Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones"

Claudia Torres Sandoval
hace 8 años
Vistas:

1 Rational Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones Analia Marin. Rational IT marinan@ar.ibm.com

2 Nuestra época actual Vivimos una época compleja respecto a la seguridad de las aplicaciones web. Existen aún importantes sitios con problemas graves programáticos XSS SQL Injection Recursos Privados La evidencia práctica ha mostrado serios casos de vulnerabilidad en la realidad latinoamericana. Existen grupos importantes que están continuamente formándose en técnicas de vulnerabilidad. Hemos visto además que la seguridad a nivel de datos ha sido un tema relevante.

práctica ha mostrado serios casos de vulnerabilidad en la realidad latinoamericana.

5 La Realidad El gasto en seguridad es desbalanceado $! #! "

6 Aplicaciones e Infraestructura Arquitectura habitual ) % & '(% Antivirus Protection Encryption (SSL) Firewalls / Advanced Routers Firewall Diferentes soluciones de seguridad atiendes distinta problemática Rational AppScan

/ Advanced Routers Firewall Diferentes soluciones de

7 El puerto 80 cómo sea está abierto

8 Por qué asegurar las aplicaciones Web? La mayoría de los sitios son vulnerables: 90% de los ataques son dirigidos a la capa de aplicación (Symantec s 2007 Threat Report) 75% de los ataques corresponden a la capa de aplicación (Gartner) 90% de los sitios son vulnerables (Watchfire) 80% de las organizaciones experimentarán algún tipo de problema relacionado con la seguridad informática para el 2010 (Gartner) 69% de las vulnerabilidades documentadas en el 2006 fueron relacionadas con aplicaciones web (Wall Street Journal) Compliance requirements: Payment Card Industry (PCI) Standards, GLBA, HIPAA, FISMA,

corresponden a la capa de aplicación (Gartner) 90% de los sitios son vulnerables (Watchfire) 80% de las organizaciones experimentarán algún tipo de

9 Entonces, por qué la gente no lo hace? La exploración manual de sitios es una tarea altamente costosa. En sitios de miles de páginas, detectar todas las combinaciones posibles podría tardar semanas o incluso meses Mala calidad de los sitios Se opta por servicios de calidad, los cuales son manuales y costosos Si una compañía posee muchos releases de una aplicación, aumentará el costo de poder asegurar su calidad en seguridad. Existe la creencia de que el asegurar la infraestructura es lo único que basta para asegurar las aplicaciones web La realidad muestra lo contrario Algunas compañías optan por aplicar casos de prueba básicos de seguridad. La complejidad de los casos aumenta con el tiempo, junto con la incorporación de nuevas tecnologías.

manuales y costosos Si una compañía posee muchos releases de una aplicación, aumentará el costo de poder asegurar su calidad en seguridad.

10 Web Applications Qué es lo que un hacker hace? 34, 2( *+,-. / 0% 1 -. /

11 Cross-Site Scripting (XSS) Ejemplo I HTML code:

12 Cross-Site Scripting (XSS) Ejemplo II HTML code:

14 Típico hacking con Cross Site Scripting Evil.org 1) Link hacia bank.com Enviado via o HTTP 5) Evil.org utiliza la sesión 4) Script oculto envía data de sesión Sin conocimiento del usuario Usuario 2) Usuario envía data en scripts bank.com 3) Se retorna data sensible, ejecutada en browser

org utiliza la sesión 4) Script oculto envía data de sesión Sin

15 SQL Injection Ejemplo I

16 Típico hacking con SQL Injection

17 Referencia de objeto inseguro Ejemplo I

18 Referencia de objeto inseguro Ejemplo II

19 Referencia de objeto inseguro Ejemplo III

20 5 0, Developers Developers Developers

21 Cuánto cuestan los defectos de seguridad? Reporte completo disponible en

22 Más de 1600 Compañias usan AppScan #8&!. 5;;, % 78&! &86, 8&! :. $ Veteran s Affairs Army Navy Air Force Marines. < = 6 =85>

23 Pasos para verificar la seguridad de una aplicación

24 AppScan Interface Basica < / & 1

25 Recomendaciones

26 AppScan y ClearQuest

27 Reportes: Seguridad, Industrias, Compliance

28 Reportes basados en normativas Un total de 47 normativas y estándares SOX HIPPA PCI, Editables (formato Word)

29 La seguridad ya dejó de ser una buena intención Industry Regulation / Standard Sarbanes-Oxley Capability Maturity Model Compliance ISO NFPA 1600 Tread Act US Patriot Act Basel II Accord PCI Gramm Leach Bliley Check 21 Waste Electrical and Electronic Equipment (WEEE) initiative NERC 1200-UAS SEC 17A-4 DoD NASD 3010/3110 NYSE 472 / NASD 2711 DOMEA Government Paper Elimination Act 21 CFR 11 HIPAA

30 Gracias

Documentos relacionados

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL