b1010 formas de escribir código (in)seguro



Documentos relacionados
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES.

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Ataques XSS en Aplicaciones Web

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Capítulo 2.- Vulnerabilidades en aplicaciones web.

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

Programación de código seguro

ArCERT Jornadas de Seguridad Informática 2009

Sobre Cristian Borghello

Internet Information Server

Seguridad en Aplicaciones Web

PROGRAMACIÓN PÁGINAS WEB CON PHP

In-seguridad y malware en dispositivos móviles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

S E G U R I D A D E N A P L I C A C I O N E S W E B

Introducción a OWASP OWASP. The OWASP Foundation

Práctica de laboratorio Uso de ping y tracert desde una estación de trabajo

Luis Omar Decena Gómez Mat.: Sistema Operativo 2. Prof.: José Doñe. < Crear un Servidor IIS en Windows 2003 Server>.

Detectar y solucionar infecciones en un sitio web

PROGRAMADOR PHP y MySQL

Gastón Toth Lic. en Computación CEH Pentester

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

la red de Internet PRODIGY para poder tener acceso al sistema RAGNVALD vía Internet

INTRODUCCION. Tema: Protocolo de la Capa de aplicación. FTP HTTP. Autor: Julio Cesar Morejon Rios

XPERTO EN DISEÑO DE PÁGINAS WEB

Seguridad en Aplicaciones Web

Modulo I. Introducción a la Programación Web. 1.1 Servidor Web.

Manual de Administración Solución ADSL Profesional

Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com

DIPLOMADO EN SEGURIDAD INFORMATICA

SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS

Seguridad en Desarrollo Desde la teoría a la práctica (NO seas el próximo Ashley Madison)

Firewalls, IPtables y Netfilter

################## # Cross Site Scripting [XSS] # Autor: sl4xuz # Contact: sl4x.xuz@gmail.com ##################

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro antonio@noveria.es

Intervención General de la Administración del Estado

CORPORACIÓN MEXICANA DE INVESTIGACIÓN EN MATERIALES, S.A. DE CV

Análisis Forense de Aplicaciones Web

Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

Boletín de seguridad de Xerox XRX08-004

Auditoría de Seguridad

Explotando un RFI en una WebApp Comercial

Fraudes en los Sistemas de Registro

Seguridad y control de tu PC

Sesiones en PHP. Área de Ingeniería Telemática

Fundamentos de programación Estudia las estructuras de control y cómo definir funciones en JavaScript.

Curso Online. Desarrollo Seguro en Java

White Paper Gestión Dinámica de Riesgos

INSTALACIÓ N A3ERP. Informática para empresas INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Popularidad comparada de PHP vs ASP, y posibles causas

Informe Técnico Etapa 3

BREVE INTRODUCCIÓN A IPSEC

Bootcamp de Certificación 2015

Linux. Solo10.com. Web Hosting: Guía paso a paso para usuarios... Solo10.com Dominios para Todos! info@solo10.

INSTALACIÓN A3ERP INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

Informe Técnico Etapa 4

Seguridad Ofensiva en WordPress

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

SERVIDORES LINUX. Elaborado por Ing. Fausto Rolando Félix C. Gerente General Corporación Powerfast Cía. Ltda. Quito Ecuador

3. Número inicial y número final de mensajes mostrados en la página actual.

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

CAPITULO 14 SEGURIDAD EN LA RED

Anexos de Bases de Presentación de Propuestas. Consultoría para la implementación de sistemas de gestión de contenidos para comunidades de RedCLARA

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Seguridad de un Portal

Introducción al desarrollo web (idesweb)

Internet Information Server

Tema 1 HTTP y aplicaciones web

Seguridad en Aplicaciones Web

Cómo crear y configurar un servidor FTP

Tema 4. II - Cookies. Arquitecturas Distribuidas 11/12

Introducción a aplicaciones Web. Laboratorio de Programación Lorena Castañeda Bueno

De principiante a Desarrollador Web. casivaagustin@gmail.com

MANUAL DE USUARIO. Webservice simple para la exportación rápida de información proveniente de una base de datos. Versión 0,1,1

SERVIDOR WEB. Servidores web IIS (Windows) / Apache (Windows y Linux)

AVA-SECSystemWeb. Introducción Características del producto Especificaciones Técnicas


Existe una solicitud disponible a tal efecto en la url:

UNIVERSIDAD TECNOLOGICA CENTROAMERICANA

Pentesting con OWASP Zed Attack Proxy

Curso de HTML5 y CSS3

COMPARTIR RECURSOS. Pag. 1 de 7

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

La interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la

11/06/2011. Alumno: José Antonio García Andreu Tutor: Jairo Sarrias Guzman

Sistemas Operativos. Clase 14: protección y seguridad.

Índice 1. Acceso a la Intranet. 2. Acceso sin identificación. 3. Subir un archivo a la Intranet (Profesor/a Departamento). 4. Descarga del archivo en

Transcripción:

b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.ar @seguinfo Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection Cookies Controles en producción Conclusiones www.segu-info.com.ar 1

Cuando hablamos de Seguridad, en realidad de qué hablamos? R I E S G O Superficie de ataque Remoto Restringido Local Administradores Usuarios Autenticados Anónimos www.segu-info.com.ar 2

Redes Internas vs Externas Si sólo personal interno conoce el acceso, entonces nadie podrá acceder desde el exterior Se ingresa a Intranet, sitios de backendo de administración a través de URL públicas Problemas asociados: El enemigo interno y el abuso de conocimiento El descubrimiento fortuito de personal externo Redes Internas vs Externas www.segu-info.com.ar 3

Bugs simples Encontramos un pequeño bugque podríamos resolver en un momento pero nos llevaría más tiempo implementarlo en producción que arreglarlo, así que lo dejamos así, total funciona Bugs simples Resolvemos el bugy realizamos una vaga descripción de la resolución porque resulta demasiado complicado explicarlo No detallamos los pasos para reproducir el error porque son triviales o muy complicados www.segu-info.com.ar 4

Bug solucionado Validaciones simples Cargo los archivos en forma dinámica en tiempo de ejecución. Qué buena idea! Falta de validación de archivos incluidos o subidos permiten la ejecución de los mismos en el servidor local o remoto Se debe validar y rechazar cualquier tipo de archivo MIME no permitido www.segu-info.com.ar 5

RFI y LFI Inyección de archivos www.segu-info.com.ar 6

Validación al subir archivos Evitar RFI y LFI UrlScanpordefectobloquea: exe, bat, cmd, com, htw, ida, idq, htr, idc, printer, ini, pol, dat, etc. En PHP se puedeutilizarmod_securityy/o Suhosin Todas las validaciones se deben realizar en ambos lados: cliente y servidor www.segu-info.com.ar 7

XSS Cross Site Scripting Ejecuciónde códigono validadoen el clientea travésde la inyeccióndel mismo por diversos métodos XSS Cross Site Scripting www.segu-info.com.ar 8

Logs de ataques Las galletitas Programar, comer y beber That s life! Las cookiespuedenser obtenidasdesdeel clientea travésde scriptssencillosy a travésde ataques XSS Si el browser soporta HTTP-Only, se puede bloquearla lecturay escriturade lascookiesen el cliente www.segu-info.com.ar 9

Control de Cookies Controlar la información en las cookies Implementar HTTP-Only Sin HTTP-Only Con HTTP-Only Navegadores y HTTP-Only http://www.owasp.org/ www.segu-info.com.ar 10

XSS y Phishing Cross Domain Request Los archivos no alcanzaron así que cargamos img, frames, forms, CSS, JS, etc. desde múltiples dominios Cross-site HTTP requests: solicitudes HTTP que se realizan desde diferentes dominios La W3C ha propuesto un nuevo estándar para controlar el Cross Domain Request Todos los navegadores lo soportan excepto Opera (por ahora) www.segu-info.com.ar 11

X-Frame Origin Frame RIA: Rich Internet Applications Las aplicaciones no se validan porque no tienen vulnerabilidades, o las mismas no pueden explotarse www.segu-info.com.ar 12

Dos políticas a implementar Mismoorigen:sidos sitioscompartenel mismo [protocolo:puerto] entonces tienen el mismo origen Puede ser utilizado para restringir la ejecución sólo desde dominios válidos SandBox:la ejecuciónse realizaen un entorno controladoy no se accede a recursosqueno han sido específicamente autorizados Los procesos son considerados de baja integridad y no puedenaccedera procesosde integridad mayor (MIC y UIPI) URL Redirect Para controlar los abandonos de mi sitio, redireccionoa sitios externos mediante un script www.segu-info.com.ar 13

Bad URL Redirect Bad URL Redirect www.segu-info.com.ar 14

Control de URL Registrar y administrar las URL del sitio Yadijequelasvalidacionesse deben hacer de ambos lados? Control de URL www.segu-info.com.ar 15

SQL Injection SQL Injection Creoqueyalo dije: lasvalidacionesse deben hacer de ambos lados www.segu-info.com.ar 16

SQL Injection SQL Injection www.segu-info.com.ar 17

Aplicaciones para SQL Injection Desafío SQL Injection www.segu-info.com.ar 18

Testing en producción El testinges rápido así que lo realizamos en el servidor productivo El desarrollo y el testing deben realizarse en servidores!= producción Conclusiones y pasos a aplicar Asumir que cualquier entrada es maliciosa Validar todas las entradas Validar todas las salidas Codificar cada entrada y salida Utilizar aplicaciones para validación Validar permisos de aplicación y usuarios www.segu-info.com.ar 19

Finalmente: mi preferida Sin palabras Referencias Microsoft Security Development Lifecycle v5 http://bit.ly/9pimph - http://bit.ly/cglzbq Threat Analysis and Modeling (TAM) v3 http://bit.ly/ctp0uq FoundStone Free Tools http://bit.ly/aep4qs WebGoat http://bit.ly/btpp9n Otras aplicaciones vulnerables para aprender http://bit.ly/i7ajsf Writing Secure Code http://amzn.to/aeytae Sanitize HTML http://bit.ly/b9fn0r URLScan http://bit.ly/ax8v4x Practical Windows Sandboxing (3 partes) http://bit.ly/adwaiw- http://bit.ly/cbgww9 - http://bit.ly/9lsw97 www.segu-info.com.ar 20

Gracias! Lic. Cristian Borghello,, CISSP - MVP www.segu-info.com.ar www.segu-info.com.ar 21

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback