Departamento Ingeniería en Sistemas de Información

Documentos relacionados
Seguridad aplicaciones (Solución RASP).

Autor: Christian Mendoza Bonzo Objetivo: Instruir a Organizaciones, Gerentes, Desarrolladores, Arquitectos de seguridad; sobre las consecuencias de

Auditoría Técnica de Seguridad de Aplicaciones Web

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Corporación Ornitorrinco Labs

SEGURIDAD Y ALTA DISPONIBILIDAD

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Seguridad Web: SQL Injection & XSS

Seguridad Web: SQL Injection & XSS

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

100% Laboratorio en vivo

Fundamentos de la Seguridad Informática

Webinar Gratuito Vulnerabilidades en Aplicaciones Web

Presentación del curso Presencial

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Implementación de ModSecurity Firewall de Aplicación Web L.I. Dante Odín Ramírez López

Javier Garson Desarrollador web Abril CSRF Falsificando peticiones

96 horas. Competencias profesionales:

Programación de código seguro

Tendencias en Seguridad de la Información

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

Desarrollo de aplicaciones seguras. (Técnicas de ataque y defensa)

SEGURIDAD EN EL DESARROLLO DE APLICACIONES WEB CON DRUPAL

SEGURIDAD EN APLICACIONES WEB. Autor: Siler Amador Donado

PROYECTO FIN DE CARRERA

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Control de Requisitos de Seguridad del Código

Seguridad del protocolo HTTP:

CURSO ADMINISTRACIÓN WEB SEMANA 6 SEGURIDAD EN REDES

Diseño de software seguro: procesos de diseño seguro, interconectividad, modelado de amenazas, arquitecturas de aplicación y técnicas aplicables.

Principios Básicos de Seguridad en Bases de Datos

GreenCore Solutions SRL

Departamento Ingeniería en Sistemas de Información

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

Seguridad en Aplicaciones Web

ISO Gestión de Riesgos de Ciberseguridad. Krav Maga Hacking Information Security Services

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Tendencias en Seguridad de la Información

Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

About Me. Mario Robles Tencio

Seguridad en Aplicaciones Web

Curso Developing ASP.NET MVC 4 Web Applications (20486)

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES.

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Proyecto de Fin de Carrera. Autor: David Rozas Domingo Tutor: José Centeno González

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

Visa, una Herramienta para hacer crecer tu Negocio

100% Laboratorios en Vivo

Anexo IV Vulnerabilidades más críticas de los sistemas informáticos

TEMARIO. Linux Básico - Intermedio >>DURACIÓN DEL CURSO 40 HRS

Pruebas de Intrusión de Aplicación

Su aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Developing ASP.NET MVC 4 Web Applications

Curso Implementing and Maintaining Microsoft SQL Server 2008 Reporting Services (6236)

Redes inalámbricas. red inalámbrica

Servicio Web de Programación Dinámica: Federación de aplicaciones PHP (Autenticación con credenciales UGR)

eica IT DDesenvolvemento e Formación

PROGRAMA INTERNACIONAL EN DESARROLLO SEGURO. Ficha Técnica

OWASP Top Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

Asignatura: Tecnologías Emergentes 7º Nivel. Docente: Ing. Freddy Melgar Algarañaz

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

ESPECIFICACIONES TÉCNICAS LICITACIÓN PÚBLICA MIGRACIÓN DE SOFTWARE SISTEMA DE GESTIÓN DE VESTUARIO

OWASP: Un punto de vista. aplicaciones web seguras

RECOMENDACIONES DE SEGURIDAD

Vulnerabilidades Ethernet. Identificación de las vulnerabilidades de protocolo Ethernet en capa 2.

- Si es así, cuales son los lenguajes y entornos libres comparables a un C/C++ con Anjuta-Glade/Visual Studio y buenas librerias?

Navegando al Día. Publicado en Revista.Seguridad ( Inicio > Navegando al Día. Por David Eduardo Bernal Michelena

Seguridad en Aplicaciones Web Basado en la programación en PHP

ANX-PR/CL/ GUÍA DE APRENDIZAJE. ASIGNATURA Desarrollo de software de seguridad en red. CURSO ACADÉMICO - SEMESTRE Primer semestre

Seguridad del protocolo HTTP

Qué es un certificado digital de servidor?

Programación en Internet: La enseñanza de una nueva filosofía de desarrollo de aplicaciones informáticas

Modelo Académico de Calidad para la Competitividad ASWE-02 13/22

PROTECCIÓN DE SERVIDORES, PUESTOS Y TERMINALES SEGURIDAD ENDPOINT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Javascript Desarrollador Front- End

Javascript Desarrollador Front- End

Año 2012 CURSO ENHACKE ETHICAL HACKING NIVEL I. Curso Oficial ENHACKE CURSOS

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Cátedra: Programación de Aplicaciones Visuales II 1

PLIEGO PRESCRIPCIONES TÉCNICAS. Suministro e instalación de una nueva Plataforma de Navegación web. Ref: /01

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE INGENIERÍA PROGRAMA DE ESTUDIO

La seguridad del entorno electrónico

Ing. César Narváez. Amenazas más comunes en Internet

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Firewall de bases de datos

Recomendaciones para la programación segura de sitios Web

Desarrollo de aplicaciones Cliente Servidor

Estado de conciencia en la seguridad de las aplicaciones móviles

UD2 Documentación 5 Amenazas y Ataques a redes corporativas

Correo electrónico seguro. Introducción Seguridad en Servidores Seguridad en clientes de correo Gestión de contraseñas Para saber más...

CAR - Clave de Acceso a la Red Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo PREGUNTAS FRECUENTES

Aplicaciones Web. Aplicaciones Distribuidas

UNIVERSIDAD AUTONOMA DE QUERETARO Facultad de Informática

Tecnología Safe Money

Programa Formativo. Objetivos

Transcripción:

ASIGNATURA: SEGURIDAD EN APLICACIONES WEB MODALIDAD: Cuatrimestral DEPARTAMENTO: ING. EN SIST. DE INFORMACION HORAS SEM.: 6 horas AREA: ELECTIVA HORAS/AÑO: 96 horas BLOQUE TECNOLOGÍAS APLICADAS HORAS RELOJ 72 NIVEL: 5º AÑO DE DICTADO: 2015 Objetivos Que el futuro profesional comprenda conceptualmente qué son las vulnerabilidades que afectan a las aplicaciones WEB, cuáles son las causas que las generan y cómo es posible explotarlas. Que el alumno entienda la evolución que ha tenido la tecnología en los últimos años y el contexto en el cual surgen estas vulnerabilidades. Que el estudiante comprenda los riesgos que traen aparejadas dichas vulnerabilidades en cada caso y sus alcances. Que el estudiante se concientice sobre el concepto de seguridad y que lo incorpore a sus tareas diarias. Que el futuro profesional desarrolle un criterio crítico sobre el desarrollo de aplicaciones WEB y su seguridad. Concientizar al alumno en las buenas prácticas de programación y brindarle herramientas que no estén basadas solamente en la correcta programación e implementación. Que el futuro profesional comprenda la necesidad de la investigación y actualización del actual estado del arte. Que el alumno conozca y maneje herramientas que le permitan mantener plataformas WEB con adecuados niveles de seguridad. Que el estudiante comprenda conceptualmente los distintos enfoques que tienen las soluciones existentes. Coordinar charlas de proveedores de soluciones. Contenidos Mínimos (Programa Sintético). Desarrollo conceptual de que es una Vulnerabilidad en una Aplicación WEB 1

Que elementos propios de una codificación de una solución WEB producen una Vulnerabilidad. Que elementos ajenos a la propia codificación de un desarrollo WEB producen una Vulnerabilidad Enumeración e introducción a las vulnerabilidades más reconocidas y el porqué de este reconocimiento. Explotación de las vulnerabilidades. Que se puede hacer u obtener en cada explotación. Límites y alcances. Que es un WAF (Firewall de Aplicaciones WEB). Como funciona y como se implementa. Que puede hacer para mitigar las Vulnerabilidades. Como se generan las reglas del WAF. Estado del arte y amenazas complejas Contenido Analítico: UNIDAD 1: Contexto Estado del arte en la construcción de soluciones WEB. Avance y cambios en la tecnología en la última década. Tendencias. Desafíos presentes y futuros del desarrollador y su responsabilidad en la seguridad UNIDAD 2: Nociones fundamentales Conocimientos sobre vulnerabilidades y cómo explotarlas. Conocimientos sobre exploits. Riesgos de las vulnerabilidades, su impacto. Por qué una aplicación es vulnerable. Que produce una vulnerabilidad. Ejemplos de codificaciones que hacen a las aplicaciones vulnerables. UNIDAD 3: Implementación e infraestructura. Por qué una página WEB es estática. Página WEB dinámica, basada en CGI-BIN. Página WEB dinámica, basada en código interpretado (PHP, ASP). Página WEB dinámica con consulta a BD. Página WEB dinámica con un servidor de aplicaciones. Web server - tipos y cuál es su función. Servidor de Aplicaciones - tipos y cuál es su función. Base de datos - tipos y cuál es su función. Proxys reversos tipos y cuál es su función. Terminador de túneles SSL tipos y cuál es su función. Dónde y por qué. Infraestructura. Dónde y cómo se vinculan. DMZ. Servidores WEB. Servidores de Aplicaciones. Servidores de Base de Datos. Proxys. SSL. UNIDAD 4: Firewall de Aplicaciones Presentación de soluciones como Firewall de Aplicaciones: Qué es? Cómo funciona? 2

Qué alcance tiene? Qué limitantes tiene? Por qué? Cómo se implementa? Cómo se mantiene? Firewall de aplicaciones (web y de base de datos). Armado de los Laboratorios. WAF. Aplicaciones Web Vulnerables. Herramientas de investigación y explotación de vulnerabilidades. UNIDAD 5: Vulnerabilidad de Inyección. Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados. UNIDAD 6: Vulnerabilidad de Pérdida de Autenticación y Gestión de Sesiones. Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios. UNIDAD 7: Vulnerabilidad de Secuencia de Comandos en Sitios Cruzados (XSS) Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la víctima, los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. UNIDAD 8: Vulnerabilidad de Referencia Directa Insegura a Objetos Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder a datos no autorizados. UNIDAD 9: Vulnerabilidad de Configuración de Seguridad Incorrecta Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación. UNIDAD 10: Vulnerabilidad de Exposición de datos sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes 3

pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. UNIDAD 11: Vulnerabilidad de Ausencia de Control de Acceso a Funciones La mayoría de aplicaciones web verifican los derechos de acceso a nivel de función antes de hacer visible la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada función. Si las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada. UNIDAD 12: Falsificación de Peticiones en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una víctima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable piensa que son peticiones legítimas provenientes de la víctima. UNIDAD 13: Vulnerabilidad de Utilización de componentes con vulnerabilidades conocidas Algunos componentes tales como las librerías, los frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una pérdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos. UNIDAD 14: Vulnerabilidad de Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas. Bibliografía. Bibliografía Obligatoria: Modsecurity Handbook (2010) Escrito por Ivan Ristic Web Application Security, A Beginner's Guide (2011) Escrito por Bryan Sullivan,Vincent Liu HACKING EXPOSED WEB APPLICATIONS, 3 rd (2010) Edition Escrito por Joel Scambray,Vincent Liu,Caleb Sima Bibliografía sugerida: 4

Java Coding Guidelines: 75 Recommendations for Reliable and Secure 2013) Programs Escrito por Fred Long, Dhruv Mohindra, Robert C. Seacord Pro ASP.NET Web API Security: Securing ASP.NET Web API (2013) Escrito por Badrinarayanan Lakshmiraghavan Securing Ajax Applications: Ensuring the Safety of the Dynamic Web (2007) Escrito por Christopher Wells Web Security Testing Cookbook (2008) Escrito por Paco Hope,Ben Walther Otros Recursos: Open Web Application Security Project. https://www.owasp.org/ Backtrack Academy. http://www.backtrackacademy.com SpiderLabs is Trustwave s elite team of ethical hackers, forensic investigators and researchers helping organizations fight cybercrime, protect data and reduce risk. https://www.trustwave.com/resources/spiderlabs-blog Stack Overflow is a question and answer site for professional and enthusiast programmers. http://stackoverflow.com/ Correlativas Para Cursar: Cursadas: - Administración de Recursos - Redes de Información Aprobadas: - Todas las asignaturas del 3º Nivel Para rendir: Aprobadas: - Administración de Recursos - Redes de Información 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback