Vulnerabilidades de Seguridad en los Servicios “Web 2.0” Juan José Lurbe Escrihuela Arnau Sardà Forcadell
<ul><li>Vulnerabilidades de Seguridad </li></ul><ul><li>Tipos de Ataques </li></ul><ul><ul><li>De autenticación. </li></ul...
<ul><li>LA VULNERABILIDAD DE UN SISTEMA ES SU INCAPACIDAD DE RESISTENCIA FRENTE A UN FENÓMENO AMENAZANTE </li></ul><ul><li...
<ul><li>DE AUTENTICACIÓN </li></ul><ul><li>DE AUTORIZACIÓN </li></ul><ul><li>CLIENT-SIDE </li></ul><ul><li>COMMAND EXECUTI...
<ul><li>SE TRATA DE AVERIGUAR LOS DATOS DE AUTENTICACIÓN DE UNA PERSONA:   </li></ul><ul><ul><li>USUARIO/PASSWORD </li></u...
<ul><li>EL ATACANTE INTENTA DESHABILITAR EL SISTEMA DE GESTIÓN DE PERMISOS, PUDIENDO OBTENER PRIVILEGIOS DE ADMINISTRADOR....
<ul><li>TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE </li></ul><ul><li>APROVECHAN EL HECHO DE QUE UNA PÁGINA WEB NO CIERRA ...
<ul><li>SE BASAN EN EL ABUSO DEL WEBSITE DE UN USUARIO. SE APROVECHAN DE LA CONFIANZA USUARIO-WEB </li></ul><ul><li>MÉTODO...
<ul><li>SPOOFING </li></ul><ul><li>ESTE TIPO DE ATAQUES SE BASAN EN LA SUPLANTACIÓN DE IDENTIDAD. HAY 5 TIPOS: </li></ul><...
<ul><li>CROSS-SITE SCRIPTING </li></ul><ul><li>APROVECHAN UNA VULNERABILIDAD EN LA WEB PARA HACER QUE ESTA EJECUTE CÓDIGO ...
<ul><li>EL ATACANTE APROVECHA EL HECHO DE QUE LAS WEBS REQUIEREN INFORMACIÓN PROPORCIONADA POR LOS USUARIOS PARA INTRODUCI...
<ul><li>INYECCIONES </li></ul><ul><li>LAS INYECCIONES DE CÓDIGO EN SISTEMAS PERMITEN AL ATACANTE MÚLTIPLES ACCIONES, POR E...
<ul><li>DISENYADOS ESPECIFICAMENTE PARA OBTENER CIERTA INFORMACIÓN DE UN SISTEMA, COMO LA DISTRIBUCIÓN DE SOFTWARE, SU VER...
<ul><li>SE CENTRAN EN EL ABUSO O EXPLOTACIÓN DEL FLUJO LÓGICO DE UNA APLICACIÓN WEB </li></ul><ul><li>MÉTODOS </li></ul><u...
<ul><li>NEGACIÓN DE SERVICO </li></ul><ul><li>EL OBJETIVO DE ESTE TIPO DE ATAQUES ES HACER CAER O VOLVER INESTABLE EL SERV...
<ul><li>INSUFICIENTE ANTI-AUTOMATIZACIÓN </li></ul><ul><li>UN SISTEMA ES VULNERABLE A UN ATAQUE AUTOMATIZADO CUANDO EL ATA...
<ul><li>EL ATACANTE INTENTA OBTENER INFORMACIÓN CONFIDENCIAL A TRAVÉS DE LA MANIPULACIÓN PSICOLÓGICA DE LOS USUARIOS LEGÍT...
<ul><li>Inconvenientes de las Redes Sociales </li></ul><ul><ul><li>Pérdida del criterio de referencia. </li></ul></ul><ul>...
<ul><li>Pérdida del criterio de Referencia </li></ul><ul><ul><li>Promueven más las relaciones entre personas a través de o...
<ul><li>Exceso de operatividad sin intervención directa o consciente del usuario  </li></ul><ul><ul><li>Disponen de demasi...
<ul><ul><li>Funciones demasiado potentes y de efectos desconocidos a priori.  </li></ul></ul><ul><ul><li>Existen posibilid...
<ul><ul><li>Concentran el universo de relaciones de manera intensiva.  </li></ul></ul><ul><ul><li>De sobra es conocida la ...
<ul><ul><li>Guardan, explícitamente o no, información muy precisa.  </li></ul></ul><ul><ul><li>Basan las relaciones en el ...
<ul><ul><li>Presentan al usuario las opciones de manera demasiado interesada.  </li></ul></ul><ul><ul><li>Tras una supuest...
