Webinar Gratuito Vulnerabilidades en Aplicaciones Web

Documentos relacionados
Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Webinar Gratuito Zed Attack Proxy

Webinar Gratuito OWASP WebScarab

Webinar Gratuito Nmap

Webinar Gratuito OpenVAS

Ataques a Bases de Datos Webinar Gratuito

Webinar Gratuito Hacking Ético

Webinar Gratuito Informática Forense

Webinar Gratuito Google Hacking

Análisis Forense con Autopsy 2 Webinar Gratuito

Explotación a CMSs Web

Pruebas de Penetración contra Aplicaciones Web

GENEXUS & OWASP TOP 10

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Webinar Gratuito Metasploit Framework

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

Ingeniería Social. Webinar Gratuito. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Seminario de SEGURIDAD WEB. Pedro Villena Fernández

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

Tu Educación en Manos de Profesionales

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Offensive State Auditoría de Aplicaciones Web

Taller Hacking for Forensics

Seguridad en Aplicaciones Web

OWASP Day Costa Rica

Introducción a OWASP OWASP. The OWASP Foundation

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

About Me. Mario Robles Tencio

Curso Online. Desarrollo Seguro en Java

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Gastón Toth Lic. en Computación CEH Pentester

Hacking Ético y Defensa en Profundidad "Versión 3.2.2

Ataques XSS en Aplicaciones Web

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Análisis Forense de Aplicaciones Web

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

In-seguridad y malware en dispositivos móviles

Su aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Seguridad Ofensiva en WordPress

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Principios Básicos de Seguridad en Bases de Datos

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

OWASP: Un punto de vista. aplicaciones web seguras

S E G U R I D A D E N A P L I C A C I O N E S W E B

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Testing de Seguridad de Aplicaciones Web

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

UNIDAD 1: FUNDAMENTACIÓN DE LAS TIC ADMINISTRACIÓN DE OFFICE 365

Certified Professional Offensive and Defensive Security

Mesografía y Bibliografía.

100% Laboratorios en Vivo

Proceso de registro de una sola vez Registro de cuenta My Globality

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

DEFINICIÓN. Fuente de imagen: ica.blogspot.com.es/2015/03/ley delitos-informaticos.html

Universidad Nacional de La Matanza Escuela Internacional de Informática

Administración de catálogo

IoT - Internet of Things.

Especificaciones Técnicas para Ethical Hacking

Material para Entidades Servicios tecnológicos para una vida más fácil. Servicios tecnológicos para una vida más fácil.

Hacking ético y Seguridad en Red

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

El Enemigo Está Dentro Impacto de la Falta de Seguridad en el Negocio

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

INGENIERÍA SOCIAL: HACKING PSICOLÓGICO

Fundamentos y categorías de ataques LSI 2013/2014

Universidad Francisco Gavidia

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

Inicio. junio Plana Docente. Dirigido a. Jean del Carpio Foronda - Perú. Alexis Torres Pardo - Perú

CONCEPTOS BÁSICOS Y SISTEMA OPERATIVO

Analista Consultor en Seguridad Informática IT: Ethical Hacking

aplicaciones 17, 18 y 19 de junio de 2009, Bogotá, Colombia

Aplicaciones y complementos

Ataques a aplicaciones web

Penetration Testing. Conceptos generales y situación actual. PwC

Programación de código seguro

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE

Programa de Programación Páginas web JavaScript y ASP.NET 3.5 (C#)

Quienes somos. Eduardo Arriols Roberto Lopez

Inseguridad de los sistemas de autenticación en aplicaciones web

The Hacking Day Ethical Pentester Certified THD-EPC

LOGO COLABORADOR

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Transcripción:

Webinar Gratuito Vulnerabilidades en Aplicaciones Web Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013

Quién Soy? - Consultor e Instructor Independiente en Hacking Ético, Cómputo Forense y GNU/Linux. - Ex Integrante de RareGaZz y actual integrante de PeruSEC. - Ex Redactor en la Revista Linux+ DVD (ES). - Creador del II Reto Forense Digital Sudamericano - Chavin de Huantar 2012. - Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. - Más de 10 años de experiencia en el área. - Twitter: @Alonso_ReYDeS - LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada/

Vulnerabilidades más comunes en App Web Qué es lo que típicamente buscan los atacantes cuando evalúan una aplicación web?. Los problemas son usualmente copiosos, pero pueden reunirse en algunas pocas categorías. Open Web Application Security Project - OWASP ha realizado un gran trabajo en documentar con un consenso general las vulnerabilidades de seguridad en aplicaciones web más críticas. Es muy interesante su Top Ten Project, el cual proporciona una lista regularmente actualizada de los temas de seguridad en aplicaciones web. Los ejemplos que se expondrán a continuación detallan algunas de estas categorías de OWASP. 1. Cross-Site Scripting (XSS) 2. Injection Flaws (i) 3. Cross-Site Request Forgery (CSRF) * OWASP - http://www.owasp.org

Cross-Site Scripting Los ataques Cross-Site Scripting recaen en la deficiencias de validación de entrada / salida en aplicaciones web. Sin embargo, a diferencia de otros tipos de ataque, el objetivo del XSS no es la aplicación en si misma, sino los otros usuarios de la aplicación vulnerable. Por ejemplo, un usuario malicioso puede publicar un mensaje en una aplicación web Libro de visitantes con un contenido ejecutable. Cuando otro usuario visualice este mensaje, el navegador interpretará el código y lo ejecutará, dando control al atacante sobre el sistema del segundo usuario. Por lo tanto la carga de un ataque XSS afecta típicamente la aplicación del usuario final. Un XSS adecuadamente ejecutado puede ser devastador de una aplicación web, como también en la reputación de la organización. Un XSS puede generar el secuestro de cuentas y sesiones o robo de cookies. OWASP describe con buen detalle técnico los ataques XSS. * XSS OWASP - https://www.owasp.org/index.php/xss

SQL Injection Las aplicaciones web modernas confían en contenidos dinámicos. Esto se logra recuperando datos actualizados desde una Base de Datos o un servicio externo. En respuesta a una petición para una página web, la aplicación generará una consulta, algunas veces incorporando porciones de la petición dentro de la consulta. Si la aplicación no es cuidadosa en la forma como se construye la consulta, un atacante puede alterar la consulta, modificando como esta es procesada por el servicio externo. Estas fallas de inyección pueden ser devastadoras, ya que el servicio algunas veces confía completamente en la aplicación web, y casi siempre escondido a salvo detrás de algunos firewalls. Una de las plataformas más populares para almacenar datos web es SQL, y muchas aplicaciones web están basadas completamente en scripts front-end que simplemente consultan una base de datos SQL, ya sea en el mismo servidor web o en un sistema back-end separado.

SQL Injection (Cont.) Una de las mecanismos más eficientes para realizar esto es la técnica denominada SQL Injection. Mientras que las fallas de inyección afectan cualquier tipo de dispositivos externos, SQL Injection es de lejos la más prevalente y popular de las fallas. Una SQL Injection se relaciona al ingreso en bruto de consultas SQL dentro de una aplicación para realizar un acción inesperada. Algunas veces, las consultas existentes son simplemente editadas para lograr los mismos resultados SQL es fácilmente manipulable por la ubicación de incluso un solo carácter en un lugar seleccionado con acierto, causando que toda la consulta se comporte de manera bastante maliciosa. Algunos de estos caracteres utilizados comúnmente para estos ataques de validación de ingreso incluyen la comilla simple ('), doble guión (--), y el punto y coma (;). Todos estos con un especial significa en SQL. OWASP describe con buen detalle técnico los ataques SQL Injection. * SQL Injection OWASP - https://www.owasp.org/index.php/sql_injection

Cross Site Request Forgery Las vulnerabilidades CSRF se conocen desde hace una década, pero recientemente se han reconocido como un tema bastante serio. El concepto detrás de un CSRF es sencillo: una aplicación web proporciona a los usuarios una autenticación de sesión persistente, de esta manera no hay necesidad de autenticarse nuevamente cada vez que se solicita una página. Pero si un atacante puede convencer al navegador web del usuario a enviar una petición a un sitio web, puede tomar ventaja de la sesión persistente para realizar acciones en lugar de la víctima. El resultado es una variedad de situaciones: cambio de contraseña de una cuenta, transferencia de dinero, compra de mercancía, y más. Un CSRF es fácil de explotar. Un atacante inserta una etiqueta image dentro de una página web, cuando la víctima carga la pagina, su navegador enviará la petición GET para cargar en enlace insertado en esta etiqueta. OWASP describe con buen detalle técnico los ataques CSRF. * CSRF OWASP - https://www.owasp.org/index.php/csrf

Demos Es momento de las demostraciones

Curso Online de Hacking Aplicaciones Web Días: Sábados 6, 13, 20 Julio y 3, 10 de Agosto del 2013. Horario: De 9:00am a 12:00 (UTC -05:00) Más Información: http://www.slideshare.net/reydes/curso-hacking-aplicacionesweb Correo electrónico: caballero.alonso@gmail.com Twitter: https://twitter.com/alonso_reydes LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/ Skype: ReYDeS Sitio Web: http://www.reydes.com

Webinar Gratuito Muchas Gracias! Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback