SlideShare una empresa de Scribd logo

Auditoria y seguridad de ti

Descargar como PPTX, PDF
Diego Sanchez Rodriguez
Diego Sanchez Rodriguez
1 de 14
AUDITORIA Y SEGURIDAD DE TI Mercado Vásquez Felipe Sánchez Rodríguez Diego
Exploit O Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.
Exploit O Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos. O Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:  Vulnerabilidades de desbordamiento de buffer.  Vulnerabilidades de condición de carrera.  Vulnerabilidades de error de formato de cadena.  Vulnerabilidades de Cross Site Scripting XSS.  Vulnerabilidades de Inyección SQL.  Vulnerabilidades de denegación del servicio.  Vulnerabilidades Inyección múltiple HTML Múltiple. HTML Injection .
Como Funcionan O Envían mensajes de correo electrónico no solicitados para hacer que los usuarios visiten un sitio mantenido por el delincuente informático. Para conseguir este objetivo también se utilizan otras técnicas sofisticadas, como la suplantación de direcciones DNS (Domain Name Service, servicio de nombres de dominio), los ataques de ingeniería social y otras tácticas predatorias. O Crean una serie de sitios infecciosos cuyos nombres sean similares a los de entidades legítimas, registrando direcciones en Internet que apenas se diferencien de las originales (por ejemplo, microsooft.com o dowload.com). O Infectan sitios web pertenecientes a entidades legítimas, infiltrando los códigos maliciosos antes de que sus administradores puedan bloquear la intrusión. El Banco de la India sufrió un ataque de este tipo recientemente. O Ponen enlaces a elementos multimedia en sitios de encuentros sociales, tales como Facebook o MySpace, que en realidad apuntan a códigos maliciosos externos. Estos se aprovechan de las vulnerabilidades de los complementos desarrollados por otras empresas y que son necesarios para ejecutarlos.
COMBATIR LA AMENAZA O Mantener actualizados los parches del sistema, y utilizar siempre la última versión del navegador. O Desactivar funciones de programación innecesarias, como códigos ActiveX, o permitir solamente que estas sean usadas en sitios previamente revisados y confiables. O No visitar sitios desconocidos, o que puedan resultar poco confiables. O Usar programas que examinan el contenido de los sitios web en tiempo real. O Utilizar un cortafuego que proteja el sistema contra códigos maliciosos del tipo día cero, bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales.
Inyección SQL O Inyección de código es un tipo de ataque que consiste en que los atacantes extraigan información, roben credenciales, tomen control de la página atacada o algún otro tipo de actividades maliciosas.
Tipos de Amenazas O Inyección SQL.Este ataque se aprovecha de una vulnerabilidad en que una variable o componente de una página que utiliza código SQL (código que accede bases de datos) permite que un atacante emplee comandos para manipular datos y acceder información confidencial.
Tipos de Amenazas O XSS o Cross Site Scripting.- En español, secuencias de comandos en sitios cruzados. Este ataque aprovecha vulnerabilidades en las páginas de Internet que permiten que un cibercriminal inserte código de JavaScript o lenguajes similares para inyectar código HTML en las páginas que atacan, alterando así la funcionalidad de la misma.
Reglas para protegerse contra ataques de Inyección O Verifique el formato de los datos de entrada y, en O O O O O particular, si hay caracteres especiales; No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL; Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas; No acepte cuentas sin contraseñas; Mantenga al mínimo los privilegios de las cuentas que se usan. Elimine los procedimientos almacenados.
EJEMPLO Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos:
O Pero si un operador malintencionado escribe como nombre de usuario a consultar:
Evitar ataques
GRACIAS

Recomendados

Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas webMarcosChamorroOrtiz
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 

Recomendados

Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas webMarcosChamorroOrtiz
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondoAlan Resendiz
 
Troyanos
TroyanosTroyanos
TroyanosAndrea_Huerga
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
V y a system
V y a systemV y a system
V y a systemhalejandro0824
 
V y a system
V y a systemV y a system
V y a systemhalejandro0824
 
Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8Jorge Ulises
 
Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
Owas top 10_2010_by_dino
Owas top 10_2010_by_dinoOwas top 10_2010_by_dino
Owas top 10_2010_by_dinoJhon Jairo Hernandez
 
ANTIVIRUS
ANTIVIRUS ANTIVIRUS
ANTIVIRUS 112ede
 
Power point de la segurir de red.
Power point de la segurir de red.Power point de la segurir de red.
Power point de la segurir de red.Dayiperez
 
Sad tema2 pen_test_iii
Sad tema2 pen_test_iiiSad tema2 pen_test_iii
Sad tema2 pen_test_iiiJesús Moreno León
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
VIRUS NFORMATICOS
VIRUS NFORMATICOSVIRUS NFORMATICOS
VIRUS NFORMATICOSvijuale77
 
Guia de auditoria_de_ti
Guia de auditoria_de_tiGuia de auditoria_de_ti
Guia de auditoria_de_tiAlberto Arredondo Infante
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 

Más contenido relacionado

La actualidad más candente

[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8Jorge Ulises
 
ANTIVIRUS
ANTIVIRUS ANTIVIRUS
ANTIVIRUS 112ede
 
Power point de la segurir de red.
Power point de la segurir de red.Power point de la segurir de red.
Power point de la segurir de red.Dayiperez
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
VIRUS NFORMATICOS
VIRUS NFORMATICOSVIRUS NFORMATICOS
VIRUS NFORMATICOSvijuale77
 

La actualidad más candente (20)

Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malware
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondo
 
Troyanos
TroyanosTroyanos
Troyanos
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
V y a system
V y a systemV y a system
V y a system
 
V y a system
V y a systemV y a system
V y a system
 
Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8Android de la A a la Z - Unidad 8
Android de la A a la Z - Unidad 8
 
Inyección de código
Inyección de códigoInyección de código
Inyección de código
 
Owas top 10_2010_by_dino
Owas top 10_2010_by_dinoOwas top 10_2010_by_dino
Owas top 10_2010_by_dino
 
ANTIVIRUS
ANTIVIRUS ANTIVIRUS
ANTIVIRUS
 
Power point de la segurir de red.
Power point de la segurir de red.Power point de la segurir de red.
Power point de la segurir de red.
 
Sad tema2 pen_test_iii
Sad tema2 pen_test_iiiSad tema2 pen_test_iii
Sad tema2 pen_test_iii
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
VIRUS NFORMATICOS
VIRUS NFORMATICOSVIRUS NFORMATICOS
VIRUS NFORMATICOS
 

Destacado

Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaCarlos Miranda
 
auditorias del sistema de calidad
auditorias del sistema de calidadauditorias del sistema de calidad
auditorias del sistema de calidadefrain2395
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemastitoibanez
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Importancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaImportancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaroumi2010
 
Auditoria sistema ti
Auditoria sistema tiAuditoria sistema ti
Auditoria sistema tiRuben Robles
 
Sistemas de informacion y tics en rrhh
Sistemas de informacion y tics en rrhhSistemas de informacion y tics en rrhh
Sistemas de informacion y tics en rrhhPabloaravena
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría carlossdani
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasGema Herrerías
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMENwicho2612
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examenwicho2612
 

Destacado (20)

Guia de auditoria_de_ti
Guia de auditoria_de_tiGuia de auditoria_de_ti
Guia de auditoria_de_ti
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TI
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
Ejercicio grupal04imp
Ejercicio grupal04impEjercicio grupal04imp
Ejercicio grupal04imp
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informatica
 
auditorias del sistema de calidad
auditorias del sistema de calidadauditorias del sistema de calidad
auditorias del sistema de calidad
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas ti
 
Ejes de auditoría informática
Ejes de auditoría informáticaEjes de auditoría informática
Ejes de auditoría informática
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Importancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaImportancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoría
 
Auditoria sistema ti
Auditoria sistema tiAuditoria sistema ti
Auditoria sistema ti
 
Sistemas de informacion y tics en rrhh
Sistemas de informacion y tics en rrhhSistemas de informacion y tics en rrhh
Sistemas de informacion y tics en rrhh
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría
 
Auditoriaitvf
AuditoriaitvfAuditoriaitvf
Auditoriaitvf
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema Herrerías
 
Zimbra
ZimbraZimbra
Zimbra
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMEN
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examen
 

Similar a Auditoria y seguridad de ti

Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Vc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitVc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitSaMoCaFlo
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Softwarelechosopowers
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Taller de bonilla
Taller de bonillaTaller de bonilla
Taller de bonillaJuan Moreno
 
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadoresJavier Navarro
 
Presentación goat sec
Presentación goat secPresentación goat sec
Presentación goat secAlvaro97C
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGustavo Damián Cucuzza
 
Virus y Vacunas Informaticas
Virus y Vacunas InformaticasVirus y Vacunas Informaticas
Virus y Vacunas InformaticasU.P.T.C.
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAdriana Gil
 
Vc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitVc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitYare LoZada
 

Similar a Auditoria y seguridad de ti (20)

Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronica
 
Vc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitVc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploit
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
 
Taller de bonilla
Taller de bonillaTaller de bonilla
Taller de bonilla
 
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
 
Presentación goat sec
Presentación goat secPresentación goat sec
Presentación goat sec
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informática
 
Virus y Vacunas Informaticas
Virus y Vacunas InformaticasVirus y Vacunas Informaticas
Virus y Vacunas Informaticas
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Vc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploitVc4 nm73 equipo#6-exploit
Vc4 nm73 equipo#6-exploit
 

Más de Diego Sanchez Rodriguez

Más de Diego Sanchez Rodriguez (10)

Recursoshumanos
RecursoshumanosRecursoshumanos
Recursoshumanos
 
Proceso de control administrativo
Proceso de control administrativoProceso de control administrativo
Proceso de control administrativo
 
Trabajoenequipo
TrabajoenequipoTrabajoenequipo
Trabajoenequipo
 
Liderazgo
LiderazgoLiderazgo
Liderazgo
 
Comunicacion
ComunicacionComunicacion
Comunicacion
 
La coordinacion
La coordinacionLa coordinacion
La coordinacion
 
Direccion
DireccionDireccion
Direccion
 
Organización
OrganizaciónOrganización
Organización
 
Planeacion
PlaneacionPlaneacion
Planeacion
 
Diapos admisnitracion final
Diapos admisnitracion finalDiapos admisnitracion final
Diapos admisnitracion final
 

Auditoria y seguridad de ti

  • 1. AUDITORIA Y SEGURIDAD DE TI Mercado Vásquez Felipe Sánchez Rodríguez Diego
  • 2. Exploit O Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.
  • 3. Exploit O Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos. O Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
  • 4. Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:  Vulnerabilidades de desbordamiento de buffer.  Vulnerabilidades de condición de carrera.  Vulnerabilidades de error de formato de cadena.  Vulnerabilidades de Cross Site Scripting XSS.  Vulnerabilidades de Inyección SQL.  Vulnerabilidades de denegación del servicio.  Vulnerabilidades Inyección múltiple HTML Múltiple. HTML Injection .
  • 5. Como Funcionan O Envían mensajes de correo electrónico no solicitados para hacer que los usuarios visiten un sitio mantenido por el delincuente informático. Para conseguir este objetivo también se utilizan otras técnicas sofisticadas, como la suplantación de direcciones DNS (Domain Name Service, servicio de nombres de dominio), los ataques de ingeniería social y otras tácticas predatorias. O Crean una serie de sitios infecciosos cuyos nombres sean similares a los de entidades legítimas, registrando direcciones en Internet que apenas se diferencien de las originales (por ejemplo, microsooft.com o dowload.com). O Infectan sitios web pertenecientes a entidades legítimas, infiltrando los códigos maliciosos antes de que sus administradores puedan bloquear la intrusión. El Banco de la India sufrió un ataque de este tipo recientemente. O Ponen enlaces a elementos multimedia en sitios de encuentros sociales, tales como Facebook o MySpace, que en realidad apuntan a códigos maliciosos externos. Estos se aprovechan de las vulnerabilidades de los complementos desarrollados por otras empresas y que son necesarios para ejecutarlos.
  • 6. COMBATIR LA AMENAZA O Mantener actualizados los parches del sistema, y utilizar siempre la última versión del navegador. O Desactivar funciones de programación innecesarias, como códigos ActiveX, o permitir solamente que estas sean usadas en sitios previamente revisados y confiables. O No visitar sitios desconocidos, o que puedan resultar poco confiables. O Usar programas que examinan el contenido de los sitios web en tiempo real. O Utilizar un cortafuego que proteja el sistema contra códigos maliciosos del tipo día cero, bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales.
  • 7. Inyección SQL O Inyección de código es un tipo de ataque que consiste en que los atacantes extraigan información, roben credenciales, tomen control de la página atacada o algún otro tipo de actividades maliciosas.
  • 8. Tipos de Amenazas O Inyección SQL.Este ataque se aprovecha de una vulnerabilidad en que una variable o componente de una página que utiliza código SQL (código que accede bases de datos) permite que un atacante emplee comandos para manipular datos y acceder información confidencial.
  • 9. Tipos de Amenazas O XSS o Cross Site Scripting.- En español, secuencias de comandos en sitios cruzados. Este ataque aprovecha vulnerabilidades en las páginas de Internet que permiten que un cibercriminal inserte código de JavaScript o lenguajes similares para inyectar código HTML en las páginas que atacan, alterando así la funcionalidad de la misma.
  • 10. Reglas para protegerse contra ataques de Inyección O Verifique el formato de los datos de entrada y, en O O O O O particular, si hay caracteres especiales; No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL; Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas; No acepte cuentas sin contraseñas; Mantenga al mínimo los privilegios de las cuentas que se usan. Elimine los procedimientos almacenados.
  • 11. EJEMPLO Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos:
  • 12. O Pero si un operador malintencionado escribe como nombre de usuario a consultar: