Seguridad en Aplicaciones Web

Documentos relacionados
Seguridad en Aplicaciones Web

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Seguridad en el desarrollo

Informe ransomware

Principios Básicos de Seguridad en Bases de Datos

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

SISTESEG Seguridad y Continuidad para su Negocio

Área: Microsoft SQL. Nombre del curso. Administración de Microsoft SQL Server 2014 Bases de datos

100% Laboratorios en Vivo

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Seguridad en Aplicaciones Web

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Seguridad Informática Mitos y Realidades

Ethical Hacking para Programadores

Seguridad Informática en Bibliotecas

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Ingeniería de Software II. SETEPROS Plan de pruebas. Versión 1.0

Departamento Administrativo Nacional de Estadística

La seguridad informática en la PYME Situación actual y mejores prácticas


Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA

Pruebas de Intrusión de Aplicación

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

Curso Implementing and Managing Microsoft Desktop Virtualization (10324)

Problemas de Seguridad Comunes en la UNAM. M.A. Manuel Quintero Ing. Demian García

Tema II: Metodología para la construcción de programas

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Certified Ethical Hacker (CEH) v8

Estrategia de Pruebas

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

APLICACIONES DE INTERNET: SOAP

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Curso Implementing and Managing Microsoft Server Virtualization (10215)

Seguridad en dispositivos móviles

Diplomado Desarrolladores Inmobiliarios

Especificaciones Técnicas para Ethical Hacking

IFCD0210 Desarrollo de Aplicaciones con Tecnologías Web

Curso Microsoft SharePoint Server 2010 Designing and Developing Applications (10232)

POLICÍA NACIONAL DEL ECUADOR DIRECCIÓN NACIONAL DE COMUNICACIONES

Ataques de lado Cliente (Client-Side Attacks)

Auditoría de Seguridad

Aspectos Básicos de Networking

Formación al usuario en Microsoft Office 365

ESTÁNDAR DE COMPETENCIA

Tutorial TestingV6. Ing. Gerardo Rada - LACNIC.net. Ing. Gustavo Guimerans

BOLETÍN OFICIAL DEL ESTADO

Sistema Operativo, Búsqueda de la Información: Internet/Intranet y Correo Electrónico (UF0319)

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Tema II: Metodología para la construcción de programas. Profesora: Nelly García Mora

Vulnerabilidades de los sistemas informáticos

Anexo 10. Pruebas verificadas

Programación de código seguro

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Administering Microsoft SQL Server Databases (20462)

2. Tipos de protección que hay actualmente (utiliza puntos). -Antivirus y cortafuegos.

CYBERGYM #CG002 SPA SERVICIOS INTEGRALES DE DEFENSA CIBERNÉTICA

IT Essentials I: PC Hardware and Software

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Requerimientos de Software

Desarrollo de software seguro: una visión con OpenSAMM

ArCERT Jornadas de Seguridad Informática 2009

Telefónica Soluciones SOC Grandes Clientes. Seguridad desde la Red

CURSO DE GERENCIA PRÁCTICA DE PROYECTOS (GPP)

Curso Administering Windows Server 2012 (20411)

Desarrollo Seguro usando OWASP

TM FORUM Y SU INICIATIVA FRAMEWORX. ALTERNATIVA PARA LA INTEGRACIÓN, DESARROLLO Y GESTIÓN DE LAS EMPRESAS DE TELECOMUNICACIONES.

Servicios de Seguridad de la Información

Laboratorio. Instalación de Visual Studio Community. Back To Basics Instalando Visual Studio Community. Versión: 1.0.

