El documento habla sobre la administración de riesgos de seguridad en tecnologías web y ambientes tolerantes a fallas. Explica el proceso de DevOps, Quality Assurance (QA) y administración de riesgos, con un enfoque en las normas OWASP y W3C. También describe vectores de ataque comunes, vulnerabilidades críticas y cómo mitigar la inyección de código SQL.
4. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
A veces, estas rutas son triviales de encontrar y
explotar y a veces son extremadamente difíciles. De
manera similar, el daño causado puede ir de ninguno hasta
incluso sacarlo del negocio. Para determinar el riesgo
para su organización, puede evaluar la probabilidad
asociada con cada agente de amenaza, vector de ataque y
debilidad de seguridad y combinarla con una estimación
del impacto técnico y de negocios en su organización.
Juntos, estos factores determinan el riesgo total.
Browser vulnerabilidades
{
254 Mozilla Firefox
516 Google Chrome
197 Ms. Internet Explorer
0 Apple Safari
16 Opera
}
¿Qué son los riesgos de seguridad en
aplicaciones?
Los atacantes pueden potencialmente usar
muchas diferentes rutas a través de su
aplicación para causar daño en su negocio u
organización. Cada una de estas rutas
representa un riesgo que puede, o no, ser lo
suficientemente serio como para merecer
atención.
5. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Vectores de Ataque
{
Virtualization and Cloud Computing
Organized CyberCrime
Un-patchedSoftware
Targeted Malwares
Social Networking
Hacktivism
Insider Threats
Complexity of Computer Infrastructure
Botnets
Compliance to govt. laws and regulations
Mobile device security
Inadequate security policies
Network applications
Lack of Cyber security professionals
}
6. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Ejemplo > Vulnerabilidades [Criticas]
• Persistent Cross-Site Scriptin (XSS)
• Cross-Site Scripting (User Interaction)
• Insufficient Transport Layer Protection – Weak Cipher
• Insufficient Transport Layer Protection
• HTTP.sys Remote Code Execution • Admin Section Must Require
Authentication Logjam
• Weak SSL Protocol –SSLv3
• Weak SSL Protocol – TLS v1.0
• Json Hijacking Possible (HTTPS - HTTP
• Mass Assignment
• WEB-INF Directory Copy
• Non-Executable Hidden Files - JSP
• WEB-INF Archive
• Archives File [Varias ext.]
• Backup file [Varias ext.]
• Password Field Auto Complete Active
• HTML Tag injection
• SSL Certificate uses MD5 Signature
• SSL Certificate uses SHA-1 Signature
• SSL Certificate Issues
• Path-Relative CSS Import
• SSL Cookie Not Used
• SSLv3/TLS Renegotation Stream Injection
• PostMessage Broadcast Vulnerability
• OpenSSL ChangeCipherSpec Man-in-the-Middle MitM Vulnerability
• Executable duplicate jspx
• Set-Cookie does not use HTTPOnly Keyword
• Administrative Directories
• Misconfigures HTML5 Offline Manifest Cache Policy
• “Admin” Directory
7. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Quality Assurance (QA)
Gobernanza [SLA (Niveles de Servicio)]
• Estrategias y Métricas [Tablero de Control]
• Políticas y Cumplimientos [Normas]
• Orientación y Educación [Personas - Roles]
Construcción [Niveles de seguridad]
• Evaluación de amenazas [Internas - Externas]
• Requerimientos de seguridad [Base Normas]
• Arquitectura Segura [Hardware + Software]
Verificación [Plan de Pruebas]
• Revisión de Diseño [Rendimiento + Percepción]
• Revisión de Código [Profiler + Mejores Practicas]
• Pruebas de Seguridad [Compliance]
Publicación [Ambientes Tolerantes a fallas]
• Administración de vulnerabilidades excepciones
• Medio Ambiente (Hardening) [Línea Base]
• Estrategia en la operación [Monitoreo Proactivo]
Secure Development LifeCycles (SDLC)
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
WorkFlow – Agiles
Administración de Riesgos
8. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
POLÍTICAS PARA LA SEGURIDAD INFORMÁTICA.
