Seguridad de un Portal



Documentos relacionados
Capítulo V. Seguridad de un portal

Requisitos de control de proveedores externos

Ataques XSS en Aplicaciones Web

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

Auditoría de Seguridad

Curso Online. Desarrollo Seguro en Java

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

100% Laboratorios en Vivo

Solución de problemas de la Administración Electrónica en la Universidad de Almería. Requisitos Técnicos.

Seguridad Informática

Resumen de los protocolos de seguridad del Registro Telemático

Servicios de Seguridad de la Información

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10

UD 1: Adopción de pautas de seguridad informática

Su Seguridad es Nuestro Éxito

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

PRIMEROS PASOS EN LA APLICACIÓN REA

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

Seguridad en Aplicaciones Web

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

Software Criptográfico FNMT-RCM

Guía de doble autenticación

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

In-seguridad y malware en dispositivos móviles

Universidad Autónoma De Guadalajara

Hacking ético y Seguridad en Red

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA


Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Bloquean el tráfico basándose en un esquema de aplicaciones fiables - no fiables.

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Gastón Toth Lic. en Computación CEH Pentester

Javier Bastarrica Lacalle Auditoria Informática.

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Seguridad de la información en SMart esolutions

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

PROGRAMACIÓN PÁGINAS WEB CON PHP

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

MINT A NIVEL BROSERW CON BEEF

Recomendaciones de Seguridad Red Social Twitter

Instalación de certificados raíz para el acceso a la Sede Electrónica de la Junta de Castilla y León

Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada

Offensive State Auditoría de Aplicaciones Web

OWASP: Un punto de vista. aplicaciones web seguras

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Dulce M. Vázquez Caro

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Políticas de seguridad de la información. Empresa

Alfredo Hidalgo Limbrick. Inteligencia de Redes de Datos

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

LOS VIRUS IMFORMÁTICOS

S E G U R I D A D E N A P L I C A C I O N E S W E B

MANUAL SOLICITUD DE ALTA Y CONEXION A LA WEB DE PROVEEDORES DE DISTRIBUCION

Q-expeditive Publicación vía Internet

Presentación. Porqué formarte con nosotros?

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: Fax:

Guía de resolución de problemas de firma con certificado en la Sede Electrónica del CIEMAT

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Sitemap de texto plano (sin formato)

Programación páginas web. Servidor (PHP)

TEMA 1 Modelo OSI de Seguridad

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

Vulnerabilidades en los Servidores de Nombre (DNS) y su Solución mediante Certificación Digital

Cross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro antonio@noveria.es

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Alternativas tecnológicas en seguridad desde la Red

Catalogo cursos de Seguridad Informática

GUÍA DIDÁCTICA - MÓDULO DE AFILIACIÓN SIPE

Seguridad en el ordenador

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

DIRECCIÓN GENERAL DE REGISTRO CIVIL, IDENTIFICACIÓN Y CEDULACIÓN. Sistema Nacional de Identificación Ciudadana. Manual de Usuario

Hacking con Google. Dr. Gonzalo Álvarez Marañón

ANTIPHISHING: Qué es? Para qué sirve? De qué protege? Escenarios de aplicación. Recomendaciones y buenas prácticas.

Configuración de SQL 2005 Express para conexiones remotas

DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES

Cómo importamos el certificado digital en firefox?

Técnicas y Procedimientos para la realización de Test de Intrusión

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

G Data Informe técnico. Behaviour Blocking. (Escudo de comportamiento) Go safe. Go safer. G Data. Marco Lauerwald Marketing

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Resumen del trabajo sobre DNSSEC

Marcos de Desarrollo. Diseño e implementación de aplicaciones Web con.net

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

Privacidad. <Nombre> <Institución> < >

El sistema está solicitandome ingresar nuevamente porque mi sesión ha expirado. Qué significa esto?

SEGURIDAD ataques riesgos tipos de amenazas

Unidad Educativa del Milenio Experimental Dr. Alfredo Raúl Vera Vera Correos Electrónicos de la Unidad Educativa

Implantación de Aplicaciones Web Fecha:

Firewalls, IPtables y Netfilter

Requisitos mínimos. ANEXO I: Certificado digital

RETO HACKER DE VERANO

MANUAL DE USUARIO PANEL DE CONTROL Sistema para Administración del Portal Web.

Transcripción:

Seguridad de un Portal 5 de noviembre, 2010 Gabriel Fernández NyF@agesic.gub.uy

Qué debemos proteger? Información Disponibilidad http://moplincom.moplin.com/wp-content/uploads/2009/08/joke-redes1.jpg 2

Por qué debemos protegernos? Amenazas a la Confidencialidad Intercepción (Canales inseguros de comunicación) Acceso no autorizado (Autenticación débil o insuficiente) Fuga de información/divulgación no autorizada (No tener control sobre lo que divulgamos; mal empleo de cookies; mal manejo de errores) 3

Por qué debemos protegernos? (II) Amenazas a la Integridad Cross Site Scripting (XSS) Inyección SQL Defacement Pharming 4

Por qué debemos protegernos? (II) Amenazas a la Disponibilidad Denegación de servicios (DoS) Denegación de servicios distribuida (DDoS) Buffer Overflow 5

Cómo nos protegemos? Mitigar los riesgos = Aplicar controles Funciones de Hardware y Software Gestión y procedimientos adecuados 6

Controles www.agesic.gub.uy

No ponga a disposición más de lo necesario # Robots.txt file from http://www.nl.gob.mx # # Bans from tesoreria # # Disallow /tesoreria/ User-agent: * Disallow: /tesoreria/ Disallow: /stats/ Disallow: /servicios/ Disallow: /protegido/ Disallow: /skins/ Disallow: /Eventos/ Disallow: /buscador/ Disallow: /apps/ Allow: /protegido/buscador/ Debemos controlar qué información indexan los motores de búsqueda Los motores de búsqueda analizan mediante robots la estructura de nuestro sitio y la registran, pero respetan las excepciones detalladas en el archivo robots.txt 8

Creando nuestro primer robot 1. Entrar al sitio www.google.com/webmasters/tools Ejercicio 1 2. Acceder con el usuario: tallerseguridadporta@gmail.com clave: taller17092010 3. Hacer clic bajo sitios: www.inforclas.com 4. Acceder a Información del sitio y seguidamente en Acceso de rastreadores 5. Genere un archivo robots.txt a partir de la información que pueda recabar de la estructura del sitio de su organismo 9

Mucho más que un buscador Google Hacking Qué es? Técnica que explota la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador. Cómo prevenirlo? Aprenda cómo funciona Google (http://www.google.es/support/websearch/?hl=es) Archivo robots.txt Aplique "posicionamiento inverso" a todo aquello que quiera mantener lejos de ojos ajenos 10

Google Hacking Ejemplos 1. Direcciones privadas site:gub.uy inurl:intranet 2. Directorios navegables site:gub.uy intitle:"index of" 3. Archivos con claves ext:pwd inurl:(service authors administrators users) "# -FrontPage- " 4. Base de datos con búsquedas predeterminadas (GHDB): http://www.hackersforcharity.org/ghdb/ 5. Para divertirse en casa intitle: Live View / - AXIS 11

Analizando nuestros sitios Analice su sitio empleando las técnicas de google hacking buscando: 1. Direcciones privadas 2. Directorios navegables Ejercicio 2 3. Archivos sensibles Recuerde que puede mezclar parámetros de búsqueda para optimizar sus resultados (site: + ext: + palabra clave) Siempre puede emplear la GHDB como ayuda en su análisis 12

Manejando los errores http://bytesizebio.net/index.php/tag/science/ Mensajes con sentido, útil para diagnosticar e inútil para atacar Manejo de errores de usuario y del sistema Esquema común para el tratamiento de errores Estandarizar los mensajes de error 13

Galletas de la fortuna Usar cookies de forma segura Qué son las cookies? Cuál es su utilidad? Qué debemos considerar al emplear cookies? Asegurar el canal de comunicación Cifrar la información almacenada Evitar almacenar información confidencial Evitar cookies longevas Evaluar si pueden suplantarse por mecanismos más seguros 14

Pasará, pasará... - Control de acceso Identificación Autenticación Autorización Mecanismos recomendados para autenticar: Autenticación basada en formulario Web; Autenticación basada en la dirección; Autenticación HTTP digest; Autenticación del cliente mediante Certificado Digital 15

Dime con quién hablas y te diré quién eres Canales seguros de comunicación Proteger la información que atraviesa la conexión entre un usuario y nuestro portal Protocolo SSL/TLS Asegurar la identidad de nuestro portal Aquellas páginas protegidas mediante SSL/TLS sólo deben ser accedidas por este mecanismo 16

Más vale malo conocido... Validación de los datos de entrada No pecar de inocente Fijar caracteres válidos Filtrar los datos de entrada antes de procesarlos No almacene información sin filtrar en una base de datos Desconfíe de todo parámetro de entrada (URLs, cadenas, encabezados, cookies o campos) Protegernos de: Inyección SQL XSS 17

Verificando nuestros sitios 1. Cómo manejo los errores? Ejercicio 3 1. Identifique un formulario de ingreso a un área restringida de su sitio (tip: GH: site:[organismo].gub.uy inurl:intranet inurl:intranet) 2. Pruebe completando el formulario parcialmente (ej.: sólo usuario) 3. Pruebe ingresando caracteres extraños (ej: ;,. ) 2. Soy vulnerable a XSS? 1. Sobre el formulario de búsqueda de su sitio pruebe ejecutar <script>alert("xss");</script> 3. Admito Inyección SQL? 1. Sobre un formulario de ingreso a un área restringida de su sitio pruebe ejecutar ' or 1=1 -- 18

Protegerse contra amenazas de negación de servicio http://swain.webframe.org/tshirts/ La misión si decide aceptarla es: evitar que lo saturen Misión Imposible? Cómo hacerla casi posible: Limitar consultas a bases de datos (tiempo de ejecución; número de registros devueltos) Evitar bloqueos de cuentas de usuarios de forma malintencionada Evitar desbordamientos de buffer Limitar la escritura a disco 19

Más vale prevenir que curar + Controles Protección contra Pharming Resguardo de información Seguimiento Auditoría OWASP (http://www.owasp.org) 20

Cómo auditar con una navaja suiza? Samurai-WTF Distribución Live de Linux preconfigurada como entorno de pruebas de intrusión Web Compilado de las mejores herramientas OpenSource para análisis de seguridad web http://samurai.inguardians.com/ 21

Hackeo didáctico 1. Inicie Samurai-WTF 2. Desde Mozilla Firefox acceda al Target: Mutillidae (Bookmarks.: Target.: Mutillidae) Ejercicio 4 3. Ejecute ataques de XSS e Inyección SQL sobre el formulario de Login (puede emplear las tools XSS ME y SQL Inject ME ) y registre los resultados 4. Ejecute un análisis desde w3af a la url: http://127.0.0.1/ mutillidae. Evalue los resultados; tome dos vulnerabilidades y plantee como resolverlas 22

Muchas gracias www.agesic.gub.uy

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback