SlideShare una empresa de Scribd logo

Autenticación insuficiente en sitios web

Descargar como PPTX, PDF
C
Cesar Couoh

Este documento describe la autenticación insuficiente, que ocurre cuando un sitio web permite el acceso a contenido sensible sin autenticación correcta. Explica vulnerabilidades como contraseñas débiles, almacenamiento de credenciales en archivos y tiempo prolongado de sesión. También lista rutas de acceso definidas para un proyecto de caja de ahorros y recomienda medidas como contraseñas fuertes, protección de credenciales y autenticación mediante aplicación para mejorar la seguridad.

Tecnología
1 de 9
Autenticación Insuficiente LCC. César Alberto Couoh LCC. Jesús Bote May Ing. Luis AlbertoVega
Definición • La Autenticación Insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente.
Vulnerabilidades Algunas de las vulnerabilidades asociadas a la Autenticación insuficiente son: • Uso de contraseñas débiles (obvias). • Almacenar los textos de las credenciales de acceso en los archivos de configuración. • Hacer pasar dichas credenciales por la red. • Permitir un tiempo prolongado de sesión. • Utilizar mecanismos de recuperación de contraseñas inseguros. • Limitar el número de intentos erróneos, para bloquear el acceso.
Rutas definidas en el proyecto Caja de Ahorro • http://cesarcouoh.net/tmpnuevo/public/Inscrip Recurso de Inscripciones • http://cesarcouoh.net/tmpnuevo/public/Prest Recurso de Prestamos • http://cesarcouoh.net/tmpnuevo/public/Aval Recurso de Avales • http://cesarcouoh.net/tmpnuevo/public/Apo Recurso de Aportaciones • http://cesarcouoh.net/tmpnuevo/public/Conyu Recurso de Conyuges • http://cesarcouoh.net/tmpnuevo/public/Bene Recurso de Beneficiarios • http://cesarcouoh.net/tmpnuevo/public/Prop Propietarios
Pantalla de Inicio de Sesión
¿Cómo mejorar la Autenticación? Algunas de las medidas recomendadas son: Asegurar que el usuario tenga contraseñas fuertes (al menos 8 caracteres) Asegurar que las credenciales estén bien protegidas. Asegurar que los mecanismos de recuperación de contraseñas sean más seguros. Asegurar que las credenciales sean revocadas. Se requiere unApp de Autenticación. Asegurar que el user id, app id, id de dispositivo sea único.
Hacer más suficiente la Autenticación
Hacer más suficiente la Autenticación
Muchas gracias!!

Recomendados

Firewall DMZ Zone
Firewall DMZ ZoneFirewall DMZ Zone
Firewall DMZ ZoneNetProtocol Xpert
 
Symmetric encryption and message confidentiality
Symmetric encryption and message confidentialitySymmetric encryption and message confidentiality
Symmetric encryption and message confidentialityCAS
 
ExtraHop Product Overview Datasheet
ExtraHop Product Overview DatasheetExtraHop Product Overview Datasheet
ExtraHop Product Overview DatasheetExtraHop Networks
 
Network Security 1st Lecture
Network Security 1st LectureNetwork Security 1st Lecture
Network Security 1st Lecturebabak danyal
 
Keeping a Secret with HashiCorp Vault
Keeping a Secret with HashiCorp VaultKeeping a Secret with HashiCorp Vault
Keeping a Secret with HashiCorp VaultMitchell Pronschinske
 
Ch20
Ch20Ch20
Ch20Joe Christensen
 
OSCP.pdf
OSCP.pdfOSCP.pdf
OSCP.pdfCamuss Sofi
 
Cryptography & Steganography
Cryptography & SteganographyCryptography & Steganography
Cryptography & SteganographyAnimesh Shaw
 

Recomendados

Firewall DMZ Zone
Firewall DMZ ZoneFirewall DMZ Zone
Firewall DMZ ZoneNetProtocol Xpert
 
Symmetric encryption and message confidentiality
Symmetric encryption and message confidentialitySymmetric encryption and message confidentiality
Symmetric encryption and message confidentialityCAS
 
ExtraHop Product Overview Datasheet
ExtraHop Product Overview DatasheetExtraHop Product Overview Datasheet
ExtraHop Product Overview DatasheetExtraHop Networks
 
Network Security 1st Lecture
Network Security 1st LectureNetwork Security 1st Lecture
Network Security 1st Lecturebabak danyal
 
Keeping a Secret with HashiCorp Vault
Keeping a Secret with HashiCorp VaultKeeping a Secret with HashiCorp Vault
Keeping a Secret with HashiCorp VaultMitchell Pronschinske
 
Ch20
Ch20Ch20
Ch20Joe Christensen
 
OSCP.pdf
OSCP.pdfOSCP.pdf
OSCP.pdfCamuss Sofi
 
Cryptography & Steganography
Cryptography & SteganographyCryptography & Steganography
Cryptography & SteganographyAnimesh Shaw
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Diffiehellman
DiffiehellmanDiffiehellman
Diffiehellmanchenlahero
 
Python ppt
Python pptPython ppt
Python pptAMIT VIRAMGAMI
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
13 asymmetric key cryptography
13 asymmetric key cryptography13 asymmetric key cryptography
13 asymmetric key cryptographydrewz lin
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
WEP/WPA attacks
WEP/WPA attacksWEP/WPA attacks
WEP/WPA attacksHuda Seyam
 
ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)ProjectDC-01
 
Columnar transposition cipher
Columnar transposition cipherColumnar transposition cipher
Columnar transposition cipherWaqar Memon
 
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...Erkang Zheng
 
Developer Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for AndroidDeveloper Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for AndroidFIDO Alliance
 
Les attaques
Les attaquesLes attaques
Les attaquesnadia sassi
 
Conventional Encryption NS2
Conventional Encryption NS2Conventional Encryption NS2
Conventional Encryption NS2koolkampus
 
Implementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakImplementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakYuichi Nakamura
 
Computer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption StandardComputer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption StandardMohamed Loey
 
FivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptxFivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptxJason Wilkins
 
Kleptography
KleptographyKleptography
KleptographyErfan Mallick
 
Security Design Principles.ppt
Security Design Principles.ppt Security Design Principles.ppt
Security Design Principles.pptDrBasemMohamedElomda
 
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnovComputer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnovEric Vanderburg
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosJuan Manuel García
 
éS precioso, senhor
éS precioso, senhoréS precioso, senhor
éS precioso, senhorrafael gomide
 
гончарное ремесло
гончарное ремеслогончарное ремесло
гончарное ремеслоOlga Sosedkova
 

Más contenido relacionado

La actualidad más candente

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
13 asymmetric key cryptography
13 asymmetric key cryptography13 asymmetric key cryptography
13 asymmetric key cryptographydrewz lin
 
WEP/WPA attacks
WEP/WPA attacksWEP/WPA attacks
WEP/WPA attacksHuda Seyam
 
ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)ProjectDC-01
 
Columnar transposition cipher
Columnar transposition cipherColumnar transposition cipher
Columnar transposition cipherWaqar Memon
 
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...Erkang Zheng
 
Developer Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for AndroidDeveloper Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for AndroidFIDO Alliance
 
Conventional Encryption NS2
Conventional Encryption NS2Conventional Encryption NS2
Conventional Encryption NS2koolkampus
 
Implementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakImplementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakYuichi Nakamura
 
Computer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption StandardComputer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption StandardMohamed Loey
 
FivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptxFivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptxJason Wilkins
 
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnovComputer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnovEric Vanderburg
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosJuan Manuel García
 

La actualidad más candente (20)

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Diffiehellman
DiffiehellmanDiffiehellman
Diffiehellman
 
Python ppt
Python pptPython ppt
Python ppt
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
13 asymmetric key cryptography
13 asymmetric key cryptography13 asymmetric key cryptography
13 asymmetric key cryptography
 
Iso27001
Iso27001 Iso27001
Iso27001
 
WEP/WPA attacks
WEP/WPA attacksWEP/WPA attacks
WEP/WPA attacks
 
ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)ASN/IPの取得方法(APNIC版)
ASN/IPの取得方法(APNIC版)
 
Columnar transposition cipher
Columnar transposition cipherColumnar transposition cipher
Columnar transposition cipher
 
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
Overcoming the old ways of working with DevSecOps - Culture, Data, Graph, and...
 
Developer Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for AndroidDeveloper Tutorial: WebAuthn for Web & FIDO2 for Android
Developer Tutorial: WebAuthn for Web & FIDO2 for Android
 
Les attaques
Les attaquesLes attaques
Les attaques
 
Conventional Encryption NS2
Conventional Encryption NS2Conventional Encryption NS2
Conventional Encryption NS2
 
Implementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakImplementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on Keycloak
 
Computer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption StandardComputer Security Lecture 4: Block Ciphers and the Data Encryption Standard
Computer Security Lecture 4: Block Ciphers and the Data Encryption Standard
 
FivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptxFivePhaseForensicsMagnet.pptx
FivePhaseForensicsMagnet.pptx
 
Kleptography
KleptographyKleptography
Kleptography
 
Security Design Principles.ppt
Security Design Principles.ppt Security Design Principles.ppt
Security Design Principles.ppt
 
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnovComputer Forensics: First Responder Training - Eric Vanderburg - JurInnov
Computer Forensics: First Responder Training - Eric Vanderburg - JurInnov
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficos
 

Destacado

éS precioso, senhor
éS precioso, senhoréS precioso, senhor
éS precioso, senhorrafael gomide
 
гончарное ремесло
гончарное ремеслогончарное ремесло
гончарное ремеслоOlga Sosedkova
 
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"Erendira Bram
 
Katya vanegas y juan pablo
Katya vanegas y juan pablo Katya vanegas y juan pablo
Katya vanegas y juan pablo xxxmarrioxxx
 
Si comenza a ler
Si comenza a lerSi comenza a ler
Si comenza a lermaria
 
Des. cognitivo
Des. cognitivoDes. cognitivo
Des. cognitivozacricor
 
Ct scan layout model
Ct scan layout modelCt scan layout model
Ct scan layout modelMadhu P P
 
Eu sei que ele é poderoso
Eu sei que ele é poderosoEu sei que ele é poderoso
Eu sei que ele é poderosorafael gomide
 

Destacado (20)

éS precioso, senhor
éS precioso, senhoréS precioso, senhor
éS precioso, senhor
 
гончарное ремесло
гончарное ремеслогончарное ремесло
гончарное ремесло
 
Home tuition
Home tuitionHome tuition
Home tuition
 
Digital disruption v5
Digital disruption v5Digital disruption v5
Digital disruption v5
 
4 pasos 4 pregutas
4 pasos 4 pregutas4 pasos 4 pregutas
4 pasos 4 pregutas
 
Hoy
HoyHoy
Hoy
 
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"
sobre Más que un Balón… Mi Mejor Elección de Vida" voleibol"
 
Katya vanegas y juan pablo
Katya vanegas y juan pablo Katya vanegas y juan pablo
Katya vanegas y juan pablo
 
La civilización egipcia periodos importantes
La civilización egipcia periodos importantesLa civilización egipcia periodos importantes
La civilización egipcia periodos importantes
 
Expocicion poka yoke.
Expocicion poka yoke.Expocicion poka yoke.
Expocicion poka yoke.
 
854
854854
854
 
Si comenza a ler
Si comenza a lerSi comenza a ler
Si comenza a ler
 
Salmos e hinos 325
Salmos e hinos 325Salmos e hinos 325
Salmos e hinos 325
 
Salmos e hinos 414
Salmos e hinos 414Salmos e hinos 414
Salmos e hinos 414
 
Des. cognitivo
Des. cognitivoDes. cognitivo
Des. cognitivo
 
Ct scan layout model
Ct scan layout modelCt scan layout model
Ct scan layout model
 
Eu sei que ele é poderoso
Eu sei que ele é poderosoEu sei que ele é poderoso
Eu sei que ele é poderoso
 
Puzlee
PuzleePuzlee
Puzlee
 
Salmos e hinos 046
Salmos e hinos 046Salmos e hinos 046
Salmos e hinos 046
 
Flavia
FlaviaFlavia
Flavia
 

Similar a Autenticación insuficiente en sitios web

Cloud Native MX Meetup - Asegurando tu Cluster de Kubernetes
Cloud Native MX Meetup - Asegurando tu Cluster de KubernetesCloud Native MX Meetup - Asegurando tu Cluster de Kubernetes
Cloud Native MX Meetup - Asegurando tu Cluster de KubernetesDomingo Suarez Torres
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WPIñaki Arenaza
 
Colombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptxColombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptxLuis Beltran
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017superserch
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPressArsys
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datosalan moreno
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)hecky NeobitsOrg
 

Similar a Autenticación insuficiente en sitios web (20)

Cloud Native MX Meetup - Asegurando tu Cluster de Kubernetes
Cloud Native MX Meetup - Asegurando tu Cluster de KubernetesCloud Native MX Meetup - Asegurando tu Cluster de Kubernetes
Cloud Native MX Meetup - Asegurando tu Cluster de Kubernetes
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Ingrid 9-1
Ingrid 9-1Ingrid 9-1
Ingrid 9-1
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
 
Colombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptxColombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptx
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
OWASP Top 10 101 en Java EE
OWASP Top 10 101 en Java EEOWASP Top 10 101 en Java EE
OWASP Top 10 101 en Java EE
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)
 

Último

Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y maslida630411
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 

Último (20)

Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y mas
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 

Autenticación insuficiente en sitios web

  • 1. Autenticación Insuficiente LCC. César Alberto Couoh LCC. Jesús Bote May Ing. Luis AlbertoVega
  • 2. Definición • La Autenticación Insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente.
  • 3. Vulnerabilidades Algunas de las vulnerabilidades asociadas a la Autenticación insuficiente son: • Uso de contraseñas débiles (obvias). • Almacenar los textos de las credenciales de acceso en los archivos de configuración. • Hacer pasar dichas credenciales por la red. • Permitir un tiempo prolongado de sesión. • Utilizar mecanismos de recuperación de contraseñas inseguros. • Limitar el número de intentos erróneos, para bloquear el acceso.
  • 4. Rutas definidas en el proyecto Caja de Ahorro • http://cesarcouoh.net/tmpnuevo/public/Inscrip Recurso de Inscripciones • http://cesarcouoh.net/tmpnuevo/public/Prest Recurso de Prestamos • http://cesarcouoh.net/tmpnuevo/public/Aval Recurso de Avales • http://cesarcouoh.net/tmpnuevo/public/Apo Recurso de Aportaciones • http://cesarcouoh.net/tmpnuevo/public/Conyu Recurso de Conyuges • http://cesarcouoh.net/tmpnuevo/public/Bene Recurso de Beneficiarios • http://cesarcouoh.net/tmpnuevo/public/Prop Propietarios
  • 5. Pantalla de Inicio de Sesión
  • 6. ¿Cómo mejorar la Autenticación? Algunas de las medidas recomendadas son: Asegurar que el usuario tenga contraseñas fuertes (al menos 8 caracteres) Asegurar que las credenciales estén bien protegidas. Asegurar que los mecanismos de recuperación de contraseñas sean más seguros. Asegurar que las credenciales sean revocadas. Se requiere unApp de Autenticación. Asegurar que el user id, app id, id de dispositivo sea único.
  • 7. Hacer más suficiente la Autenticación
  • 8. Hacer más suficiente la Autenticación