Establecer la política institucional en materia de Seguridad Informática que apoye la
Seguridad de la Información, entendida como la preservación de su integridad,
confidencialidad y disponibilidad, así como instrumentar y coordinar acciones para
minimizar daños a la infraestructura tecnológica y a los sistemas informáticos.
9. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Como ver las cosas?
10. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Quality Assurance (QA)
WorkFlow – Agiles
Administración de Riesgos
Proceso QA
{
Seguridad = Norma OWASP [Top 10 vulnerabilidades]
Percepción = Norma W3C [Http Code Errors (400-500)]
Rendimiento= Escalabilidad [Procesamiento; Almacenamiento; Transferencia]
}
11. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Quality Assurance (QA)
WorkFlow – Agiles
Administración de Riesgos
Proceso QA
Seguridad = Norma OWASP [Top 10 vulnerabilidades]
{
Inyección de código [Sql Injection]
Pérdida de Autenticación y Gestión de Sesiones [Broken Authentication and Session
Management]
Secuencia de Comandos en Sitios Cruzados [Cross-Site Scripting (XSS)]
Referencia Directa Insegura a Objetos [Insecure Direct Object References]
Configuración Defectuosa de Seguridad [Security Misconfiguration]
Exposición de datos Sensibles [Sensitive Data Exposure]
Funcionalidad Limitada para Niveles de Control de Acceso [Missing Function Level Access
Control]
Falsificación de Peticiones en Sitios Cruzados [Cross-Site Request Forgery (CSRF)]
Uso de Componentes vulnerables [Using Known Vulnerable Components]
Redirecciones y reenvíos no validados [Unvalidated Redirects and Forwards]
}
12. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Proceso QA | Seguridad = Norma OWASP [Top 1 vulnerabilidad]
Inyección de código [Sql Injection]
13. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
API de seguridad [“white list”] que valide los siguientes caracteres
' or " Caracteres – Indicadores String
-- or # Comentarios tipo single-line
/*…*/ Comentarios tipo multiple-line
+ Conector adicional (por espacio en la url)
|| Conector tipo (double pipe)
% Atributo de indicador - wildcard
? Param1=foo&Param2=bar Parámetros en la url
PRINT Comando Transaccional (non)
@variable Variable Local
@@variable Variable Global
waitfor delay '0:0:10' Opciones de Time-Delay
Proceso QA | Seguridad = Norma OWASP [Top 1 vulnerabilidad]
Inyección de código [Sql Injection]
14. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
MS SQL: SELECT name FROM syscolumns WHERE id = (SELECT id FROM
sysobjects WHERE name = 'tablename ') sp_columns tablename
MySQL: show columns from tablename
Oracle: SELECT * FROM all_tab_columns WHERE table_name=' tablename '
DB2: SELECT * FROM sys cat.columns WHERE tabname= 'tablename '
Postgres: SELECT attnum,attname from pg_class, pg_attribute WHERE
relname= 'tablename ‘ AND pg_class.oid = attrelid AND attnum > 0
Como Mitigar a nivel de BD.
