Seguridad en  Aplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ Semana Internaci...
Contenidos <ul><li>Las aplicaciones y su seguridad.
Introducción a las aplicaciones web.
Amenazas a las aplicaciones web.
Algunos ejemplos.
Demostración en vivo.
Recursos y lecturas adicionales. </li></ul>
Aplicaciones Web Qué son las aplicaciones web? páginas estáticas? páginas dinámicas? páginas activas? CGI? (X)HTML? Webser...
Aplicaciones Web Ciclo solicitud-respuesta Solicitud + Datos HTTP (GET - POST), Variables de Sesión Respuesta (X)HTML+CSS,...
Componentes Una aplicación web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la ...
Lenguaje(s) / Framework.
Servidor web.
Servidor de base de datos.
Navegador Web. </li></ul>
Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos: <ul><li>Problemas de validaci...
Problemas de autenticación.
Problemas de manejo de sesiones. </li></ul>
Vulnerabilidades Algunos problemas de validación de datos: <ul><li>SQL Injection.
Próxima SlideShare
Cargando en…5
×

Seguridad de Aplicaciones Web

7.358 visualizaciones

Publicado el

Presentación en el marco de la Semana Internacional de la Seguridad Informática 2008 brindada en Concepción del Uruguay el 27/11/2008

Publicado en: Tecnología
0 comentarios
4 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
7.358
En SlideShare
0
De insertados
0
Número de insertados
472
Acciones
Compartido
0
Descargas
328
Comentarios
0
Recomendaciones
4
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad de Aplicaciones Web

  1. 1. Seguridad en Aplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ Semana Internacional de la Seguridad Informática 2008 U.T.N. - F.R. C. del Uruguay
  2. 2. Contenidos <ul><li>Las aplicaciones y su seguridad.
  3. 3. Introducción a las aplicaciones web.
  4. 4. Amenazas a las aplicaciones web.
  5. 5. Algunos ejemplos.
  6. 6. Demostración en vivo.
  7. 7. Recursos y lecturas adicionales. </li></ul>
  8. 8. Aplicaciones Web Qué son las aplicaciones web? páginas estáticas? páginas dinámicas? páginas activas? CGI? (X)HTML? Webservices? HTTP? XML? DHTML? Javascript? AJAX?
  9. 9. Aplicaciones Web Ciclo solicitud-respuesta Solicitud + Datos HTTP (GET - POST), Variables de Sesión Respuesta (X)HTML+CSS, XML+XSLT
  10. 10. Componentes Una aplicación web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la seguridad: <ul><li>Aplicación propiamente dicha.
  11. 11. Lenguaje(s) / Framework.
  12. 12. Servidor web.
  13. 13. Servidor de base de datos.
  14. 14. Navegador Web. </li></ul>
  15. 15. Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos: <ul><li>Problemas de validación de datos.
  16. 16. Problemas de autenticación.
  17. 17. Problemas de manejo de sesiones. </li></ul>
  18. 18. Vulnerabilidades Algunos problemas de validación de datos: <ul><li>SQL Injection.
  19. 19. Cross Site Scripting (XSS).
  20. 20. Buffer Overflow. </li></ul>
  21. 21. Vulnerabilidades Demostración de algunos problemas de validación de datos.
  22. 22. Validación de Datos Prevención: <ul><li>Nunca confíe en las entradas del usuario.
  23. 23. Nunca asuma que la información proviene de la aplicación.
  24. 24. “Sanear” las entradas de usuario.
  25. 25. Validar en el servidor.
  26. 26. Ocultar errores y fallar en seguro. </li></ul>
  27. 27. Vulnerabilidades Algunos problemas de autenticación: <ul><li>Falta de politica de contraseñas.
  28. 28. Ataques de fuerza bruta.
  29. 29. Buffer Overflow.
  30. 30. Abuso del “recordar contraseña” </li></ul>
  31. 31. Vulnerabilidades Algunos problemas de manejo de sesiones: <ul><li>Manipulación de cookies y tokens.
  32. 32. Variables de sesión expuestas.
  33. 33. Cross Site Request Forgery. </li></ul>
  34. 34. Cross Site Request Forgery Política del “mismo origen” document, cookies bank.com blog.net JS
  35. 35. Cross Site Request Forgery Por ejemplo colocando en blog.com: <p> Parece una simple página con un poco de texto, no? <img src=&quot;http://bank.com/transfer.php?monto=9000&dest=123&quot; width= &quot; 0 &quot; height=&quot;0&quot; /> </p>
  36. 36. Cross Site Request Forgery Ataque a una red “segura”
  37. 37. Vulnerabilidades Demostración de un ataque de CSRF.
  38. 38. Cross Site Request Forgery Prevención: <ul><li>Evite usar sesiones persistentes.
  39. 39. Usar GET de manera apropiada.
  40. 40. Usar tokens y TTLs.
  41. 41. Reautenticar en el cliente usando AJAX. </li></ul>
  42. 42. Lecturas Adicionales Open Web Application Security Project (OWASP) http://www.owasp.org/ <ul><li>“ Guide to Building Secure Web Applications” . (en español).
  43. 43. “ OWASP Code Review Guide”. </li></ul>“ SQL Injection Attacks by Example” http://unixwiz.net/techtips/sql-injection.html
  44. 44. Gracias ! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ (2008) Gabriel E. Arellano Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as applicable to this document can be found at: http://www.gnu.org/copyleft/fdl.html

×