El Proceso. Capítulo 2 Roger Pressman, 5 a Edición. El Proceso de Desarrollo de Software

Certified Professional Offensive and Defensive Security

ESTÁNDAR DE COMPETENCIA

Seguridad en el ciclo de vida del desarrollo de software

MOC 10983A Actualización de Conocimientos a Windows Server 2016

DECÁLOGO DE SEGURIDAD

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

Sistemas Operativos. Introducción. Tema 6

Rúbrica de Evaluación GUIA INTEGRADORA SEGURIDAD EN BASES DE DATOS

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

EBA Sistema de Internet Banking

MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO

Tendencias en Cyber Riesgos y Seguridad de la Información

MCTS Exchange Server 2010 Administración. Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2010

Transcripción:

Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP isaias.calderon@gmail.com / @hl_mx

Objetivos Exponer las principales problemáticas en las aplicaciones web Crear conciencia en la área de desarrollo sobre la mentalidad de los atacantes Entender la importancia de los Top 10 identificados en los componentes más comunes dentro de varios entornos - academicos, gubernamentales y comerciales - con la finalidad de crear consciencia de seguridad. Responder la pregunta más común: Los atacantes / ataques son cada vez mejores o nosotros nos estamos volviendo débiles?

Agenda 1. Situación Actual de la WWW Vulnerabilidades en Aplicaciones Web y dispositivos móviles Estadísticas de Ataques oportunistas 2. Los ataques en la actualidad Adversarios y como piensan («Hacktivismo», «Defacement») ROI del delito (campaña de «ransomware») 3. La Base del Código Seguro Revisión e Higiene Ejemplosde estándaresde seguridad (SD 3 +C, OpenSAMM, OWASP, CERT-CC) Modelado de Riesgos 4. OWASP OWASP Top Ten 2013

SituaciónActual de la «WWW» Internet = «WWW» La mayoría de las aplicaciones Web: Son de alto riesgo Están mal diseñadas Están expuestas No están protegidas Tienen fallos comunes Son vías de entrada a la infraestructura de la empresa o la institución

Porquéatacar aplicaciones web? Muchas están disponibles desde Internet Menor protección (Firewall vs WAF vs IDS/IPS) Generalmenteno están desarrolladas con un esquema adecuado de seguridad Los desarrolladores cometen el mismo tipo de errores En ocasiones han crecido de forma desorganizada Son aplicaciones muchas veces transaccionales con conexión a bases de datos y sistemas «back-end»

AplicacionesWeb Comparten los mismos fallos de otros tipos de aplicaciones pero tienen algunos exclusivos 1. Valor de la Información Al ser multi-capa, generalmente se conectan a bases de datos o servidores centrales o críticos 2. Riesgo Las aplicaciones y los servidores en los que se montan tienen muchos fallos conocidos 3. Probabilidad de Ataque Tienen una exposición muy grande (Internet o Intranet) La mayoría de los ataques a estas aplicaciones no son bloqueados por los firewalls

Aplicaciones Web 98% 20% APLICACIONES VULNERABLES PROMEDIO DE VULNERABILIDADES POR APLICACIÓN Copyright 2015 Trustwave Holdings, Inc.

Estadisticasde Ataquesa Web Principales métodos de ataques oportunistas** observados ATAQUE DDOS A TRAVÉS DE LA FUNCIÓN "PINGBACK" DE WORDPRESS CROSS-SITE SCRIPTING (XSS) VULNERABILIDAD SHELLSHOCK DE BASH (CVE-2014-6271) HTTP RESPONSE SPLITTING ATAQUES DE FUERZA BRUTA EN WORDPRESS VULNERABILIDAD EN MÓDULO TIMTHUMB DE WORDPRESS Copyright 2015 Trustwave Holdings, Inc.

Frecuenciade vulnerabilidades 2014 2013 Copyright 2015 Trustwave Holdings, Inc.

Vulnerabilidadesenmóviles BAJO MEDIO ALTO CRÍTICO Copyright 2015 Trustwave Holdings, Inc. Copyright 2015 Trustwave Holdings, Inc.

Agenda 1. Situación Actual de la WWW Vulnerabilidades en Aplicaciones Web y dispositivos móviles Estadísticas de Ataques oportunistas 2. Los ataques en la actualidad Adversarios y como piensan («Hacktivismo», «Defacement») ROI del delito (campaña de «ransomware») 3. La Base del Código Seguro Revisión e Higiene Ejemplosde estándaresde seguridad (SD 3 +C, OpenSAMM, OWASP, CERT-CC) Modelado de Riesgos 4. OWASP OWASP Top Ten 2013

Cómopiensaun adversario? SIEMPRE va a buscar el camino más fácil Formas de entrar: 1. Adivinando o descifrando contraseñas 2. Explotando vulnerabilidades en el diseño o configuración de sistemas o equipos 3. Interceptando comunicaciones 4. Utilizando ingeniería social (casi siempre usan una combinación de las anteriores)

Adversarios DIRIGIDO SKB Enterprises brinda servicios a muchos clientes, maneja una gran cantidad de transacciones de pago con tarjetas y probablemente tiene datos de los clientes almacenados en alguna parte. Voy a descubrir cómo puedo acceder ilegalmente. Identificar primero el objetivo SOLO ENTONCES se considera un ataque Más esfuerzo en la planificación y la ejecución Generalmente dirigido a organizaciones más grandes OPORTUNISTA Sé cómo comprometer un servidor web a través de una vulnerabilidad Adobe Cold Fusion. Voy a buscar servidores vulnerables en Internet y probar si puedo acceder a información valiosa, además de inyectar código malicioso con malware para infectar a los visitantes. Identificar primero la vulnerabilidad y la forma de explotarla(«exploit») El objetivo no importa, solo debe ser vulnerable para poder atacarlo Mínimo esfuerzo Generalmente dirigido a organizaciones más pequeñas Copyright 2015 Trustwave Holdings, Inc.

«ROI» POR CAMPAÑA DE «RANSOMWARE» INVERSIÓN (USD) Carga - $3,000 Vector de infección - $500 Adquisición de tráfico - $1,800 Cifrado diario - $600 Gastos totales - $5,900 INGRESOS Visitantes 20,000 Tasa de infección 10% RENTABILIDAD DE INVERSIÓN Gastos totales Ingresos Ganancia bruta - $5,900 USD $90,000 USD $84,100 USD ROI 1425% Porcentaje de éxito 0.5% Monto de rescate Duración de la campaña Ingresos totales $300 USD 30 días (3 sem) $90,000 USD

«Hacktivismo»

«Defacement»

zone-h.org(1/5)

zone-h.org(2/5)

zone-h.org(3/5)

zone-h.org(4/5)

zone-h.org(5/5)

Agenda 1. Situación Actual de la WWW Vulnerabilidades en Aplicaciones Web y dispositivos móviles Estadísticas de Ataques oportunistas 2. Los ataques en la actualidad Adversarios y como piensan («Hacktivismo», «Defacement») ROI del delito (campaña de «ransomware») 3. La base del Código Seguro Revisión e Higiene Ejemplosde estándaresde seguridad (SD 3 +C, OpenSAMM, OWASP, CERT-CC) Modelado de Riesgos 4. OWASP OWASP Top Ten 2013

La Base del Código Seguro 1.Minimizar los privilegios Usuarios del SO Usuarios de la BDs Usuarios dentro de la aplicación 2.Minimizar la superficie de ataque Todo se apaga o se deshabilita Se va prendiendo, abriendo o habilitando lo mínimo requerido para que algo funcione Se valida toda la información externa 3.Garantizar seguridad a profundidad Se aseguran los sistemas operativos y los servidores web y base de datos NUNCA «Security through obscurity»

Ejemplo: SD 3 +C El estándar actual de Microsoft para diseño de software: Seguro por Diseño («Secure Design») Arquitectura y código seguro Análisis de riesgos Reducción de Vulnerabilidades Seguro por Default («Secure by Default») Reducir la superficie de ataque Apagar todos los features que no sean usados Mínimos privilegios Seguro al Instalar («Secure Deployment») Protección: detección, defensa, recuperación y administración Proceso: guías de arquitectura y de implantación Personas: entrenamiento http://www.microsoft.com/security/sdl/default.aspx

