SlideShare una empresa de Scribd logo

Seguridad web

Descargar como PPTX, PDF
C
Carlos Javier Majerhua

Seguridad web

Educación
1 de 24
Seguridad Web
Seguridad... “Dicho de un mecanismo: Que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente.” Real Academia Española ● “Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende ni los problemas ni la tecnología” Bruce Schneier ● “La seguridad es una cadena y es tan segura como su eslabón más débil” Bruce Schneier ● “La seguridad es un proceso, no un producto” Bruce Schneier●
Conceptos básicos Acontinuación se presentan los conceptos básicos relacionados con la seguridad sistemas: de Agente de amenaza (atacante). Vulnerabilidad. Ataque. Contramedida. ● ● ● ●
Aplicaciones Web Es una aplicación que se accedea través de Navegador Web sobre una red (Ej. Internet). un Los Navegadores Web interpretan etiquetas HTML y lenguajes de script (Ej. Javascript) permitiendo a sus usuariosvisualizar documentos de texto, posiblemente con recursos multimedia incrustados.
Características de las Aplicaciones Web Las Aplicaciones Web son alojadas en Servidores Web que son accedidos por Navegadores Web a través de peticiones HTTP. HTTP es un protocolo de ráfaga estado conversacional. que no conserva el Petición Aplicación Web Respuesta Servidor WebCliente Red
Riesgos de Seguridad en Aplicaciones 1.Inyección - Top 10 OWASP* 2.Pérdida de autenticación y gestión de sesiones 3.Secuencia de comandos en sitios cruzados (XSS) 4.Referencia directa insegura a objetos 5.Configuración de seguridad incorrecta 6.Exposiciónde datos sensibles 7.Ausencia de control de acceso a funciones 8.Falsificación de peticiones en sitios cruzados (CSRF) 9.Utilización de componentes con vulnerabilidades conocidas 10R. edirecciones y reenvíos no validados * OWASP Top 10 2013
1. Inyección La inyección de faltas permite a un atacante ejecutar sentencias SQL, LDAP, entre otras, del lado del servidor engañando a sus intérpretes (motores). Por ejemplo: a través de la inyección de sentencias SQL, utilizando campos de un formulario sin validaciones, se podría modificar información contenida en una Base de Datos.
2. Pérdida de autenticación y gestión de sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas de forma incorrecta, permitiendo a los atacantes comprometercontraseñas, claves, token de de sesiones, o explotar otras fallas implementación otros usuarios. para asumir la identidad de
3. Cross Site Scripting (XSS) Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.
4. Referencia directa insegura a objetos Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o de base de datos. Sin un chequeo de control acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.
5. Configuración de seguridad incorrecta Una buena seguridad requiere tener definida e laimplementada una configuración segura para aplicación, marcos aplicación, servidor de trabajo, servidor de web, estas base de datos, y plataforma. Todas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye actualizado, mantener incluidas todo el software las librerías de código utilizadas por la aplicación.
6. Exposición de datos sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador.
7. Ausencia de control de acceso a funciones La mayoría derechos de de aplicaciones web verifican los acceso a nivel de función antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el Siservidor cuando se accede a cada función. las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada.
8. Cross Site Request Forgery (CSRF) Un ataque CSRF podría obligar a una víctima a realizar peticiones a aplicaciones Web donde previamente ha iniciado sesión. Por ejemplo: al mantener varias sesiones abiertas con diferentes sitios, se podría acceder a un sitio malicioso, que incluya elementos dentro de sus páginas,que realicen peticiones a otros sitios donde el usuario mantiene una sesión abierta.
9. Utilización de componentes con Algunos vulnerabilidades conocidas componentes tales como las librerías, los frameworks y otros módulos de software casi Sisiempre funcionan con todos los privilegios. se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan permiten impactos. las defensas de la aplicación y ataquesampliar el rango de posibles e
10. Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen páginasy reenvían a los usuarios hacia otras o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas.
Detección de vulnerabilidades Las vulnerabilidades de una Aplicación Web pueden ser métodos: 1.Escaneo 2.Revisión detectadas utilizando los siguientes de vulnerabilidades. de código. 3.Pruebas de penetración. 4.Análisis estático.
1. Escaneo de vulnerabilidades Acontinuación se presentan algunosenlaces donde podrá conseguir herramientas para el escaneo de vulnerabilidades: Los 10 mejores Escaners de Vulnerabilidades Centro de descarga de OWASP (Open Web Application Security Project). Web .● ● Se sugiere la descarga de Nikto2.
2. Revisión de código Acontinuación se presentanalgunos donde podrá conseguir herramientas revisión de código: enlaces para la Guía para la revisión de código de OWASP.● CodeCrawler. Herramienta de revisión de código automática. ●
3. Pruebas de penetración Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simulaun ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. * ¿Cómose realiza un Pentest?
4. Análisis estático Ver todas las técnicas de verificación: Pair programming Code review Peer review Expert review Checklists ● ● ● ● ●
Contramedidas Las contramedidas son accionesa ejecutar tras la detección de alguna vulnerabilidad. Luego, existen algunos principios importantes a considerar en todo momento: Aplicar defensa profunda (en varias capas). Utilizar un modelo de seguridad positiva. Manejar de forma adecuada los errores. Correr aplicaciones con permisería restringida. Evitar la seguridad a travésde la oscuridad. Mantener la seguridad simple. Detectar intrusiones. No confiar en la infraestructura. No confiar en los servicios. Establecer seguridad por omisión. ● ● ● ● ● ● ● ● ● ●
Contramedidas inmediatas Hay algunas contramedidas que puede implementar de forma inmediata para asegurar sus aplicaciones: Sistemas.Documentar y probar todos sus ¿Integración Continua? Utilizar entornos de desarrollo y ● de trabajo● estándares (Ej. Symfony, Spring, Rails). Utilizar firewalls para aplicaciones Web (Ej. ModSecurity2). ●
¡Muchas gracias por su atención!

Recomendados

Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 

Recomendados

Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
as
asas
asJesus Celestino
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017superserch
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasSEINHE
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusionJesús Moreno León
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
sistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar websistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar webbrenda carolina
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
InSpring security
InSpring securityInSpring security
InSpring securityEdson Chávez Montaño
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptxssusercb51cd
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyectoFernando Solis
 

Más contenido relacionado

La actualidad más candente

Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017superserch
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasSEINHE
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
sistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar websistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar webbrenda carolina
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 

La actualidad más candente (20)

Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
as
asas
as
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicas
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuario
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
sistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar websistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar web
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
InSpring security
InSpring securityInSpring security
InSpring security
 

Similar a Seguridad web

01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptxssusercb51cd
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadJorge García
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 

Similar a Seguridad web (20)

01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 

Más de Carlos Javier Majerhua

Tecnologias de informacion y comunicacion
Tecnologias de informacion y comunicacionTecnologias de informacion y comunicacion
Tecnologias de informacion y comunicacionCarlos Javier Majerhua
 

Más de Carlos Javier Majerhua (9)

Tercera clase de algoritmica ii
Tercera clase de algoritmica iiTercera clase de algoritmica ii
Tercera clase de algoritmica ii
 
Tecnologias de informacion y comunicacion
Tecnologias de informacion y comunicacionTecnologias de informacion y comunicacion
Tecnologias de informacion y comunicacion
 
Servidor
Servidor Servidor
Servidor
 
Modo de imagenes
Modo de imagenesModo de imagenes
Modo de imagenes
 
Material multimedia
Material multimediaMaterial multimedia
Material multimedia
 
Hosting
HostingHosting
Hosting
 
Dominio
DominioDominio
Dominio
 
Correo electrónico seguro
Correo electrónico seguroCorreo electrónico seguro
Correo electrónico seguro
 
Blog
BlogBlog
Blog
 

Último

Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxMapyMerma1
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativafiorelachuctaya2
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
Flores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaFlores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaJuan Carlos Fonseca Mata
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFlor Idalia Espinoza Ortega
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
Marketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPMarketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPANEP - DETP
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Baker Publishing Company
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 

Último (20)

Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptx
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativa
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
Unidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDIUnidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDI
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
Flores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaFlores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - Botánica
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamica
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
Marketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPMarketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETP
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 

Seguridad web

  • 2. Seguridad... “Dicho de un mecanismo: Que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente.” Real Academia Española ● “Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende ni los problemas ni la tecnología” Bruce Schneier ● “La seguridad es una cadena y es tan segura como su eslabón más débil” Bruce Schneier ● “La seguridad es un proceso, no un producto” Bruce Schneier●
  • 3. Conceptos básicos Acontinuación se presentan los conceptos básicos relacionados con la seguridad sistemas: de Agente de amenaza (atacante). Vulnerabilidad. Ataque. Contramedida. ● ● ● ●
  • 4. Aplicaciones Web Es una aplicación que se accedea través de Navegador Web sobre una red (Ej. Internet). un Los Navegadores Web interpretan etiquetas HTML y lenguajes de script (Ej. Javascript) permitiendo a sus usuariosvisualizar documentos de texto, posiblemente con recursos multimedia incrustados.
  • 5. Características de las Aplicaciones Web Las Aplicaciones Web son alojadas en Servidores Web que son accedidos por Navegadores Web a través de peticiones HTTP. HTTP es un protocolo de ráfaga estado conversacional. que no conserva el Petición Aplicación Web Respuesta Servidor WebCliente Red
  • 6. Riesgos de Seguridad en Aplicaciones 1.Inyección - Top 10 OWASP* 2.Pérdida de autenticación y gestión de sesiones 3.Secuencia de comandos en sitios cruzados (XSS) 4.Referencia directa insegura a objetos 5.Configuración de seguridad incorrecta 6.Exposiciónde datos sensibles 7.Ausencia de control de acceso a funciones 8.Falsificación de peticiones en sitios cruzados (CSRF) 9.Utilización de componentes con vulnerabilidades conocidas 10R. edirecciones y reenvíos no validados * OWASP Top 10 2013
  • 7. 1. Inyección La inyección de faltas permite a un atacante ejecutar sentencias SQL, LDAP, entre otras, del lado del servidor engañando a sus intérpretes (motores). Por ejemplo: a través de la inyección de sentencias SQL, utilizando campos de un formulario sin validaciones, se podría modificar información contenida en una Base de Datos.
  • 8. 2. Pérdida de autenticación y gestión de sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas de forma incorrecta, permitiendo a los atacantes comprometercontraseñas, claves, token de de sesiones, o explotar otras fallas implementación otros usuarios. para asumir la identidad de
  • 9. 3. Cross Site Scripting (XSS) Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.
  • 10. 4. Referencia directa insegura a objetos Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o de base de datos. Sin un chequeo de control acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.
  • 11. 5. Configuración de seguridad incorrecta Una buena seguridad requiere tener definida e laimplementada una configuración segura para aplicación, marcos aplicación, servidor de trabajo, servidor de web, estas base de datos, y plataforma. Todas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye actualizado, mantener incluidas todo el software las librerías de código utilizadas por la aplicación.
  • 12. 6. Exposición de datos sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador.
  • 13. 7. Ausencia de control de acceso a funciones La mayoría derechos de de aplicaciones web verifican los acceso a nivel de función antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el Siservidor cuando se accede a cada función. las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada.
  • 14. 8. Cross Site Request Forgery (CSRF) Un ataque CSRF podría obligar a una víctima a realizar peticiones a aplicaciones Web donde previamente ha iniciado sesión. Por ejemplo: al mantener varias sesiones abiertas con diferentes sitios, se podría acceder a un sitio malicioso, que incluya elementos dentro de sus páginas,que realicen peticiones a otros sitios donde el usuario mantiene una sesión abierta.
  • 15. 9. Utilización de componentes con Algunos vulnerabilidades conocidas componentes tales como las librerías, los frameworks y otros módulos de software casi Sisiempre funcionan con todos los privilegios. se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan permiten impactos. las defensas de la aplicación y ataquesampliar el rango de posibles e
  • 16. 10. Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen páginasy reenvían a los usuarios hacia otras o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas.
  • 17. Detección de vulnerabilidades Las vulnerabilidades de una Aplicación Web pueden ser métodos: 1.Escaneo 2.Revisión detectadas utilizando los siguientes de vulnerabilidades. de código. 3.Pruebas de penetración. 4.Análisis estático.
  • 18. 1. Escaneo de vulnerabilidades Acontinuación se presentan algunosenlaces donde podrá conseguir herramientas para el escaneo de vulnerabilidades: Los 10 mejores Escaners de Vulnerabilidades Centro de descarga de OWASP (Open Web Application Security Project). Web .● ● Se sugiere la descarga de Nikto2.
  • 19. 2. Revisión de código Acontinuación se presentanalgunos donde podrá conseguir herramientas revisión de código: enlaces para la Guía para la revisión de código de OWASP.● CodeCrawler. Herramienta de revisión de código automática. ●
  • 20. 3. Pruebas de penetración Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simulaun ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. * ¿Cómose realiza un Pentest?
  • 21. 4. Análisis estático Ver todas las técnicas de verificación: Pair programming Code review Peer review Expert review Checklists ● ● ● ● ●
  • 22. Contramedidas Las contramedidas son accionesa ejecutar tras la detección de alguna vulnerabilidad. Luego, existen algunos principios importantes a considerar en todo momento: Aplicar defensa profunda (en varias capas). Utilizar un modelo de seguridad positiva. Manejar de forma adecuada los errores. Correr aplicaciones con permisería restringida. Evitar la seguridad a travésde la oscuridad. Mantener la seguridad simple. Detectar intrusiones. No confiar en la infraestructura. No confiar en los servicios. Establecer seguridad por omisión. ● ● ● ● ● ● ● ● ● ●
  • 23. Contramedidas inmediatas Hay algunas contramedidas que puede implementar de forma inmediata para asegurar sus aplicaciones: Sistemas.Documentar y probar todos sus ¿Integración Continua? Utilizar entornos de desarrollo y ● de trabajo● estándares (Ej. Symfony, Spring, Rails). Utilizar firewalls para aplicaciones Web (Ej. ModSecurity2). ●
  • 24. ¡Muchas gracias por su atención!