El documento habla sobre ataques y defensas de seguridad web. Explica los principales ataques como inyección SQL, XSS, CSRF y brute force login. También cubre las herramientas para realizar estos ataques y las mejores prácticas de defensa como limpiar datos de entrada, validación, limitar intentos de login y usar tokens de sesión. El objetivo es crear conciencia sobre estos riesgos y cómo prevenirlos.
2. ¿Quien Soy?
Consultor de Marketing Digital
Pero “Hacker de Corazón”
https://www.linkedin.com/in/juandavidcastro/
Reconocimiento de Seguridad en:
Dropbox, Microsoft, Adobe, Twitter. Etc.
3. ¿De Que hablaremos hoy?
• Seguridad Web
• Top 10 OWASP 2017
• Ataque Inyección SQL – Defensa
• Ataque XSS – Defensa
• Ataque CSRF – Defensa
• Brute Force Login – Defensa
• Inseguridad en API
6. Ataque Inyección
“ Es la inserción de código arbitrario en una plataforma
web”
• Inyección de SQL
• Permite ejecutar secuencia de SQL dentro del sitio para la extracción
de datos sensible.
8. Defensa
• Limpiar las entradas de datos “mysqli_real_escape_string”
• Validación de entradas de datos
9. Ataque CSRF
• Falsificación de Petición en Sitios Cruzados
Cross-Site Request Forgery (CSRF) es un ataque donde la victima es
engañada para cargar información desde o enviar información a la
aplicación Web para la que se encuentra autenticado actualmente
11. Herramientas
• CSRF-TESTER
Se ofrece a los desarrolladores la capacidad de poner a prueba su
solicitudes En plataformas WebsApp para encontrar fallos CSRF.
• LIVE HTTP HEADER – TAMPER DATA
complemento para el navegador Firefox que se utiliza para ver la
información de los encabezados de sitios web.
14. XSS
• XSS, del inglés Cross-site scripting es un tipo de inseguridad
informática o agujero de seguridad típico de las aplicaciones Web,
que permite a una tercera persona inyectar en páginas web
visitadas por el usuario código JavaScript o en otro lenguaje
similar (ej: VBScript), evitando medidas de control como la
Política del mismo origen.
17. Brute Force Login
Un ataque de fuerza bruta consiste en un
atacante que intenta muchas contraseñas
o frases clave con la esperanza de
eventualmente adivinar correctamente.
18. Ataque
• Con un software de peticiones se puede con un diccionario
atacar de manera aleatoria a un formulario
• Por eso es importante tener contraseñas fuertes
• Tips:
• No dar informacion adicional en login.
19. Defensa
• Token a sesiones de login
• Captcha
• Limitaciones de intentos.
20. Inseguridad de API
• Conexiones inseguras de API
• Peticiones sin seguridad
• Todas las vulnerabilidades anteriores
• Y Sobre todo exposición de datos.