SlideShare una empresa de Scribd logo

Menos Buffer Overflows, más SQL Injections

Descargar como PPTX, PDF
Bonsai Information Security
Bonsai Information Security

Menos buffer overflows,más SQL injections El documento discute cómo los desarrolladores de software ahora tienen más conocimientos de seguridad y los sistemas operativos modernos incluyen protecciones como ASLR y NX bit que reducen los riesgos de vulnerabilidades de buffer overflow. Sin embargo, la mayoría de las aplicaciones web aún carecen de pruebas de seguridad y son vulnerables a inyecciones SQL debido a la falta de capacitación en seguridad de los desarrolladores. El documento concluye que los ataques se dirigen ahora a los eslabones más dé

Tecnología
1 de 14
Menos buffer overflows,más SQL injections Andrés Riancho – Ekoparty 2010 Desayuno de los CIOs http://www.bonsai-sec.com/
andres@bonsai-sec.com$ whoami Fundador @ BonsaiInformation Security Director of Web Security @ Rapid7 Programador (python!) Open SourceEvangelist Con conocimientos en networking, diseño y evasión de IPS Líder del proyecto open sourcew3af
Muchos buffer overflows En el pasado, servicios como IIS, Apache, Oracle, Sendmail y Bind han tenido innumerables problemas de seguridad debido a bugs de seguridad introducidos durante el proceso de desarrollo. Los equipos de desarrollo que trabajaban en estos proyectos introducían al código vulnerabilidades de corrupción de memoria como: Stack overflows Heap overflows Format strings Off by one Esto se debía a falta de conocimiento, desinterés de las compañías y falta de inversión en seguridad.
Menos buffer overflows En la actualidad hay tres factores principales que reducen los riesgos de ser vulnerables a buffer overflows: Los equipos de desarrollo de grandes proyectos han evolucionado e integrado la seguridad en el desarrollo del software. Los lenguajes de programación de más alto nivel evitan que el desarrollador introduzca (la mayoría)de las vulnerabilidades de corrupción de memoria. Los sistemas operativos modernos implementan ASLR (Addressspacelayoutrandomization)y NX bit (No eXecute), funciones que reducen la probabilidad de poder ejecutar códigoen base a una vulnerabilidad que haya llegado a un release productivo.
Menos buffer overflows ¿Recuerdan la última vez que sufrimos una vulnerabilidad crítica con la cual fuera posible ejecutar código en IIS? Fuente: www.exploit-db.com
Menos buffer overflows ¿Y en Apache? Fuente: www.exploit-db.com
Más SQL injections Tanto en el pasado como en la actualidad, la gran mayoría de las aplicaciones Web son desarrolladas por equipos que desconocen por completo los conceptos básicos de seguridad en aplicaciones. No se implementan procedimientos de QA para verificar que el código desarrollado sea seguro. Instituciones de todos los tamaños encomiendan el desarrollo de aplicaciones transaccionales a “garage“ software factories y confían su seguridad en ellos.
Más SQL injections Una vez detectada una vulnerabilidad en una aplicación Web, la explotación es trivial en la mayoría de los casos. Los frameworks de desarrollo de aplicaciones Web han mejorado su seguridad, pero todavía se encuentran lejos de ser seguros por defecto. Las empresas recién ahora comienzan a tomar conciencia de los riesgos. En cuanto a seguridad en aplicaciones Web, estamos como en los ‘90 comparado con proyectos como IIS y Apache.
Más SQL injections La minoría de las empresas adopta soluciones de seguridad antes de que ocurra un incidente grave, aunque hay numerosas soluciones disponibles en el mercado. Consultoría: Participación de un experto de seguridad en aplicaciones en las reuniones de diseño del equipo de desarrollo Web Application Penetration Tests CodeReview Capacitación a desarrolladores y testers Seguridad en el ciclo de vida del software
Más SQL injections Las “silverbullets” ofrecidos por nuestro proveedor preferido de software y hardware: Web Application Security Scanners StaticCodeAnalyzers Web Application Firewalls En manos experimentadas, son de gran ayuda para prevenir las intrusiones de atacantes con conocimientos medios y hasta quizás altos. Insuficientes en su totalidad para reducir el riesgo de vulnerabilidades en la lógica del negocio asociada a la aplicación.
Conclusión: Atacando al eslabón más débil
¿Preguntas?
Preguntas sugeridas ¿Qué tips de seguridad se deben tener en cuenta a la hora de desarrollar una aplicación web? ¿Cuantasempresasnacionalesconocesquetengan un plan definidoparadesarrollaraplicaciones Web queincluyaseguridad? ¿En tuexperiencia, comocalificarías la seguridad de lasaplicaciones Web de Argentina con respecto a la de otrospaises?
Gracias por su atención!Slides en:http://www.bonsai-sec.com/blog/

Recomendados

Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Avast 2015
Avast 2015 Avast 2015
Avast 2015 antibiruscomparativa24
 
10 antivirus
10 antivirus10 antivirus
10 antivirusana_20015
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamelaOliva98
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamela Oliva
 
PRIVACIDAD
PRIVACIDADPRIVACIDAD
PRIVACIDADalu4
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 

Recomendados

Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Avast 2015
Avast 2015 Avast 2015
Avast 2015 antibiruscomparativa24
 
10 antivirus
10 antivirus10 antivirus
10 antivirusana_20015
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamelaOliva98
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamela Oliva
 
PRIVACIDAD
PRIVACIDADPRIVACIDAD
PRIVACIDADalu4
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"Rodrigo GC
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
características de los antivirus
características de los antiviruscaracterísticas de los antivirus
características de los antivirusbrigitteestefania
 
Antivurus
AntivurusAntivurus
AntivurusDanypizana
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Owasp
OwaspOwasp
OwaspTensor
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 
TMG Server by Daniel
TMG Server by DanielTMG Server by Daniel
TMG Server by DanielDaniel Gvtierrex
 
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"Rodrick Lee
 
Antivirus 10
Antivirus 10Antivirus 10
Antivirus 10CristyMacias2015
 
Norton internet security
Norton internet securityNorton internet security
Norton internet securityCesarGomezDiaz
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirusacevedovasquez
 
Understanding Advanced Buffer Overflow
Understanding Advanced Buffer OverflowUnderstanding Advanced Buffer Overflow
Understanding Advanced Buffer OverflowConferencias FIST
 
Bolanos marco tarea1
Bolanos marco tarea1Bolanos marco tarea1
Bolanos marco tarea1Marco Bolaños
 
Historia de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoHistoria de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoJuan Sacco
 
Sistema buffer
Sistema bufferSistema buffer
Sistema bufferIngrid Johana Sierra Mejia
 
Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2ProjectMart
 
CLASES STRING MATH TIME
CLASES STRING MATH TIMECLASES STRING MATH TIME
CLASES STRING MATH TIMEFernando Solis
 
08 strings o cadenas
08 strings o cadenas08 strings o cadenas
08 strings o cadenashorusblom
 

Más contenido relacionado

La actualidad más candente

IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"Rodrigo GC
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
características de los antivirus
características de los antiviruscaracterísticas de los antivirus
características de los antivirusbrigitteestefania
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"Rodrick Lee
 
Norton internet security
Norton internet securityNorton internet security
Norton internet securityCesarGomezDiaz
 

La actualidad más candente (15)

IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
características de los antivirus
características de los antiviruscaracterísticas de los antivirus
características de los antivirus
 
Antivurus
AntivurusAntivurus
Antivurus
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Owasp
OwaspOwasp
Owasp
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 
TMG Server by Daniel
TMG Server by DanielTMG Server by Daniel
TMG Server by Daniel
 
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
IES "Falla de seguridad en iPhone 4, 5 y iPad 2"
 
Antivirus 10
Antivirus 10Antivirus 10
Antivirus 10
 
Norton internet security
Norton internet securityNorton internet security
Norton internet security
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
 

Destacado

Understanding Advanced Buffer Overflow
Understanding Advanced Buffer OverflowUnderstanding Advanced Buffer Overflow
Understanding Advanced Buffer OverflowConferencias FIST
 
Historia de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoHistoria de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoJuan Sacco
 
Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2ProjectMart
 
CLASES STRING MATH TIME
CLASES STRING MATH TIMECLASES STRING MATH TIME
CLASES STRING MATH TIMEFernando Solis
 
08 strings o cadenas
08 strings o cadenas08 strings o cadenas
08 strings o cadenashorusblom
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Strings Y Archivos En Lab View
Strings Y Archivos En Lab ViewStrings Y Archivos En Lab View
Strings Y Archivos En Lab ViewIsrael Carrión
 
Caracteres y Cadenas en C
Caracteres y Cadenas en CCaracteres y Cadenas en C
Caracteres y Cadenas en CRonny Parra
 
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)dimorac
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacksKapil Nagrale
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacksJoe McCarthy
 
La Era del Conocimiento
La Era del ConocimientoLa Era del Conocimiento
La Era del Conocimientopakal26
 
Sociedad del conocimiento
Sociedad del conocimientoSociedad del conocimiento
Sociedad del conocimientoIvan1492
 

Destacado (20)

Understanding Advanced Buffer Overflow
Understanding Advanced Buffer OverflowUnderstanding Advanced Buffer Overflow
Understanding Advanced Buffer Overflow
 
Bolanos marco tarea1
Bolanos marco tarea1Bolanos marco tarea1
Bolanos marco tarea1
 
Historia de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoHistoria de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan Sacco
 
Sistema buffer
Sistema bufferSistema buffer
Sistema buffer
 
Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2Castells manuel la era de la informacion tomo 2
Castells manuel la era de la informacion tomo 2
 
CLASES STRING MATH TIME
CLASES STRING MATH TIMECLASES STRING MATH TIME
CLASES STRING MATH TIME
 
08 strings o cadenas
08 strings o cadenas08 strings o cadenas
08 strings o cadenas
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Strings Y Archivos En Lab View
Strings Y Archivos En Lab ViewStrings Y Archivos En Lab View
Strings Y Archivos En Lab View
 
Caracteres y Cadenas en C
Caracteres y Cadenas en CCaracteres y Cadenas en C
Caracteres y Cadenas en C
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)
LA ERA DE LA INFORMACIÓN Tomo I (Manuel Castell)
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacks
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacks
 
La Era del Conocimiento
La Era del ConocimientoLa Era del Conocimiento
La Era del Conocimiento
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Sociedad del conocimiento
Sociedad del conocimientoSociedad del conocimiento
Sociedad del conocimiento
 

Similar a Menos Buffer Overflows, más SQL Injections

Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebAlonso Caballero
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 
TOP10 - Owasp 2017
TOP10 - Owasp 2017TOP10 - Owasp 2017
TOP10 - Owasp 2017Luis Toscano
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españoldavimoryz
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetssuser948499
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Alonso Caballero
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el pilotoCSA Argentina
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 

Similar a Menos Buffer Overflows, más SQL Injections (20)

Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
TOP10 - Owasp 2017
TOP10 - Owasp 2017TOP10 - Owasp 2017
TOP10 - Owasp 2017
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internet
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el piloto
 
Planteamiento del problema
Planteamiento del problemaPlanteamiento del problema
Planteamiento del problema
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Menos Buffer Overflows, más SQL Injections

  • 1. Menos buffer overflows,más SQL injections Andrés Riancho – Ekoparty 2010 Desayuno de los CIOs http://www.bonsai-sec.com/
  • 2. andres@bonsai-sec.com$ whoami Fundador @ BonsaiInformation Security Director of Web Security @ Rapid7 Programador (python!) Open SourceEvangelist Con conocimientos en networking, diseño y evasión de IPS Líder del proyecto open sourcew3af
  • 3. Muchos buffer overflows En el pasado, servicios como IIS, Apache, Oracle, Sendmail y Bind han tenido innumerables problemas de seguridad debido a bugs de seguridad introducidos durante el proceso de desarrollo. Los equipos de desarrollo que trabajaban en estos proyectos introducían al código vulnerabilidades de corrupción de memoria como: Stack overflows Heap overflows Format strings Off by one Esto se debía a falta de conocimiento, desinterés de las compañías y falta de inversión en seguridad.
  • 4. Menos buffer overflows En la actualidad hay tres factores principales que reducen los riesgos de ser vulnerables a buffer overflows: Los equipos de desarrollo de grandes proyectos han evolucionado e integrado la seguridad en el desarrollo del software. Los lenguajes de programación de más alto nivel evitan que el desarrollador introduzca (la mayoría)de las vulnerabilidades de corrupción de memoria. Los sistemas operativos modernos implementan ASLR (Addressspacelayoutrandomization)y NX bit (No eXecute), funciones que reducen la probabilidad de poder ejecutar códigoen base a una vulnerabilidad que haya llegado a un release productivo.
  • 5. Menos buffer overflows ¿Recuerdan la última vez que sufrimos una vulnerabilidad crítica con la cual fuera posible ejecutar código en IIS? Fuente: www.exploit-db.com
  • 6. Menos buffer overflows ¿Y en Apache? Fuente: www.exploit-db.com
  • 7. Más SQL injections Tanto en el pasado como en la actualidad, la gran mayoría de las aplicaciones Web son desarrolladas por equipos que desconocen por completo los conceptos básicos de seguridad en aplicaciones. No se implementan procedimientos de QA para verificar que el código desarrollado sea seguro. Instituciones de todos los tamaños encomiendan el desarrollo de aplicaciones transaccionales a “garage“ software factories y confían su seguridad en ellos.
  • 8. Más SQL injections Una vez detectada una vulnerabilidad en una aplicación Web, la explotación es trivial en la mayoría de los casos. Los frameworks de desarrollo de aplicaciones Web han mejorado su seguridad, pero todavía se encuentran lejos de ser seguros por defecto. Las empresas recién ahora comienzan a tomar conciencia de los riesgos. En cuanto a seguridad en aplicaciones Web, estamos como en los ‘90 comparado con proyectos como IIS y Apache.
  • 9. Más SQL injections La minoría de las empresas adopta soluciones de seguridad antes de que ocurra un incidente grave, aunque hay numerosas soluciones disponibles en el mercado. Consultoría: Participación de un experto de seguridad en aplicaciones en las reuniones de diseño del equipo de desarrollo Web Application Penetration Tests CodeReview Capacitación a desarrolladores y testers Seguridad en el ciclo de vida del software
  • 10. Más SQL injections Las “silverbullets” ofrecidos por nuestro proveedor preferido de software y hardware: Web Application Security Scanners StaticCodeAnalyzers Web Application Firewalls En manos experimentadas, son de gran ayuda para prevenir las intrusiones de atacantes con conocimientos medios y hasta quizás altos. Insuficientes en su totalidad para reducir el riesgo de vulnerabilidades en la lógica del negocio asociada a la aplicación.
  • 11. Conclusión: Atacando al eslabón más débil
  • 13. Preguntas sugeridas ¿Qué tips de seguridad se deben tener en cuenta a la hora de desarrollar una aplicación web? ¿Cuantasempresasnacionalesconocesquetengan un plan definidoparadesarrollaraplicaciones Web queincluyaseguridad? ¿En tuexperiencia, comocalificarías la seguridad de lasaplicaciones Web de Argentina con respecto a la de otrospaises?
  • 14. Gracias por su atención!Slides en:http://www.bonsai-sec.com/blog/