Administración de riesgos de seguridad web

www.sgcampus.com.mx @sgcampus
www.sgcampus.com.mx
@sgcampus
E. oSWALDo D.
Administración de riesgos de seguridad en
tecnologías web base [Ethical Hacking]
para ambientes tolerantes a fallas en alta
disponibilidad.

www.sgcampus.com.mx
@sgcampus
Ejemplo - Web Forense
oswaldo.diaz@inegi.org.mx | edgaroswaldodiaz2375@Gmail.com | twit à eOswaldOd

Administración de riesgos de seguridad en tecnologías
web base [Ethical Hacking] para ambientes tolerantes a
fallas en alta disponibilidad.
A veces, estas rutas son triviales de encontrar y
explotar y a veces son extremadamente difíciles. De
manera similar, el daño causado puede ir de ninguno hasta
incluso sacarlo del negocio. Para determinar el riesgo
para su organización, puede evaluar la probabilidad
asociada con cada agente de amenaza, vector de ataque y
debilidad de seguridad y combinarla con una estimación
del impacto técnico y de negocios en su organización.
Juntos, estos factores determinan el riesgo total.
Browser vulnerabilidades
{
254 Mozilla Firefox
516 Google Chrome
197 Ms. Internet Explorer
0 Apple Safari
16 Opera
}
¿Qué son los riesgos de seguridad en
aplicaciones?
Los atacantes pueden potencialmente usar
muchas diferentes rutas a través de su
aplicación para causar daño en su negocio u
organización. Cada una de estas rutas
representa un riesgo que puede, o no, ser lo
suficientemente serio como para merecer
atención.

Vectores de Ataque
{
Virtualization and Cloud Computing
Organized CyberCrime
Un-patchedSoftware
Targeted Malwares
Social Networking
Hacktivism
Insider Threats
Complexity of Computer Infrastructure
Botnets
Compliance to govt. laws and regulations
Mobile device security
Inadequate security policies
Network applications
Lack of Cyber security professionals
}

Ejemplo > Vulnerabilidades [Criticas]
•  Persistent Cross-Site Scriptin (XSS)
•  Cross-Site Scripting (User Interaction)
•  Insufficient Transport Layer Protection – Weak Cipher
•  Insufficient Transport Layer Protection
•  HTTP.sys Remote Code Execution •  Admin Section Must Require
Authentication Logjam
•  Weak SSL Protocol –SSLv3
•  Weak SSL Protocol – TLS v1.0
•  Json Hijacking Possible (HTTPS - HTTP
•  Mass Assignment
•  WEB-INF Directory Copy
•  Non-Executable Hidden Files - JSP
•  WEB-INF Archive
•  Archives File [Varias ext.]
•  Backup file [Varias ext.]
•  Password Field Auto Complete Active
•  HTML Tag injection
•  SSL Certificate uses MD5 Signature
•  SSL Certificate uses SHA-1 Signature
•  SSL Certificate Issues
•  Path-Relative CSS Import
•  SSL Cookie Not Used
•  SSLv3/TLS Renegotation Stream Injection
•  PostMessage Broadcast Vulnerability
•  OpenSSL ChangeCipherSpec Man-in-the-Middle MitM Vulnerability
•  Executable duplicate jspx
•  Set-Cookie does not use HTTPOnly Keyword
•  Administrative Directories
•  Misconfigures HTML5 Offline Manifest Cache Policy
•  “Admin” Directory

DevOps | Quality Assurance (QA)
Gobernanza [SLA (Niveles de Servicio)]
•  Estrategias y Métricas [Tablero de Control]
•  Políticas y Cumplimientos [Normas]
•  Orientación y Educación [Personas - Roles]

Construcción [Niveles de seguridad]
•  Evaluación de amenazas [Internas - Externas]
•  Requerimientos de seguridad [Base Normas]
•  Arquitectura Segura [Hardware + Software]

Verificación [Plan de Pruebas]
•  Revisión de Diseño [Rendimiento + Percepción]
•  Revisión de Código [Profiler + Mejores Practicas]
•  Pruebas de Seguridad [Compliance]

Publicación [Ambientes Tolerantes a fallas]
•  Administración de vulnerabilidades excepciones
•  Medio Ambiente (Hardening) [Línea Base]
•  Estrategia en la operación [Monitoreo Proactivo]
Secure Development LifeCycles (SDLC)
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
WorkFlow – Agiles
Administración de Riesgos

POLÍTICAS PARA LA SEGURIDAD INFORMÁTICA.

Establecer la política institucional en materia de Seguridad Informática que apoye la
Seguridad de la Información, entendida como la preservación de su integridad,
confidencialidad y disponibilidad, así como instrumentar y coordinar acciones para
minimizar daños a la infraestructura tecnológica y a los sistemas informáticos.

Como ver las cosas?

WorkFlow – Agiles
Proceso QA

{
Seguridad = Norma OWASP [Top 10 vulnerabilidades]
Percepción = Norma W3C [Http Code Errors (400-500)]
Rendimiento= Escalabilidad [Procesamiento; Almacenamiento; Transferencia]
}

WorkFlow – Agiles
Proceso QA

Seguridad = Norma OWASP [Top 10 vulnerabilidades]
{
Inyección de código [Sql Injection]
Pérdida de Autenticación y Gestión de Sesiones [Broken Authentication and Session
Management]
Secuencia de Comandos en Sitios Cruzados [Cross-Site Scripting (XSS)]
Referencia Directa Insegura a Objetos [Insecure Direct Object References]
Configuración Defectuosa de Seguridad [Security Misconfiguration]
Exposición de datos Sensibles [Sensitive Data Exposure]
Funcionalidad Limitada para Niveles de Control de Acceso [Missing Function Level Access
Control]
Falsificación de Peticiones en Sitios Cruzados [Cross-Site Request Forgery (CSRF)]
Uso de Componentes vulnerables [Using Known Vulnerable Components]
Redirecciones y reenvíos no validados [Unvalidated Redirects and Forwards]
}

Proceso QA | Seguridad = Norma OWASP [Top 1 vulnerabilidad]

API de seguridad [“white list”] que valide los siguientes caracteres

' or " Caracteres – Indicadores String
-- or # Comentarios tipo single-line
/*…*/ Comentarios tipo multiple-line
+ Conector adicional (por espacio en la url)
|| Conector tipo (double pipe)
% Atributo de indicador - wildcard
? Param1=foo&Param2=bar Parámetros en la url
PRINT Comando Transaccional (non)
@variable Variable Local
@@variable Variable Global
waitfor delay '0:0:10' Opciones de Time-Delay

MS SQL: SELECT name FROM syscolumns WHERE id = (SELECT id FROM
sysobjects WHERE name = 'tablename ') sp_columns tablename

MySQL: show columns from tablename

Oracle: SELECT * FROM all_tab_columns WHERE table_name=' tablename '

DB2: SELECT * FROM sys cat.columns WHERE tabname= 'tablename '

Postgres: SELECT attnum,attname from pg_class, pg_attribute WHERE
relname= 'tablename ‘ AND pg_class.oid = attrelid AND attnum > 0
Como Mitigar a nivel de BD.

WorkFlow – Agiles
Administración de Riesgos Proceso QA

Percepción = Norma W3C [Http Code Errors (400-500)]
{

}

HTTP Protocol ErrorCodes
http://www.w3schools.com/tags/ref_httpmessages.asp

Manejo de excepciones

<?php
function inverse($x) {
if (!$x) {
throw new Exception('División por cero.');
}
return 1/$x;
}

try {
echo inverse(5) . "n";
} catch (Exception $e) {
echo 'Excepción capturada: ', $e->getMessage(), "n";
} finally {
echo "Primer finally.n";
}

try {
echo inverse(0) . "n";
} catch (Exception $e) {
echo 'Excepción capturada: ', $e->getMessage(), "n";
} finally {
echo "Segundo finally.n";
}

// Continuar ejecución
echo 'Hola Mundon';
?>
Manejo de excepciones

Hay que verificar los vínculos y formas que
carecen de un “token”, así como también forzar a
que el usuario final demuestre que es humano y
no un robot de ataque a este concepto se les
llama [CAPTCHA - Completely Automated Public Turing test
to tell Computers and Humans Apart (Prueba de Turing
pública y automática para diferenciar máquinas y
humanos)]
http://www.google.com/recaptcha
Identificar si es un robot - script

DevOps | Development (Software Engineering)
Patrones de Diseño

https://www.modsecurity.org/
DevOps | Development (Software Engineering)

WorkFlow – Agiles
Proceso QA

Rendimiento = Escalabilidad
{
Procesadores Multi-núcleo(s) Paralelismo, Cluster, Grids
(Geográficos)
Almacenamiento SAN – NAS – CAS
Transferencia Ancho de banda y Throughput
}

Nota: Tomar en cuenta Políticas de respaldo y retención, así como
también hacer pruebas de restauración para casos de contingencia.

DevOps | Technology Operations
Help & Service Desk [Estrategia infraestructura]
Ambiente Controlado Back-End

Estrategias de Infraestructura
Ambiente Controlado Front-End

[Help & Service Desk]
Gestión de
{
Incidencias [Incident Management]
Problemas [Problem Management]
Cambios [Change Management]
Control de (versiones) [Release Management]
Activos (Hardware - Software) [Asset Management]
Nivel de Servicio [Service Level Management]
}

Help & Service Desk
Gestión de
{
Incidencias [Incident Management]
Problemas [Problem Management]
Cambios [Change Management]
Control de (versiones) [Release Management]
Activos (Hardware - Software) [Asset Management]
Nivel de Servicio [Service Level Management]
]
Cliente - Usuario Final
{
[Comunicaciones unificadas]
}
Base de datos - Conocimiento

oswaldo.diaz@inegi.org.mx | edgaroswaldodi
•  FAT File System
•  File System
•  Live Imaging
•  Media Analysis
•  Media and Artifact Analysis
•  NTFS File System
•  Response and Volatile Evidence
Fanáticos – Win 3.11 – 2016 RoadMap

Black-List: es una lista de personas, instituciones u
objetos que deben ser discriminados en alguna forma con
respecto a los que no están en la lista. La
discriminación puede ser social, técnica o de alguna
otra forma. Cuando la discriminación es positiva se
habla de W-List
https://www.whatismyip.com/blacklist-check/

Top de Herramientas
seguridad | percepción | rendimiento | forense
www.kali.orghttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

E. oSWALDo D.

Maestría en Ciencias de Tecnologías de Información con
especialidad ITIL ver. 2, - Investigador + Arquitecto TI, para el
Instituto Nacional de Estadística y Geografía (INEGI-México),
Desarrollador Web desde 1998, experiencia Ingeniería de Sistemas
[915 Proyectos Web (año 2005-2016)], en QA (Quality Assurance) +
Risk Management + Seguridad {Ethical (Hacking-Forensics) - Web 2.0
+ Semántica}.
oswaldo.diaz@inegi.org.mx | edgaroswaldodiaz2375@gmail.com | twit à eOswaldOd

Administración de riesgos de seguridad web

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Administración de riesgos de seguridad web

Similar a Administración de riesgos de seguridad web (20)

Más de Software Guru

Más de Software Guru (20)

Último

Último (15)

Administración de riesgos de seguridad web