SlideShare una empresa de Scribd logo

Mejores practicas en seguridad informática para la implementación de Web APIs

Software Guru
Software Guru

Esta platica tiene como finalidad dar a conocer los diferentes aspectos relacionados a la seguridad informática que se tienen que tomar en cuenta al momento de desarrollar e implementar tecnologías Web Api en un ambiente empresarial. Se propondrán estrategias de infraestructura y detalles a tener en cuenta para garantizar la seguridad en diferentes aspectos como son, el control de acceso a la API y gestión de la misma, seguridad de la información durante el transporte y almacenamiento, y el acceso a los datos y validaciones necesarias.

Tecnología
1 de 21
Descargar para leer sin conexión
Mejores practicas en seguridad informática para la implementación de Web APIs Presenta: Hector Escobar Nájera
Web APIs API + REST Application Programming Interface Fuente de datos • Stateless • Orientado a recursos • Uso de verbos HTTP REST
Petición Respuesta Estructura de una transacción en HTTP
Petición Estructura de una transacción en HTTP
Respuesta Estructura de una transacción en HTTP
Crecimiento de las APIs
APIs públicas mas utilizadas
Vulnerabilidades en Web APIs
Owasp Top 10-2017 • A1: 2017- Injection • A2: 2017– Broken Authentication • A3: 2017- Sensitive Data Exposure • A5: 2017- Broken Access Control • A6: 2017- Security Misconfiguration • A7: 2017- Cross-Site Scripting (XSS) • A10: 2017- Insufficient Logging and Monitoring •Control acceso – Autenticación – Autorización – Limitar Acceso •Validación •Seguridad de la información Vulnerabilidades en Web APIs https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
Web API y Base de datos Base de Datos • Cifrado de datos • Usuario de BD menos privilegiado • Solo otorgar permisos necesarios • Validación de datos • Control de acceso por recurso/acción. • Verificar tipo de contenido • Uso de filtros • Uso correcto de códigos de estado HTTP
Uso de herramientas de mapeo objeto-relación (ORM) Mapeo Base de datos • Validación de datos • Evitar Inyección SQL
Servidor de aplicaciones • Controlar lo que mostramos • Añadir cabeceras de seguridad
Web Application Firewall (WAF) • Análisis de trafico y peticiones • Detección de Inyección de SQL, XSS • Prevención de ataques de DoS • Prevención de ataques de fuerza bruta • Bitácora
API Gateway • Autenticación y control de acceso • Administración de múltiples APIs • Rate limiting • Control de versiones • Monitoreo (trafico, rendimiento) • Herramientas de explotación de datos y generación de reportes (Analitics) • Bitácoras
Mejores practicas Estrategia de implementación Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones Cabeceras de seguridad Protección contra “Fingerprinting”
Control de acceso Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
Validación Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
Seguridad de la información Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
Comentarios adicionales • Una buena implementación empieza desde el diseño • Identificar a tus usuarios • Establecer limites y permisos • No reinventar la rueda • Mantener componentes actualizados • Monitoreo y uso de bitácoras
Gracias por su atención!
Hector Escobar Nájera /hector-escobar-472403150/ hcdescobar41@gmail.com

Recomendados

Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeEstrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeSoftware Guru
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyectoFernando Solis
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptographyJose Manuel Ortega Candel
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Juan Pablo
 

Recomendados

Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeEstrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la NubeSoftware Guru
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyectoFernando Solis
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptographyJose Manuel Ortega Candel
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Juan Pablo
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedoresRicardo González
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Hypertext transfert protocol
Hypertext transfert protocolHypertext transfert protocol
Hypertext transfert protocolOscar Eduardo
 
Integración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptxIntegración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptxLuisTenorio42
 
Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?Anna Almuni
 
Tema 3 - Seguridad en Internet
Tema 3 - Seguridad en InternetTema 3 - Seguridad en Internet
Tema 3 - Seguridad en InternetDaniel Pecos Martínez
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VI[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VIGonzalo Chelme
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Isa intro
Isa introIsa intro
Isa introjhom_ttjjse
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptxAPLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptxNERY2013
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10tabai
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Inyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSInyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSsuperserch
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasSoftware Guru
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesSoftware Guru
 

Más contenido relacionado

Similar a Mejores practicas en seguridad informática para la implementación de Web APIs

Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedoresRicardo González
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Hypertext transfert protocol
Hypertext transfert protocolHypertext transfert protocol
Hypertext transfert protocolOscar Eduardo
 
Integración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptxIntegración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptxLuisTenorio42
 
Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?Anna Almuni
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VI[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VIGonzalo Chelme
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptxAPLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptxNERY2013
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10tabai
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Inyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSInyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSsuperserch
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 

Similar a Mejores practicas en seguridad informática para la implementación de Web APIs (20)

Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
 
20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Hypertext transfert protocol
Hypertext transfert protocolHypertext transfert protocol
Hypertext transfert protocol
 
Integración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptxIntegración de Tecnologías y Plataformas.pptx
Integración de Tecnologías y Plataformas.pptx
 
Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?Transformación digital:vale,me voy al cloud,¿y ahora qué?
Transformación digital:vale,me voy al cloud,¿y ahora qué?
 
Tema 3 - Seguridad en Internet
Tema 3 - Seguridad en InternetTema 3 - Seguridad en Internet
Tema 3 - Seguridad en Internet
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VI[webinar]: Seguridad en ambientes cloud | Capitulo VI
[webinar]: Seguridad en ambientes cloud | Capitulo VI
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Isa intro
Isa introIsa intro
Isa intro
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptxAPLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
APLICACIONES DE LA INTELIGENCIA EMPRESARIAL - copia.pptx
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Inyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSInyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJS
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 

Más de Software Guru

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasSoftware Guru
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesSoftware Guru
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environmentsSoftware Guru
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorSoftware Guru
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealSoftware Guru
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowSoftware Guru
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:Software Guru
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learningSoftware Guru
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDiSoftware Guru
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Software Guru
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSSoftware Guru
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...Software Guru
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?Software Guru
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Software Guru
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsSoftware Guru
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosSoftware Guru
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressSoftware Guru
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsSoftware Guru
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Software Guru
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoSoftware Guru
 

Más de Software Guru (20)

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environments
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador Senior
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto ideal
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache Airflow
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learning
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDi
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJS
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOps
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stress
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goals
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseño
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 

Último (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 

Mejores practicas en seguridad informática para la implementación de Web APIs

  • 1. Mejores practicas en seguridad informática para la implementación de Web APIs Presenta: Hector Escobar Nájera
  • 2. Web APIs API + REST Application Programming Interface Fuente de datos • Stateless • Orientado a recursos • Uso de verbos HTTP REST
  • 3. Petición Respuesta Estructura de una transacción en HTTP
  • 7. APIs públicas mas utilizadas
  • 9. Owasp Top 10-2017 • A1: 2017- Injection • A2: 2017– Broken Authentication • A3: 2017- Sensitive Data Exposure • A5: 2017- Broken Access Control • A6: 2017- Security Misconfiguration • A7: 2017- Cross-Site Scripting (XSS) • A10: 2017- Insufficient Logging and Monitoring •Control acceso – Autenticación – Autorización – Limitar Acceso •Validación •Seguridad de la información Vulnerabilidades en Web APIs https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
  • 10. Web API y Base de datos Base de Datos • Cifrado de datos • Usuario de BD menos privilegiado • Solo otorgar permisos necesarios • Validación de datos • Control de acceso por recurso/acción. • Verificar tipo de contenido • Uso de filtros • Uso correcto de códigos de estado HTTP
  • 11. Uso de herramientas de mapeo objeto-relación (ORM) Mapeo Base de datos • Validación de datos • Evitar Inyección SQL
  • 12. Servidor de aplicaciones • Controlar lo que mostramos • Añadir cabeceras de seguridad
  • 13. Web Application Firewall (WAF) • Análisis de trafico y peticiones • Detección de Inyección de SQL, XSS • Prevención de ataques de DoS • Prevención de ataques de fuerza bruta • Bitácora
  • 14. API Gateway • Autenticación y control de acceso • Administración de múltiples APIs • Rate limiting • Control de versiones • Monitoreo (trafico, rendimiento) • Herramientas de explotación de datos y generación de reportes (Analitics) • Bitácoras
  • 15. Mejores practicas Estrategia de implementación Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones Cabeceras de seguridad Protección contra “Fingerprinting”
  • 16. Control de acceso Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
  • 17. Validación Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
  • 18. Seguridad de la información Detección de: Cross-Site Scripting (XSS) Inyección Denegación de servicios Ataques de fuerza bruta Servidor de Base de Datos Servidores de Aplicaciones API GatewayWeb Application Firewall Servidor de Contenidos Seguridad de transporte (HTTPS) Certificados SSL/TLS Cifrado de datos Usuario de BD menos privilegiado Validación de datos Herramientas ORM Autorización Uso de filtros Cabeceras de seguridad Protección contra “Fingerprinting” Autenticación Autorización Monitoreo y Logging Políticas de acceso Control de versiones
  • 19. Comentarios adicionales • Una buena implementación empieza desde el diseño • Identificar a tus usuarios • Establecer limites y permisos • No reinventar la rueda • Mantener componentes actualizados • Monitoreo y uso de bitácoras
  • 20. Gracias por su atención!