<ul><li>Derecho al honor. </li></ul><ul><li>Derecho a la intimidad. </li></ul><ul><li>Derecho a la Imagen </li></ul>
<ul><li>Derecho al honor </li></ul><ul><ul><li>El  derecho al honor es aquel que tiene toda persona a su buena imagen, nom...
<ul><li>Derecho a la intimidad </li></ul><ul><ul><li>El derecho a la intimidad tiene por objeto la protección de la esfera...
<ul><li>Derecho a la propia imagen </li></ul><ul><ul><li>El derecho a la propia imagen pretende salvaguardar un ámbito pro...
<ul><li>Momento del registro de alta de usuario. </li></ul><ul><li>Momento de participación en la red como usuario. </li><...
<ul><li>Momento del registro de alta de usuario. </li></ul><ul><ul><li>Hay que configurar correctamente el perfil del usua...
<ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Hay que tener en cuenta que el volumen de i...
<ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por lo que respecta a la privacidad persona...
<ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por lo que respecta a la privacidad de terc...
<ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por último, es importante tener en cuenta q...
<ul><li>Momento de darse de baja de la plataforma. </li></ul><ul><ul><li>Cuando el usuario solicite dar de baja su perfil,...
<ul><li>http://www.webappsec.org </li></ul><ul><li>http://www.owasp.org/index.php/Injection_Flaws </li></ul><ul><li>http:/...
Próxima SlideShare
Cargando en…5
×

Seguridad en la Web 2.0

608 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
608
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
31
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Seguridad en la Web 2.0

    1. 1. Vulnerabilidades de Seguridad en los Servicios “Web 2.0” Juan José Lurbe Escrihuela Arnau Sardà Forcadell
    2. 2. <ul><li>Vulnerabilidades de Seguridad </li></ul><ul><li>Tipos de Ataques </li></ul><ul><ul><li>De autenticación. </li></ul></ul><ul><ul><li>De autorización </li></ul></ul><ul><ul><li>Client-Side. </li></ul></ul><ul><ul><li>Command Execution. </li></ul></ul><ul><ul><li>De revelación de información. </li></ul></ul><ul><ul><li>Lógicos. </li></ul></ul><ul><ul><li>Ingeniería Social </li></ul></ul><ul><li>Inconvenientes de las Redes Sociales </li></ul><ul><ul><li>Pérdida del criterio de referencia. </li></ul></ul><ul><ul><li>Exceso de operatividad sin intervención directa o consciente del usuario. </li></ul></ul><ul><ul><li>Funciones demasiado potentes y de efectos desconocidos a priori. </li></ul></ul><ul><ul><li>Concentración del grupo de relaciones de manera intensiva. </li></ul></ul><ul><ul><li>Guardan, explícitamente o no, información muy precisa. </li></ul></ul><ul><ul><li>Presentan al usuario las opciones de manera demasiado interesada. </li></ul></ul><ul><li>Posibles Situaciones de Riesgo contra nuestra Privacidad </li></ul><ul><li>Protección de los Derechos de los usuarios </li></ul>
    3. 3. <ul><li>LA VULNERABILIDAD DE UN SISTEMA ES SU INCAPACIDAD DE RESISTENCIA FRENTE A UN FENÓMENO AMENAZANTE </li></ul><ul><li>LOS FENÓMENOS AMENAZANTES MÁS COMUNES EN LA WEB SON LOS ATAQUES INTENCIONADOS </li></ul>
    4. 4. <ul><li>DE AUTENTICACIÓN </li></ul><ul><li>DE AUTORIZACIÓN </li></ul><ul><li>CLIENT-SIDE </li></ul><ul><li>COMMAND EXECUTION </li></ul><ul><li>DE REVELACIÓN DE INFORMACIÓN </li></ul><ul><li>LÓGICOS </li></ul><ul><li>INGENIERÍA SOCIAL </li></ul>
    5. 5. <ul><li>SE TRATA DE AVERIGUAR LOS DATOS DE AUTENTICACIÓN DE UNA PERSONA: </li></ul><ul><ul><li>USUARIO/PASSWORD </li></ul></ul><ul><ul><li>TARJETA DE CRÉDITO </li></ul></ul><ul><ul><li>LLAVE CRIPTOGRÀFICA </li></ul></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>FUERZA BRUTA </li></ul></ul><ul><ul><li>AUTENTICACIÓN INSUFICIENTE </li></ul></ul><ul><ul><li>RECUPERACIÓN/MODIFICACIÓN DE PASSWORD INSEGURA </li></ul></ul>
    6. 6. <ul><li>EL ATACANTE INTENTA DESHABILITAR EL SISTEMA DE GESTIÓN DE PERMISOS, PUDIENDO OBTENER PRIVILEGIOS DE ADMINISTRADOR. </li></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>PREDICCIÓN USUARIO/PASSWORD </li></ul></ul><ul><ul><li>AUTORIZACIÓN INSUFICIENTE </li></ul></ul><ul><ul><li>FIJACIÓN DE LA ID DE LA SESIÓN </li></ul></ul><ul><ul><li>TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE </li></ul></ul>
    7. 7. <ul><li>TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE </li></ul><ul><li>APROVECHAN EL HECHO DE QUE UNA PÁGINA WEB NO CIERRA LA SESIÓN DE UN USUARIO CUANDO ESTE CANVIA DE PÁGINA WEB O CIERRA EL NAVEGADOR. </li></ul><ul><li>SE PUEDE ACCEDER A LA CUENTA DEL USUARIO HACIENDO CLIC EN EL BOTON “IR A LA PÁGINA ANTERIOR”, O CONECTANDOSE OTRA VEZ A LA WEB DEL SERVICIO </li></ul>
    8. 8. <ul><li>SE BASAN EN EL ABUSO DEL WEBSITE DE UN USUARIO. SE APROVECHAN DE LA CONFIANZA USUARIO-WEB </li></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>CONTENT SPOOFING </li></ul></ul><ul><ul><li>CROSS-SITE SCRIPTING </li></ul></ul>
    9. 9. <ul><li>SPOOFING </li></ul><ul><li>ESTE TIPO DE ATAQUES SE BASAN EN LA SUPLANTACIÓN DE IDENTIDAD. HAY 5 TIPOS: </li></ul><ul><li>IP: SE CANVIA LA IP ORÍGEN DE UN PAQUETE IP </li></ul><ul><li>ARP: SE MODIFICA LA TABLA ARP PARA REDIRIGIR PAQUETES </li></ul><ul><li>DNS: FALSEAMIENTO DE UNA RELACIÓN NOMBRE DE DOMINIO-IP O VICERVERSA </li></ul><ul><li>WEB: ENRUTA LA CONEXIÓN DE UNA VÍCTIMA A TRAVÉS DE UNA PÁGINA FALSA HACIA OTRAS PÁGINAS WEB PARA OBTENER INFORMACIÓN PRIVADA </li></ul><ul><li>MAIL: SUPLANTACIÓN EN EL CORREO ELECTRÓNICO DEL EMAIL DE OTRAS PERSONAS O ENTIDADES </li></ul>
    10. 10. <ul><li>CROSS-SITE SCRIPTING </li></ul><ul><li>APROVECHAN UNA VULNERABILIDAD EN LA WEB PARA HACER QUE ESTA EJECUTE CÓDIGO MALICIOSO EN EL NAVEGADOR DEL USUARIO </li></ul><ul><li>LA VULNERABILIDAD CONSISTE EN QUE LA WEB NO VALIDA EL CÓDIGO HTML QUE SE VA A EJECUTAR EN EL USUARIO, Y POR NORMA GENERAL, LOS USUARIOS TIENDEN A CONFIAR EN LOS SERVIDORES WEB </li></ul>
    11. 11. <ul><li>EL ATACANTE APROVECHA EL HECHO DE QUE LAS WEBS REQUIEREN INFORMACIÓN PROPORCIONADA POR LOS USUARIOS PARA INTRODUCIR CÓDIGO MALICIOSO EN LA PROPIA WEB </li></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>BUFFER OVERFLOW </li></ul></ul><ul><ul><li>FORMAT STRING </li></ul></ul><ul><ul><li>EJECUCION DE COMANDOS DE SO </li></ul></ul><ul><ul><li>LDAP, SQL, SSI, XPATH, XML, JSON INJECTIONS </li></ul></ul>
    12. 12. <ul><li>INYECCIONES </li></ul><ul><li>LAS INYECCIONES DE CÓDIGO EN SISTEMAS PERMITEN AL ATACANTE MÚLTIPLES ACCIONES, POR EJEMPLO, DESFIGURAR UNA PÁGINA WEB, MODIFICAR VALORES DE BASES DE DATOS, EJECUTAR CÓDIGO MALICIOSO,… </li></ul>
    13. 13. <ul><li>DISENYADOS ESPECIFICAMENTE PARA OBTENER CIERTA INFORMACIÓN DE UN SISTEMA, COMO LA DISTRIBUCIÓN DE SOFTWARE, SU VERSIÓN, ARCHIVOS TEMPORALES,… </li></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>INDEXADO DE DIRECTORIOS </li></ul></ul><ul><ul><li>ESCAPE DE INFORMACIÓN </li></ul></ul><ul><ul><li>PATH TRAVERSAL </li></ul></ul><ul><ul><li>LOCALIZACIÓN DE RECURSOS PREDECIBLE </li></ul></ul>
    14. 14. <ul><li>SE CENTRAN EN EL ABUSO O EXPLOTACIÓN DEL FLUJO LÓGICO DE UNA APLICACIÓN WEB </li></ul><ul><li>MÉTODOS </li></ul><ul><ul><li>ABUSO DE FUNCIONALIDAD </li></ul></ul><ul><ul><li>VALIDACIÓN DE PROCESO INSUFICIENTE </li></ul></ul><ul><ul><li>NEGACIÓN DE SERVICIO (DOS) </li></ul></ul><ul><ul><li>ANTI-AUTOMATIZAZCIÓN INSUFICIENTE </li></ul></ul>
    15. 15. <ul><li>NEGACIÓN DE SERVICO </li></ul><ul><li>EL OBJETIVO DE ESTE TIPO DE ATAQUES ES HACER CAER O VOLVER INESTABLE EL SERVIDOR PARA QUE ESTE NO PUEDA OFRECER EL SERVICIO. </li></ul><ul><li>PARA ELLO, SE UTILIZAN MUCHOS USUARIOS QUE HACEN MÚLTIPLES PETICIONES DE SERVICIO, SATURANDO EL SERVIDOR </li></ul>
    16. 16. <ul><li>INSUFICIENTE ANTI-AUTOMATIZACIÓN </li></ul><ul><li>UN SISTEMA ES VULNERABLE A UN ATAQUE AUTOMATIZADO CUANDO EL ATACANTE PUEDE EJECUTAR UN PROGRAMA RECURRENTE PARA, POR EJEMPLO, DESCUBRIR UNA CONTRASEÑA </li></ul><ul><li>UN EJEMPLO DE ANTI-AUTOMATIZACIÓN SON LAS IMÁGENES CON PALABRAS DESDIBUJADAS QUE HAY QUE INTRODUCIR EN ALGUNAS WEBS </li></ul>
    17. 17. <ul><li>EL ATACANTE INTENTA OBTENER INFORMACIÓN CONFIDENCIAL A TRAVÉS DE LA MANIPULACIÓN PSICOLÓGICA DE LOS USUARIOS LEGÍTIMOS </li></ul><ul><li>EL MÉTODO MÁS CONOCIDO ES EL “PHISHING”, DONDE EL CRACKER SE HACE PASAR POR ADMINISTRADOR DEL SISTEMA </li></ul>
    18. 18. <ul><li>Inconvenientes de las Redes Sociales </li></ul><ul><ul><li>Pérdida del criterio de referencia. </li></ul></ul><ul><ul><li>Exceso de operatividad sin intervención directa o consciente del usuario. </li></ul></ul><ul><ul><li>Funciones demasiado potentes y de efectos desconocidos a priori. </li></ul></ul><ul><ul><li>Concentran el universo de relaciones de manera intensiva. </li></ul></ul><ul><ul><li>Guardan, explícitamente o no, información muy precisa. </li></ul></ul><ul><ul><li>Presentan al usuario las opciones de manera demasiado interesada. </li></ul></ul>
    19. 19. <ul><li>Pérdida del criterio de Referencia </li></ul><ul><ul><li>Promueven más las relaciones entre personas a través de otras personas, por lo que se pierde el control directo de la referencia y el criterio de selección o confianza usado se diluye según los nodos se distancian. </li></ul></ul>
    20. 20. <ul><li>Exceso de operatividad sin intervención directa o consciente del usuario </li></ul><ul><ul><li>Disponen de demasiadas funciones automáticas que el usuario novato desconoce. Ayudan a crecer a la Red, y en teoría a la función relacional de la misma buscada por los propios usuarios, pero también a potenciar la propia plataforma. </li></ul></ul>
    21. 21. <ul><ul><li>Funciones demasiado potentes y de efectos desconocidos a priori. </li></ul></ul><ul><ul><li>Existen posibilidades en exceso avanzadas para compartir todo tipo de cosas. Estas ‘gracias’ que el programa nos prepara pueden ser un grave problema, sobre todo para quien desconoce su funcionamiento. </li></ul></ul>
    22. 22. <ul><ul><li>Concentran el universo de relaciones de manera intensiva. </li></ul></ul><ul><ul><li>De sobra es conocida la escasa perspectiva que tienen los menores de la repercusión y alcance de lo que publican . </li></ul></ul>
    23. 23. <ul><ul><li>Guardan, explícitamente o no, información muy precisa. </li></ul></ul><ul><ul><li>Basan las relaciones en el perfil, intereses y actividad de los usuarios por lo que les requieren muchos datos y les registran sus acciones dentro de la propia Red. Incluso a la hora de la eliminación del usuario. </li></ul></ul>
    24. 24. <ul><ul><li>Presentan al usuario las opciones de manera demasiado interesada. </li></ul></ul><ul><ul><li>Tras una supuesta intención de ayudar y agilizar, suele ser política común de las plataformas de Redes Sociales ayudarse a sí mismas. </li></ul></ul>
    25. 25. <ul><li>Derecho al honor. </li></ul><ul><li>Derecho a la intimidad. </li></ul><ul><li>Derecho a la Imagen </li></ul>
    26. 26. <ul><li>Derecho al honor </li></ul><ul><ul><li>El derecho al honor es aquel que tiene toda persona a su buena imagen, nombre y reputación, de tal forma que toda persona puede exigir que se respete su esfera personal, con independencia de las circunstancias particulares, siendo un derecho irrenunciable. </li></ul></ul>
    27. 27. <ul><li>Derecho a la intimidad </li></ul><ul><ul><li>El derecho a la intimidad tiene por objeto la protección de la esfera más íntima de la persona, y se encuentra íntimamente ligado a la protección de la dignidad del individuo </li></ul></ul>
    28. 28. <ul><li>Derecho a la propia imagen </li></ul><ul><ul><li>El derecho a la propia imagen pretende salvaguardar un ámbito propio y reservado del individuo, aunque no íntimo, frente a la acción y conocimiento de los demás. </li></ul></ul>
    29. 29. <ul><li>Momento del registro de alta de usuario. </li></ul><ul><li>Momento de participación en la red como usuario. </li></ul><ul><li>Momento de darse de baja de la plataforma. </li></ul>
    30. 30. <ul><li>Momento del registro de alta de usuario. </li></ul><ul><ul><li>Hay que configurar correctamente el perfil del usuario, definiendo el nivel de privacidad y teniendo en cuenta la posible publicación de información sensible desde un principio. </li></ul></ul>
    31. 31. <ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Hay que tener en cuenta que el volumen de información, datos e imágenes publicados pueden ser excesivos y afectar a la privacidad, tanto personal como de terceros. </li></ul></ul>
    32. 32. <ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por lo que respecta a la privacidad personal: a pesar de que sean los usuarios los que voluntariamente publican sus datos, los efectos sobre la privacidad pueden tener un alcance mayor al que consideran en un primer momento ya que estas plataformas disponen de potentes herramientas de intercambio de información, la capacidad de procesamiento y el análisis de la información facilitada por los usuarios. </li></ul></ul>
    33. 33. <ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por lo que respecta a la privacidad de terceros: es esencial que los usuarios tengan en cuenta que la publicación de contenidos con información y datos respecto a terceros no puede ser realizada si éstos no han autorizado expresamente su publicación, pudiendo solicitar su retirada de forma inmediata. </li></ul></ul>
    34. 34. <ul><li>Momento de participación en la red como usuario. </li></ul><ul><ul><li>Por último, es importante tener en cuenta que en la gran mayoría de ocasiones, las redes sociales permiten a los motores de búsqueda de Internet indexar en sus búsquedas los perfiles de los usuarios, junto con información de contacto y de perfiles amigos, lo que puede suponer otro riesgo para la protección de la privacidad, además de dificultar el proceso de eliminación de su información en Internet. </li></ul></ul>
    35. 35. <ul><li>Momento de darse de baja de la plataforma. </li></ul><ul><ul><li>Cuando el usuario solicite dar de baja su perfil, pero aún así continúen datos publicados por éste, o información personal e imágenes propias publicadas en los perfiles de otros usuarios. </li></ul></ul>
    36. 36. <ul><li>http://www.webappsec.org </li></ul><ul><li>http://www.owasp.org/index.php/Injection_Flaws </li></ul><ul><li>http://es.wikipedia.org </li></ul><ul><li>http://www.segu-info.com.ar/ </li></ul><ul><li>http://www.unblogenred.es </li></ul><ul><li>Estudio INTECO-APED sobre Redes Sociales </li></ul><ul><li>http://entre-teclas.blogspot.com </li></ul>

    ×