolos que
Más detallesClave Pública y Clave Privada
Punto 5 Técnicas de cifrado. Clave Pública y Clave Privada Juan Luis Cano El cifrado de datos es el proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información
Más detallesPolítica de Seguridad
Windows NT Los servidores de Windows NT permiten dos formas de codificar las contraseñas, la forma propia y la de LANManager, esta última sólo se utiliza para compatibilidad con las redes de este tipo.
Más detallesSeguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM
Seguridad Perimetral Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM Tipos de amenazas Activos de Información NO permita que accedan tan fácilmente a la información Concepto de seguridad
Más detallesIntroducción. Diplomado en Seguridad Informática
Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se
Más detallesAspectos Básicos de Networking
Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Contextualización Existen diferencias en los servicios de protocolos? Los protocolos
Más detallesServicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información
TABLA DE CONTENIDO 1 INTRODUCCION... 2 2 OBJETIVO... 2 3 AUDIENCIA... 2 4 PRUEBAS DE CAJA BLANCA... 2 5 ELEMENTOS MÍNIMOS ISO 27001... 4 5.1 Gestión de comunicaciones y operaciones... 4 5.2 Respaldo o
Más detallesMejores prácticas de Seguridad de la Información aplicadas a la Banca Móvil. Oscar Tzorín Superintendencia de Bancos de Guatemala
Mejores prácticas de Seguridad de la Información aplicadas a la Banca Móvil Oscar Tzorín Superintendencia de Bancos de Guatemala 1 1 Panorama del acceso de alta velocidad a Internet, para América Central
Más detallesFacultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP
Capítulo 2 Facultad de Ingeniería Mecánica y Eléctrica EVOLUCION DE LA TCP/IP Norma Leticia Díaz Delgado Semestre Número 4 Maestría en Computación, Área Redes y Conectividad REDES TCP/IP TCP/IP EVOLUCUIÓN
Más detallesProtocolos de Telecomunicaciones Semana 4 Capa de Aplicación.
Protocolos de Telecomunicaciones Semana 4 Capa de Aplicación. La mayoría de nosotros experimentamos Internet a través de World Wide Web, servicios de e-mail y programas para compartir archivos. Éstas y
Más detallesDesarrollo seguro en Drupal. Ezequiel Vázquez De la calle
Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal
Más detallesIntroducción WEP Debilidades de WEP WPA WPA2 (IEEE i) Conclusiones Preguntas y comentarios
Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04 Introducción WEP Debilidades de WEP WPA WPA2 (IEEE 802.11i) Conclusiones Preguntas y comentarios
Más detallesB VEDA F I S C A L R Más alla de la Facturación Electrónica Más alla de la Facturación Electrónica
B VEDA Más alla de la Facturación Electrónica Qué es la Boveda Fiscal Konteder? es un dispositivo electrónico digital con respaldo automático y capacidad de auto-regeneración, donde los Certificados Fiscales
Más detallesCAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS
Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el
Más detallesSeminario de Tecnologías Web. Seguridad en Aplicaciones Web
Seminario de Tecnologías Web Seguridad en Aplicaciones Web manuel.freire@fdi.ucm.es 29 de abril de 2011 Amenazas Cosas malas que pueden pasar Denegación de servicio interrupción del servicio DDOS: distribuida,
Más detalleshttp://miel.unlam.edu.ar/interno/mensajes/mensajeria.asp?idcomision=&idpersona=38527273
Reporte de vulnerabilidades Materias Interactivas en Línea Nicolás Satragno Abstract El presente es un reporte de las vulnerabilidades encontradas en el sistema Materias Interactivas en Línea (MIeL) de
Más detalles