Proceso QA | Seguridad = Norma OWASP [Top 1 vulnerabilidad]
Inyección de código [Sql Injection]
15. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Proceso QA | Seguridad = Norma OWASP [Top 1 vulnerabilidad]
Inyección de código [Sql Injection]
16. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Quality Assurance (QA)
WorkFlow – Agiles
Administración de Riesgos Proceso QA
Percepción = Norma W3C [Http Code Errors (400-500)]
{
}
17. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
HTTP Protocol ErrorCodes
http://www.w3schools.com/tags/ref_httpmessages.asp
18. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Manejo de excepciones
19. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
<?php
function inverse($x) {
if (!$x) {
throw new Exception('División por cero.');
}
return 1/$x;
}
try {
echo inverse(5) . "n";
} catch (Exception $e) {
echo 'Excepción capturada: ', $e->getMessage(), "n";
} finally {
echo "Primer finally.n";
}
try {
echo inverse(0) . "n";
} catch (Exception $e) {
echo 'Excepción capturada: ', $e->getMessage(), "n";
} finally {
echo "Segundo finally.n";
}
// Continuar ejecución
echo 'Hola Mundon';
?>
Manejo de excepciones
20. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Hay que verificar los vínculos y formas que
carecen de un “token”, así como también forzar a
que el usuario final demuestre que es humano y
no un robot de ataque a este concepto se les
llama [CAPTCHA - Completely Automated Public Turing test
to tell Computers and Humans Apart (Prueba de Turing
pública y automática para diferenciar máquinas y
humanos)]
http://www.google.com/recaptcha
Identificar si es un robot - script
21. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Development (Software Engineering)
Patrones de Diseño
22. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
https://www.modsecurity.org/
DevOps | Development (Software Engineering)
23. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Quality Assurance (QA)
WorkFlow – Agiles
Administración de Riesgos
Proceso QA
Rendimiento = Escalabilidad
{
Procesadores Multi-núcleo(s) Paralelismo, Cluster, Grids
(Geográficos)
Almacenamiento SAN – NAS – CAS
Transferencia Ancho de banda y Throughput
}
Nota: Tomar en cuenta Políticas de respaldo y retención, así como
también hacer pruebas de restauración para casos de contingencia.
24. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Technology Operations
Help & Service Desk [Estrategia infraestructura]
Ambiente Controlado Back-End
25. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Technology Operations
Estrategias de Infraestructura
Ambiente Controlado Front-End
26. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Technology Operations
[Help & Service Desk]
Gestión de
{
Incidencias [Incident Management]
Problemas [Problem Management]
Cambios [Change Management]
Control de (versiones) [Release Management]
Activos (Hardware - Software) [Asset Management]
Nivel de Servicio [Service Level Management]
}
27. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
DevOps | Technology Operations
Help & Service Desk
Gestión de
{
Incidencias [Incident Management]
Problemas [Problem Management]
Cambios [Change Management]
Control de (versiones) [Release Management]
Activos (Hardware - Software) [Asset Management]
Nivel de Servicio [Service Level Management]
]
Cliente - Usuario Final
{
[Comunicaciones unificadas]
}
Base de datos - Conocimiento
28. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
oswaldo.diaz@inegi.org.mx | edgaroswaldodi
• FAT File System
• File System
• Live Imaging
• Media Analysis
• Media and Artifact Analysis
• NTFS File System
• Response and Volatile Evidence
Fanáticos – Win 3.11 – 2016 RoadMap
29. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Ejemplo - Web Forense
30. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Black-List: es una lista de personas, instituciones u
objetos que deben ser discriminados en alguna forma con
respecto a los que no están en la lista. La
discriminación puede ser social, técnica o de alguna
otra forma. Cuando la discriminación es positiva se
habla de W-List
https://www.whatismyip.com/blacklist-check/
Ejemplo - Web Forense
31. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Ejemplo - Web Forense
32. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Ejemplo - Web Forense
33. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
Top de Herramientas
seguridad | percepción | rendimiento | forense
www.kali.orghttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
34. www.sgcampus.com.mx @sgcampus
Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
E. oSWALDo D.
Maestría en Ciencias de Tecnologías de Información con
especialidad ITIL ver. 2, - Investigador + Arquitecto TI, para el
Instituto Nacional de Estadística y Geografía (INEGI-México),
Desarrollador Web desde 1998, experiencia Ingeniería de Sistemas
[915 Proyectos Web (año 2005-2016)], en QA (Quality Assurance) +
Risk Management + Seguridad {Ethical (Hacking-Forensics) - Web 2.0
+ Semántica}.
oswaldo.diaz@inegi.org.mx | edgaroswaldodiaz2375@gmail.com | twit à eOswaldOd