Estándares de Desarrollo Seguro 1.Software Assurance Maturity Model (SAMM) http://www.opensamm.org/ 2.SD 3 +C / PD 3 +C https://msdn.microsoft.com/en-us/library/windows/desktop/cc307406.aspx 3.CERT Coding Standards CERT C https://www.securecoding.cert.org/confluence/display/seccode/sei+cert+coding+sta ndards 4.OWASP https://www.owasp.org/index.php/owasp_samm_project https://www.owasp.org/index.php/category:owasp_application_security_verification _Standard_Project Certificaciones CSSLP -ISC2 Ec-council Certified Secure Programmer (ECSP)

Modeladode Riesgos 26

Qué es Modelado de Riesgos? Modelado de riesgos es un análisis enfocado en seguridad que: Ayuda al equipo de código a entender donde es más vulnerable el producto Evalúa los riesgos a una aplicación Busca reducir los riesgos de seguridad Encuentra activos Descubre vulnerabilidades Identifica amenazas Ayuda a formar las bases de las especificaciones del diseño

Beneficios del Modelado de Riesgos Ayuda a entender mejor la aplicación Permite encontrar problemas Ayuda a identificar problemas complejos Facilita la integración de nuevos miembros al equipo de código Ayuda a mantener un dirección homogénea en el diseño

Proceso de Modelado de Riesgos 1. Identificar Activos 2. Crear Arquitectura 3. Descomponer la Aplicación 4. Identificar Riesgos 5. Documentar Riesgos 6. Clasificar Riesgos

RiesgosenAplicaciones

RiesgosCualitativos

Agenda 1. Situación Actual de la WWW Vulnerabilidades en Aplicaciones Web y dispositivos móviles Estadísticas de Ataques oportunistas 2. Los ataques en la actualidad Adversarios y como piensan («Hacktivismo», «Defacement») ROI del delito (campaña de «ransomware») 3. La base del Código Seguro Revisión e Higiene Ejemplosde estándaresde seguridad (SD 3 +C, OpenSAMM, OWASP, CERT-CC) Modelado de Riesgos 4. OWASP OWASP Top Ten 2013

QuéesOWASP? Grupo de voluntarios Produce documentación, herramientas y estándares gratuitos Calidad profesional y de código abierto

OWASP Top 10 -Riesgos

A1 -Inyección

A2 Autenticacióny Sesiones

A3 Cross Site Scripting

A4 ReferenciaInseguraa Objs.

A5 Configuracioninsegura

A6 DatosSensibles

A7 Control de Acceso

A8 Cross Site Request Forgery

A9 Componentescon vulns

A10 Redireccioninválida

Recomendaciones Sistemas operativos y aplicaciones con actualizaciones y parches Validar todas las operaciones de entrada y salida así como las delimitaciones de todas las series Revisar siempre el tamaño de los buffers antes de manipularlos Evitar usar funciones que no revisan delimitaciones: strcpy(), strcat(), sprintf(), gets(), etc. Programas ejecutados con el mínimo nivel de privilegios para realizar la tarea Usar lenguajes que prevengan los buffer overflows (Perl, Java,.Net, etc.) Usar librerías y herramientas al diseñar y compilar que prevengan este tipo de vulnerabilidades

Conclusiones Los atacantes / ataques son cada vez mejores o nosotros nos estamos volviendo débiles? Hay muchas formas de atacar una aplicación La defensa requiere que se corrijan todos los aspectos por separado Entre antes en el proceso se comience, mejor va a quedar la seguridad Un sólo punto débil es suficiente para que un atacante penetre

Dónde empezar? 58

Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP isaias.calderon@gmail.com / @hl_mx

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback