SlideShare una empresa de Scribd logo

Seguridad Web: Ataque y Defensa

Descargar como PPTX, PDF
Santiago Bernal
Santiago Bernal

El documento habla sobre ataques y defensas de seguridad web. Explica los principales ataques como inyección SQL, XSS, CSRF y brute force login. También cubre las herramientas para realizar estos ataques y las mejores prácticas de defensa como limpiar datos de entrada, validación, limitar intentos de login y usar tokens de sesión. El objetivo es crear conciencia sobre estos riesgos y cómo prevenirlos.

Tecnología
1 de 23
SEGURIDAD WEB: ATAQUE Y DEFENSA Juan David Castro
¿Quien Soy? Consultor de Marketing Digital Pero “Hacker de Corazón” https://www.linkedin.com/in/juandavidcastro/ Reconocimiento de Seguridad en: Dropbox, Microsoft, Adobe, Twitter. Etc.
¿De Que hablaremos hoy? • Seguridad Web • Top 10 OWASP 2017 • Ataque Inyección SQL – Defensa • Ataque XSS – Defensa • Ataque CSRF – Defensa • Brute Force Login – Defensa • Inseguridad en API
Seguridad Web El mundo ahora es Digital!
OWASP 2017
Ataque Inyección “ Es la inserción de código arbitrario en una plataforma web” • Inyección de SQL • Permite ejecutar secuencia de SQL dentro del sitio para la extracción de datos sensible.
Herramientas • Havij (For Windows) • SQL Map (For Linux)
Defensa • Limpiar las entradas de datos “mysqli_real_escape_string” • Validación de entradas de datos
Ataque CSRF • Falsificación de Petición en Sitios Cruzados Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
Gráficamente… URL MALICIOSA Petición Enviada Respuesta del Servidor
Herramientas • CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. • LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
DEMO – CSRF.
Defensa
XSS • XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
Ataque • Cualquier secuencia de script • <script>alert(1)</script> • "><img src=x onerror=prompt(/XSS/);>>
Defensa • Limpiar parámetros introducidos • Validación de entradas de datos
Brute Force Login Un ataque de fuerza bruta consiste en un atacante que intenta muchas contraseñas o frases clave con la esperanza de eventualmente adivinar correctamente.
Ataque • Con un software de peticiones se puede con un diccionario atacar de manera aleatoria a un formulario • Por eso es importante tener contraseñas fuertes • Tips: • No dar informacion adicional en login.
Defensa • Token a sesiones de login • Captcha • Limitaciones de intentos.
Inseguridad de API • Conexiones inseguras de API • Peticiones sin seguridad • Todas las vulnerabilidades anteriores • Y Sobre todo exposición de datos.
¿PREGUNTAS?
Premio ESET
QUIEREN SEGUIR APRENDIENDO? • Síganme en Twitter: @Dylan_irzi11 • Instagram: dylanirzi • Facebook: Juan D Castro

Recomendados

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hackingMackaber Witckin
 
Xss attacks V2.0
Xss attacks V2.0Xss attacks V2.0
Xss attacks V2.0Rober Garamo
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 

Recomendados

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hackingMackaber Witckin
 
Xss attacks V2.0
Xss attacks V2.0Xss attacks V2.0
Xss attacks V2.0Rober Garamo
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
diapositiva
diapositivadiapositiva
diapositivaFabio Chavez
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomlaMitucan
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
ciberataques
ciberataquesciberataques
ciberataquesADELAVASQUEZGARCIA
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.Dylan Irzi
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & TipsIván Sanz de Castro
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 

Más contenido relacionado

La actualidad más candente

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomlaMitucan
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 

La actualidad más candente (7)

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
diapositiva
diapositivadiapositiva
diapositiva
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Presentación seguridad y joomla
Presentación seguridad y joomlaPresentación seguridad y joomla
Presentación seguridad y joomla
 
Que es xss
Que es xssQue es xss
Que es xss
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 

Similar a Seguridad Web: Ataque y Defensa

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.Dylan Irzi
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Xss completo
Xss completoXss completo
Xss completonoc_313
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Alonso Caballero
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 

Similar a Seguridad Web: Ataque y Defensa (20)

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
ciberataques
ciberataquesciberataques
ciberataques
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & Tips
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Xss completo
Xss completoXss completo
Xss completo
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

Más de Santiago Bernal

Osint con trape - barcamp pereira
Osint con trape - barcamp pereiraOsint con trape - barcamp pereira
Osint con trape - barcamp pereiraSantiago Bernal
 
Hacking a 1 clic de distancia
Hacking a 1 clic de distanciaHacking a 1 clic de distancia
Hacking a 1 clic de distanciaSantiago Bernal
 
Demos de seguridad informática y hacking
Demos de seguridad informática y hackingDemos de seguridad informática y hacking
Demos de seguridad informática y hackingSantiago Bernal
 
Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Santiago Bernal
 
realidad aumentada cpco7
realidad aumentada cpco7realidad aumentada cpco7
realidad aumentada cpco7Santiago Bernal
 
Delito informatico intimidad datos
Delito informatico intimidad datosDelito informatico intimidad datos
Delito informatico intimidad datosSantiago Bernal
 
Presentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaPresentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaSantiago Bernal
 
Aprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresAprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresSantiago Bernal
 

Más de Santiago Bernal (20)

Osint con trape - barcamp pereira
Osint con trape - barcamp pereiraOsint con trape - barcamp pereira
Osint con trape - barcamp pereira
 
Hacking a 1 clic de distancia
Hacking a 1 clic de distanciaHacking a 1 clic de distancia
Hacking a 1 clic de distancia
 
Demos de seguridad informática y hacking
Demos de seguridad informática y hackingDemos de seguridad informática y hacking
Demos de seguridad informática y hacking
 
Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017Teletrabajo ucaldas sept 2017
Teletrabajo ucaldas sept 2017
 
realidad aumentada cpco7
realidad aumentada cpco7realidad aumentada cpco7
realidad aumentada cpco7
 
I.e.t.f
I.e.t.fI.e.t.f
I.e.t.f
 
Expo crc
Expo crcExpo crc
Expo crc
 
Regulatel
RegulatelRegulatel
Regulatel
 
Taller crc
Taller crcTaller crc
Taller crc
 
Taller uit
Taller uitTaller uit
Taller uit
 
Talle rcitel
Talle rcitel Talle rcitel
Talle rcitel
 
Preguntasluisa
Preguntasluisa Preguntasluisa
Preguntasluisa
 
Expo citel
Expo citelExpo citel
Expo citel
 
Expo citel
Expo citelExpo citel
Expo citel
 
Nctuns santiago
Nctuns santiagoNctuns santiago
Nctuns santiago
 
Delito informatico intimidad datos
Delito informatico intimidad datosDelito informatico intimidad datos
Delito informatico intimidad datos
 
Presentacion del sistema juridico colombia
Presentacion del sistema juridico colombiaPresentacion del sistema juridico colombia
Presentacion del sistema juridico colombia
 
Parcial 1 legislación
Parcial 1 legislaciónParcial 1 legislación
Parcial 1 legislación
 
6.eventos y swing
6.eventos y swing6.eventos y swing
6.eventos y swing
 
Aprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesoresAprendiendo java estudiantes_profesores
Aprendiendo java estudiantes_profesores
 

Último

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Último (20)

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

Seguridad Web: Ataque y Defensa

  • 1. SEGURIDAD WEB: ATAQUE Y DEFENSA Juan David Castro
  • 2. ¿Quien Soy? Consultor de Marketing Digital Pero “Hacker de Corazón” https://www.linkedin.com/in/juandavidcastro/ Reconocimiento de Seguridad en: Dropbox, Microsoft, Adobe, Twitter. Etc.
  • 3. ¿De Que hablaremos hoy? • Seguridad Web • Top 10 OWASP 2017 • Ataque Inyección SQL – Defensa • Ataque XSS – Defensa • Ataque CSRF – Defensa • Brute Force Login – Defensa • Inseguridad en API
  • 4. Seguridad Web El mundo ahora es Digital!
  • 6. Ataque Inyección “ Es la inserción de código arbitrario en una plataforma web” • Inyección de SQL • Permite ejecutar secuencia de SQL dentro del sitio para la extracción de datos sensible.
  • 7. Herramientas • Havij (For Windows) • SQL Map (For Linux)
  • 8. Defensa • Limpiar las entradas de datos “mysqli_real_escape_string” • Validación de entradas de datos
  • 9. Ataque CSRF • Falsificación de Petición en Sitios Cruzados Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
  • 11. Herramientas • CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. • LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
  • 14. XSS • XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
  • 15. Ataque • Cualquier secuencia de script • <script>alert(1)</script> • "><img src=x onerror=prompt(/XSS/);>>
  • 16. Defensa • Limpiar parámetros introducidos • Validación de entradas de datos
  • 17. Brute Force Login Un ataque de fuerza bruta consiste en un atacante que intenta muchas contraseñas o frases clave con la esperanza de eventualmente adivinar correctamente.
  • 18. Ataque • Con un software de peticiones se puede con un diccionario atacar de manera aleatoria a un formulario • Por eso es importante tener contraseñas fuertes • Tips: • No dar informacion adicional en login.
  • 19. Defensa • Token a sesiones de login • Captcha • Limitaciones de intentos.
  • 20. Inseguridad de API • Conexiones inseguras de API • Peticiones sin seguridad • Todas las vulnerabilidades anteriores • Y Sobre todo exposición de datos.
  • 23. QUIEREN SEGUIR APRENDIENDO? • Síganme en Twitter: @Dylan_irzi11 • Instagram: dylanirzi • Facebook: Juan D Castro