SlideShare una empresa de Scribd logo

Secure Development, Seguridad al Codificar

Andrés Londoño
Andrés Londoño

Conoce los tipos de vulnerabilidades más comunes en aplicaciones y las prácticas básicas más recomendadas para evitarlas. Objetivo de esta presentación es lograr aumentar los niveles de concientización en los equipos de desarrollo y líderes de proyecto sobre las vulnerabilidades que más impacto tienen en las aplicaciones.

Tecnología
1 de 20
Descargar para leer sin conexión
Secure Development Andrés Londoño
Lograr aumentar los niveles de concientización en los equipos de desarrollo y líderes de proyecto sobre las vulnerabilidades que más impacto tienen en las aplicaciones. Objetivo de esta Tech Talk
Es cuando los datos confidenciales están expuestos a un actor que no está autorizado para ver esos datos. Pueden representar más pérdidas de dinero y problemas para una compañía que hasta las mismas caídas de un sistema. ¿Qué es la exposición de datos confidenciales?
Las vulnerabilidades de exposición de datos confidenciales pueden ocurrir cuando una aplicación no protege adecuadamente la información confidencial para que no sea revelada al atacante. ¿Por qué ocurre la exposición de datos confidenciales?
www.teaminternational.com ● Facebook recolectó datos de los usuarios a través de una aplicación que usaba su API y los vendió a la consultora Cambridge Analytics. ● Expedia comprometió datos de tarjetas de pago de 880 mil clientes debido por baja encryptación. ● Quora expuso información personal de 100 millones de usuarios cuando detectó el acceso no autorizado de terceros malintencionados. ● Google+ expuso datos de los perfiles de más de 500 mil usuarios a través de su API. ● Log4j es una librería que permite que los atacantes ejecuten código malicioso en los sistemas afectados. Las brechas de seguridad y casos de exposición de datos más importantes
El Secure SDLC es un modelo de procesos utilizado para el desarrollo de aplicaciones seguras, complementando el ciclo de vida de desarrollo tradicional desde un punto de vista de seguridad. Secure Software Development LifeCycle (S-SDLC)
www.teaminternational.com ¿Qué es OWASP? OWASP Top 10 es una guía estándar de la industria que enumera los riesgos de seguridad de aplicaciones más críticos para ayudar a los desarrolladores a proteger mejor las aplicaciones que diseñan e implementan.
Secure Development: Mi Top 5 para principiantes
Hardcoded credentials es un tipo de vulnerabilidad que ocurre cuando una aplicación tiene credenciales (contraseñas, llaves, secretos) expuestas en el código fuente o comentarios. 1.Hardcoded credentials
www.teaminternational.com ● El código fuente debe estar libre de claves o contraseñas, la aplicación debe hacer uso de Variables de Entorno o Secrets para almacenar todas las credenciales que utilice. ● Evitar guardar las credenciales en algún lado o compartirlas con el equipo. ● Se recomienda que si una clave o contraseña fue expuesta en código se generen nuevas claves. ¿Cómo prevenirlo?
Broken Access Control es una vulnerabilidad que ocurre cuando una aplicación no valida que el usuario (autenticado), que está realizando una acción o accediendo a información, tenga los permisos necesarios. 2. Broken Access Control …api/users/817/movements Bingo! …api/users/192/movements Bingo!
www.teaminternational.com ● Realizar los controles de acceso pertinentes. Todas las referencias deben incluir un control de acceso que asegure que el usuario actual está autorizado para requerir el objeto. ● Utilización de referencias indirectas por usuario o por sesión. Esto previene a los atacantes acceder directamente a recursos no autorizados. Por ejemplo almacenar en una Key-Value DB una asociación: Identificador temporal random (uuid/guid) -> id real. ¿Cómo prevenirlo?
Information disclosure es un tipo de vulnerabilidad que ocurre cuando una aplicación revela (involuntariamente) información confidencial. 3. Information disclosure
www.teaminternational.com ● Asegúrese de que todos los involucrados en la producción del sitio web sean plenamente conscientes de qué información se considera confidencial. A veces, la información aparentemente inofensiva puede ser mucho más útil para un atacante de lo que la gente cree. ● Evitar colocar información sensible en lugares compartidos o fácilmente accesible (ej. repositorios públicos, google docs, código o comentarios JavaScript). ● Utilizar políticas de contraseñas fuertes y encriptadas. ● Verificar que todas las funciones de depuración o diagnóstico estén deshabilitadas en el entorno de producción. ¿Cómo prevenirlo?
Business logic abuse es un tipo de vulnerabilidad que ocurre cuando un atacante genera un comportamiento no deseado (malicioso) en aplicación debido a fallas en su diseño o implementación. Estas fallas suceden por no anticipar flujos inusuales en el uso de la aplicación. 4. Business Logic Abuse
www.teaminternational.com ● Los desarrolladores deben entender cómo funciona la aplicación y el negocio. ● No se debe suponer sobre el comportamiento del usuario en la aplicación. No se debe confiar en los datos de entrada del usuario. Se debe usar datos de la sesión. ● Los desarrolladores deben escribir código limpio y la documentación para todas las transacciones y flujos de trabajo debe ser fácil de entender. ¿Cómo prevenirlo?
Vulnerable library es un tipo de vulnerabilidad que ocurre cuando una aplicación utiliza bibliotecas (código fuente o dependencias) de otros equipos o terceros que se encuentran desactualizadas y tienen vulnerabilidades conocidas. 5. Vulnerable Library
www.teaminternational.com ● Realizar una revisión completa del proyecto, remover dependencias que no son necesarias, y mantener actualizadas las que sean requeridas. ● Seguir las recomendaciones de las herramientas de Código Fuente o DevOps para analizar vulnerabilidades de librerías. ● Solo utilizar componentes externos desde fuentes oficiales. ¿Cómo prevenirlo?
“Intellectuals solve problems, geniuses prevent them. “ Albert Einstein
thank you!

Recomendados

Microservicios, sin morir en el intento
Microservicios, sin morir en el intentoMicroservicios, sin morir en el intento
Microservicios, sin morir en el intento
Andrés Londoño
 
IOT based Smart Agricultural System
IOT based Smart Agricultural SystemIOT based Smart Agricultural System
IOT based Smart Agricultural System
PurbashaChowdhury5
 
Smart farming using IOT
Smart farming using IOTSmart farming using IOT
Smart farming using IOT
VyshnaviGollapalli
 
Cropin Smartfarm - Digitizing Farms
Cropin Smartfarm - Digitizing FarmsCropin Smartfarm - Digitizing Farms
Cropin Smartfarm - Digitizing Farms
Krishna Kumar
 
Shareware
SharewareShareware
Shareware
Bayar Faisal
 
Internet of Things & Its application in Smart Agriculture
Internet of Things & Its application in Smart AgricultureInternet of Things & Its application in Smart Agriculture
Internet of Things & Its application in Smart Agriculture
Mohammad Zakriya
 
Smart Door locking system using arduino
Smart Door locking system using arduinoSmart Door locking system using arduino
Smart Door locking system using arduino
BhawnaSingh351973
 
AGRICULTURE & IT (e-commerce)
AGRICULTURE & IT (e-commerce)AGRICULTURE & IT (e-commerce)
AGRICULTURE & IT (e-commerce)
Saurav Arora
 

Recomendados

Microservicios, sin morir en el intento
Microservicios, sin morir en el intentoMicroservicios, sin morir en el intento
Microservicios, sin morir en el intento
Andrés Londoño
 
IOT based Smart Agricultural System
IOT based Smart Agricultural SystemIOT based Smart Agricultural System
IOT based Smart Agricultural System
PurbashaChowdhury5
 
Smart farming using IOT
Smart farming using IOTSmart farming using IOT
Smart farming using IOT
VyshnaviGollapalli
 
Cropin Smartfarm - Digitizing Farms
Cropin Smartfarm - Digitizing FarmsCropin Smartfarm - Digitizing Farms
Cropin Smartfarm - Digitizing Farms
Krishna Kumar
 
Shareware
SharewareShareware
Shareware
Bayar Faisal
 
Internet of Things & Its application in Smart Agriculture
Internet of Things & Its application in Smart AgricultureInternet of Things & Its application in Smart Agriculture
Internet of Things & Its application in Smart Agriculture
Mohammad Zakriya
 
Smart Door locking system using arduino
Smart Door locking system using arduinoSmart Door locking system using arduino
Smart Door locking system using arduino
BhawnaSingh351973
 
AGRICULTURE & IT (e-commerce)
AGRICULTURE & IT (e-commerce)AGRICULTURE & IT (e-commerce)
AGRICULTURE & IT (e-commerce)
Saurav Arora
 
Top Health Tips To Keep In Mind In Monsoon
Top Health Tips To Keep In Mind In MonsoonTop Health Tips To Keep In Mind In Monsoon
Top Health Tips To Keep In Mind In Monsoon
Sastasundar
 
Savdhaan (Women Security App)
Savdhaan (Women Security App)Savdhaan (Women Security App)
Savdhaan (Women Security App)
Poojaagrawal130
 
IoT (Internet of Things)- Based Smart Farming
IoT (Internet of Things)- Based Smart FarmingIoT (Internet of Things)- Based Smart Farming
IoT (Internet of Things)- Based Smart Farming
Chakravarthy Thejesh
 
Business plan,of dehydration vegetable.m Rahil
Business plan,of dehydration vegetable.m RahilBusiness plan,of dehydration vegetable.m Rahil
Business plan,of dehydration vegetable.m Rahil
muhammad raheel
 
ICT in Agriculture
ICT in AgricultureICT in Agriculture
ICT in Agriculture
ChidanandPatil8
 
Smart farming ppt.
Smart farming ppt.Smart farming ppt.
Smart farming ppt.
SirikornManeecharoen
 
Iot based smart agriculture
Iot based smart agricultureIot based smart agriculture
Iot based smart agriculture
Binayakreddy
 
Hand Gesture Controlled Robot
Hand Gesture Controlled RobotHand Gesture Controlled Robot
Hand Gesture Controlled Robot
Green University of Bangladesh
 
Arduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoTArduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoT
PRAVEEN KANSARI
 
SMART BLIND STICK
SMART BLIND STICK SMART BLIND STICK
SMART BLIND STICK
UpendraSingamsetty
 
IOT BASED SMART AGRICULTURE
IOT BASED SMART AGRICULTUREIOT BASED SMART AGRICULTURE
IOT BASED SMART AGRICULTURE
sree vidyanikethan engineering college
 
home automaton using pc ppt
home automaton using pc ppthome automaton using pc ppt
home automaton using pc ppt
Rajesh Kumar
 
THE MILLETS
THE MILLETSTHE MILLETS
THE MILLETS
DrSakshiKaushik
 
Future Technologies in Agriculture
Future Technologies in AgricultureFuture Technologies in Agriculture
Future Technologies in Agriculture
Kiran Timilsina
 
Robotics in agriculture
Robotics in agricultureRobotics in agriculture
Robotics in agriculture
MONISHA SELVAN
 
Digital Solutions for Agriculture in Sri Lanka
Digital Solutions for Agriculture in Sri LankaDigital Solutions for Agriculture in Sri Lanka
Digital Solutions for Agriculture in Sri Lanka
Rizwan MFM
 
@Smart farming using io t
@Smart farming using io t@Smart farming using io t
@Smart farming using io t
Arun Singh
 
Smart farming using ARDUINO (Nirma University)
Smart farming using ARDUINO (Nirma University)Smart farming using ARDUINO (Nirma University)
Smart farming using ARDUINO (Nirma University)
Raj Patel
 
AI PPT.pptx
AI PPT.pptxAI PPT.pptx
AI PPT.pptx
KANIKABHAKUNI1
 
Dry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon OilDry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon Oil
Ajjay Kumar Gupta
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
José Antonio Sandoval Acosta
 

Más contenido relacionado

La actualidad más candente

Arduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoTArduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoT
PRAVEEN KANSARI
 
AI PPT.pptx
AI PPT.pptxAI PPT.pptx
AI PPT.pptx
KANIKABHAKUNI1
 
Dry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon OilDry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon Oil
Ajjay Kumar Gupta
 

La actualidad más candente (20)

Top Health Tips To Keep In Mind In Monsoon
Top Health Tips To Keep In Mind In MonsoonTop Health Tips To Keep In Mind In Monsoon
Top Health Tips To Keep In Mind In Monsoon
 
Savdhaan (Women Security App)
Savdhaan (Women Security App)Savdhaan (Women Security App)
Savdhaan (Women Security App)
 
IoT (Internet of Things)- Based Smart Farming
IoT (Internet of Things)- Based Smart FarmingIoT (Internet of Things)- Based Smart Farming
IoT (Internet of Things)- Based Smart Farming
 
Business plan,of dehydration vegetable.m Rahil
Business plan,of dehydration vegetable.m RahilBusiness plan,of dehydration vegetable.m Rahil
Business plan,of dehydration vegetable.m Rahil
 
ICT in Agriculture
ICT in AgricultureICT in Agriculture
ICT in Agriculture
 
Smart farming ppt.
Smart farming ppt.Smart farming ppt.
Smart farming ppt.
 
Iot based smart agriculture
Iot based smart agricultureIot based smart agriculture
Iot based smart agriculture
 
Hand Gesture Controlled Robot
Hand Gesture Controlled RobotHand Gesture Controlled Robot
Hand Gesture Controlled Robot
 
Arduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoTArduino Automatic Watering System Plants Sprinkler Using IoT
Arduino Automatic Watering System Plants Sprinkler Using IoT
 
SMART BLIND STICK
SMART BLIND STICK SMART BLIND STICK
SMART BLIND STICK
 
IOT BASED SMART AGRICULTURE
IOT BASED SMART AGRICULTUREIOT BASED SMART AGRICULTURE
IOT BASED SMART AGRICULTURE
 
home automaton using pc ppt
home automaton using pc ppthome automaton using pc ppt
home automaton using pc ppt
 
THE MILLETS
THE MILLETSTHE MILLETS
THE MILLETS
 
Future Technologies in Agriculture
Future Technologies in AgricultureFuture Technologies in Agriculture
Future Technologies in Agriculture
 
Robotics in agriculture
Robotics in agricultureRobotics in agriculture
Robotics in agriculture
 
Digital Solutions for Agriculture in Sri Lanka
Digital Solutions for Agriculture in Sri LankaDigital Solutions for Agriculture in Sri Lanka
Digital Solutions for Agriculture in Sri Lanka
 
@Smart farming using io t
@Smart farming using io t@Smart farming using io t
@Smart farming using io t
 
Smart farming using ARDUINO (Nirma University)
Smart farming using ARDUINO (Nirma University)Smart farming using ARDUINO (Nirma University)
Smart farming using ARDUINO (Nirma University)
 
AI PPT.pptx
AI PPT.pptxAI PPT.pptx
AI PPT.pptx
 
Dry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon OilDry Lemon Powder and Lemon Oil
Dry Lemon Powder and Lemon Oil
 

Similar a Secure Development, Seguridad al Codificar

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
William Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
guestb40a1b0
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 

Similar a Secure Development, Seguridad al Codificar (20)

Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equipos
 
1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 

Más de Andrés Londoño

Xamarin y DevOps #NetConfCO2017
Xamarin y DevOps #NetConfCO2017Xamarin y DevOps #NetConfCO2017
Xamarin y DevOps #NetConfCO2017
Andrés Londoño
 

Más de Andrés Londoño (20)

Software Architecture - Neobit Consulting
Software Architecture - Neobit ConsultingSoftware Architecture - Neobit Consulting
Software Architecture - Neobit Consulting
 
Arquitectura de software y otros demonios
Arquitectura de software y otros demoniosArquitectura de software y otros demonios
Arquitectura de software y otros demonios
 
Docker Containers | Talent Week/Team International
Docker Containers | Talent Week/Team InternationalDocker Containers | Talent Week/Team International
Docker Containers | Talent Week/Team International
 
Kubernetes for beginners
Kubernetes for beginnersKubernetes for beginners
Kubernetes for beginners
 
Xamarin iOS
Xamarin iOSXamarin iOS
Xamarin iOS
 
Xamarin + IoT
Xamarin + IoTXamarin + IoT
Xamarin + IoT
 
Net Core + Docker + Kubernetes + Azure Devops
Net Core + Docker + Kubernetes + Azure DevopsNet Core + Docker + Kubernetes + Azure Devops
Net Core + Docker + Kubernetes + Azure Devops
 
Xamarin - Aplicaciones Móviles con .Net
Xamarin - Aplicaciones Móviles con .Net Xamarin - Aplicaciones Móviles con .Net
Xamarin - Aplicaciones Móviles con .Net
 
Azure y DevOps
Azure y DevOpsAzure y DevOps
Azure y DevOps
 
Xamarin y DevOps #NetConfCO2017
Xamarin y DevOps #NetConfCO2017Xamarin y DevOps #NetConfCO2017
Xamarin y DevOps #NetConfCO2017
 
Nanoservicios para aplicaciones móviles - Global azure boot camp 2017
Nanoservicios para aplicaciones móviles - Global azure boot camp 2017Nanoservicios para aplicaciones móviles - Global azure boot camp 2017
Nanoservicios para aplicaciones móviles - Global azure boot camp 2017
 
Xamarin forms Xaml + C#
Xamarin forms Xaml + C#Xamarin forms Xaml + C#
Xamarin forms Xaml + C#
 
Windows 10 universal apps
Windows 10 universal appsWindows 10 universal apps
Windows 10 universal apps
 
Web Apps Azure
Web Apps AzureWeb Apps Azure
Web Apps Azure
 
Interfaces humanas con kinect
Interfaces humanas con kinectInterfaces humanas con kinect
Interfaces humanas con kinect
 
NoSQL bases de datos no relacionales
NoSQL bases de datos no relacionalesNoSQL bases de datos no relacionales
NoSQL bases de datos no relacionales
 
Apps web vs apps nativas
Apps web vs apps nativasApps web vs apps nativas
Apps web vs apps nativas
 
Responsive Design html day
Responsive Design html dayResponsive Design html day
Responsive Design html day
 
Liderar equipos de trabajo
Liderar equipos de trabajoLiderar equipos de trabajo
Liderar equipos de trabajo
 
Dinámica y estructuración de un equipo de trabajo.
Dinámica y estructuración de un equipo de trabajo.Dinámica y estructuración de un equipo de trabajo.
Dinámica y estructuración de un equipo de trabajo.
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (15)

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
10°8 - Avances tecnologicos del siglo XXI
10°8 - Avances tecnologicos del siglo XXI10°8 - Avances tecnologicos del siglo XXI
10°8 - Avances tecnologicos del siglo XXI
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Secure Development, Seguridad al Codificar

  • 2. Lograr aumentar los niveles de concientización en los equipos de desarrollo y líderes de proyecto sobre las vulnerabilidades que más impacto tienen en las aplicaciones. Objetivo de esta Tech Talk
  • 3. Es cuando los datos confidenciales están expuestos a un actor que no está autorizado para ver esos datos. Pueden representar más pérdidas de dinero y problemas para una compañía que hasta las mismas caídas de un sistema. ¿Qué es la exposición de datos confidenciales?
  • 4. Las vulnerabilidades de exposición de datos confidenciales pueden ocurrir cuando una aplicación no protege adecuadamente la información confidencial para que no sea revelada al atacante. ¿Por qué ocurre la exposición de datos confidenciales?
  • 5. www.teaminternational.com ● Facebook recolectó datos de los usuarios a través de una aplicación que usaba su API y los vendió a la consultora Cambridge Analytics. ● Expedia comprometió datos de tarjetas de pago de 880 mil clientes debido por baja encryptación. ● Quora expuso información personal de 100 millones de usuarios cuando detectó el acceso no autorizado de terceros malintencionados. ● Google+ expuso datos de los perfiles de más de 500 mil usuarios a través de su API. ● Log4j es una librería que permite que los atacantes ejecuten código malicioso en los sistemas afectados. Las brechas de seguridad y casos de exposición de datos más importantes
  • 6. El Secure SDLC es un modelo de procesos utilizado para el desarrollo de aplicaciones seguras, complementando el ciclo de vida de desarrollo tradicional desde un punto de vista de seguridad. Secure Software Development LifeCycle (S-SDLC)
  • 7. www.teaminternational.com ¿Qué es OWASP? OWASP Top 10 es una guía estándar de la industria que enumera los riesgos de seguridad de aplicaciones más críticos para ayudar a los desarrolladores a proteger mejor las aplicaciones que diseñan e implementan.
  • 8. Secure Development: Mi Top 5 para principiantes
  • 9. Hardcoded credentials es un tipo de vulnerabilidad que ocurre cuando una aplicación tiene credenciales (contraseñas, llaves, secretos) expuestas en el código fuente o comentarios. 1.Hardcoded credentials
  • 10. www.teaminternational.com ● El código fuente debe estar libre de claves o contraseñas, la aplicación debe hacer uso de Variables de Entorno o Secrets para almacenar todas las credenciales que utilice. ● Evitar guardar las credenciales en algún lado o compartirlas con el equipo. ● Se recomienda que si una clave o contraseña fue expuesta en código se generen nuevas claves. ¿Cómo prevenirlo?
  • 11. Broken Access Control es una vulnerabilidad que ocurre cuando una aplicación no valida que el usuario (autenticado), que está realizando una acción o accediendo a información, tenga los permisos necesarios. 2. Broken Access Control …api/users/817/movements Bingo! …api/users/192/movements Bingo!
  • 12. www.teaminternational.com ● Realizar los controles de acceso pertinentes. Todas las referencias deben incluir un control de acceso que asegure que el usuario actual está autorizado para requerir el objeto. ● Utilización de referencias indirectas por usuario o por sesión. Esto previene a los atacantes acceder directamente a recursos no autorizados. Por ejemplo almacenar en una Key-Value DB una asociación: Identificador temporal random (uuid/guid) -> id real. ¿Cómo prevenirlo?
  • 13. Information disclosure es un tipo de vulnerabilidad que ocurre cuando una aplicación revela (involuntariamente) información confidencial. 3. Information disclosure
  • 14. www.teaminternational.com ● Asegúrese de que todos los involucrados en la producción del sitio web sean plenamente conscientes de qué información se considera confidencial. A veces, la información aparentemente inofensiva puede ser mucho más útil para un atacante de lo que la gente cree. ● Evitar colocar información sensible en lugares compartidos o fácilmente accesible (ej. repositorios públicos, google docs, código o comentarios JavaScript). ● Utilizar políticas de contraseñas fuertes y encriptadas. ● Verificar que todas las funciones de depuración o diagnóstico estén deshabilitadas en el entorno de producción. ¿Cómo prevenirlo?
  • 15. Business logic abuse es un tipo de vulnerabilidad que ocurre cuando un atacante genera un comportamiento no deseado (malicioso) en aplicación debido a fallas en su diseño o implementación. Estas fallas suceden por no anticipar flujos inusuales en el uso de la aplicación. 4. Business Logic Abuse
  • 16. www.teaminternational.com ● Los desarrolladores deben entender cómo funciona la aplicación y el negocio. ● No se debe suponer sobre el comportamiento del usuario en la aplicación. No se debe confiar en los datos de entrada del usuario. Se debe usar datos de la sesión. ● Los desarrolladores deben escribir código limpio y la documentación para todas las transacciones y flujos de trabajo debe ser fácil de entender. ¿Cómo prevenirlo?
  • 17. Vulnerable library es un tipo de vulnerabilidad que ocurre cuando una aplicación utiliza bibliotecas (código fuente o dependencias) de otros equipos o terceros que se encuentran desactualizadas y tienen vulnerabilidades conocidas. 5. Vulnerable Library
  • 18. www.teaminternational.com ● Realizar una revisión completa del proyecto, remover dependencias que no son necesarias, y mantener actualizadas las que sean requeridas. ● Seguir las recomendaciones de las herramientas de Código Fuente o DevOps para analizar vulnerabilidades de librerías. ● Solo utilizar componentes externos desde fuentes oficiales. ¿Cómo prevenirlo?
  • 19. “Intellectuals solve problems, geniuses prevent them. “ Albert Einstein