SlideShare una empresa de Scribd logo

Auditoria en aplicaciones web

Descargar como PPTX, PDF
Juan Carlos Pérez Pardo
Juan Carlos Pérez Pardo

El documento propone una metodología para la auditoría de seguridad de aplicaciones web que identifique las características y funcionalidades más comunes de las aplicaciones web y determine las vulnerabilidades y amenazas a las que están expuestas. La metodología verificará las características de las aplicaciones web para identificar vulnerabilidades y amenazas y recomendar medidas de seguridad.

Tecnología
1 de 37
Seguridad en el Desarrollo de Software Metodología para la auditoría de seguridad de aplicaciones web. Universidad Pontificia de Salamanca Máster en Ingeniería del Software curso 2011/12
¿Quién Soy? Juan Carlos Pérez perezpardojc@gmail.com twitter.com/perezpardojc www.linkedin.com/in/jcperezdoteu
Agenda.  Introducción y la Propuesta.  Introducción a las aplicaciones web y la seguridad.  Amenazas y vulnerabilidades.  Medidas de seguridad y buenas prácticas.  Características principales de las aplicaciones web.  Metodología.  Caso de estudio. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 3 Software Salamanca en Madrid
Introducción y la Propuesta.  Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas.  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 4 Software Salamanca en Madrid
Propuesta (I).  Identificar las características y funcionalidades más comunes presentes en aplicaciones web.  Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas  Determinar las medidas de seguridad y controles respectivos  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web  Aplicar la metodología en diferentes aplicaciones web  Implementar medidas de seguridad en las aplicaciones web estudiadas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 5 Software Salamanca en Madrid
Propuesta (II). Elaborar una metodología para la auditoría de seguridad en aplicaciones web Aplicar la metodología para Determinar vulnerabilidades y identificar vulnerabilidades y amenazas de las características amenazas en aplicaciones web de las aplicaciones web Recomendar medidas y Identificar características controles de seguridad en las principales de las aplicaciones web aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 6 Software Salamanca en Madrid
Alcance. • Gran número de vulnerabilidades, amenazas y características. • …está en constante aume nto. • Se consideran las más importantes y comunes. • Todos los aspectos de las aplicaciones web… • Los conceptos y principios comprendidos son generales. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 7 Software Salamanca en Madrid
Introducción a las aplicaciones web y la seguridad Capas de una aplicación web: Capas de una aplicación web desde el punto de vista de la seguridad Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 8 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 9 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Capa Física:  Deficiente control de acceso a la sala de servidores  Catástrofes naturales, accidentes y Fallas Capa de Red:  Deficiente protección de los datos en el tránsito  Acceso a recursos sensibles Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 10 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Capa de SO y Servicios: Deficiente definición de permisos (acceso archivos y ejecución) Utilizar versiones viejas e inseguras de los servicios Capa de Aplicación: Ataques de fuerza bruta Inyección de Código SQL Cross Site Scripting Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 11 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 12 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Capa Física: Controles de acceso a la sala de servidores Sistemas de detección y control humedad, temperatura, humo, extintores, etc. Capa de Red: Configurar una DMZ Configurar una VPN Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 13 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Uso de Cortafuegos para crear una DMZ Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 14 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Capa de SO y Servicios: Estricta definición de permisos Antivirus Chequeo de integridad de binarios Capa de Aplicación: Filtrar la entrada de datos (Filter Input) Escapado de salida (escape output) Uso de herramientas para distinguir autómatas de humanos (CAPTCHA) Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 15 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Uso de captcha para prevenir automatización Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 16 Software Salamanca en Madrid
Características principales de las aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 17 Software Salamanca en Madrid
Características principales de las aplicaciones web Capa Física: Hardware propio de la empresa Hardware arrendado a terceros (hosting) Capa Red: Equipos de acceso público a través de la red Equipos de acceso privado Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 18 Software Salamanca en Madrid
Características principales de las aplicaciones web Capa Sistema Operativo y Servicios: Sistema Operativo Servidores de Bases de datos Capa Aplicación: Inicio de sesión de usuario vía formulario HTML Recuperación de contraseña Administradores remotos Registro de usuarios en línea Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 19 Software Salamanca en Madrid
Metodología Metodología para la auditoría de seguridad en aplicaciones web  Basada en las principales características de las aplicaciones web METODOLOGÍA Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 20 Software Salamanca en Madrid
Metodología Objetivo principal Verificación y Comprobación Capa Física Característica 1 Característica 2 Capa Red Característica … Característica … Capa SO y Servicios Característica … Característica … Capa Aplicación Característica n-1 Característica n Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 21 Software Salamanca en Madrid
Metodología Confidencialidad GRUPO AUDITOR Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 22 Software Salamanca en Madrid
Metodología Herramientas y conocimientos necesarios:  Conocimientos en el área de aplicaciones web  Un mínimo de comprensión de los tópicos en cada capa  Uso de herramientas y técnicas modelación: ej. Diagramas UML, DFD, Entidad Relación  Herramientas de software:  Sniffers, Escáneres de Vulnerabilidades  Herramientas propias  No se es específico a la inclusión o uso de alguna herramienta Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 23 Software Salamanca en Madrid
Metodología Aspectos fundamentales  Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro.  Los sitios web y sus aplicaciones web relacionadas deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.  Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.  Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.  Ocultar objetos no garantiza su seguridad. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 24 Software Salamanca en Madrid
Metodología Etapas de la metodología  Planificación  Ejecución de la auditoría  Comunicación de resultados  Seguimiento Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 25 Software Salamanca en Madrid
Metodología Planificación: Objetivos y Alcance TODO PARTE Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 26 Software Salamanca en Madrid
Metodología Ejecución de la auditoría: Levantamiento y Verificación Enfoque:  Verificar presencia de Vulnerabilidades  Comprobar existencia o no, y deficiencia de Controles  AMBOS Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 27 Software Salamanca en Madrid
Metodología Ejecución de la auditoría: Levantamiento y Verificación ? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 28 Software Salamanca en Madrid
Metodología Fragmento: ETAPA 2 – Verificación de capa aplicación 13.1. Inicio de Sesión de Usuario. Verificar existencia o no de vulnerabilidades en cuanto a: 13.1.1. Ataques de Fuerza bruta 13.1.2. Abuso de funcionalidad 13.1.3. Revelación de información 13.1.4. Inyección de código o comandos Verificar existencia o no y deficiencia en cuanto a políticas y controles de: 13.1.8. Captcha 13.1.9. Filtrado de entrada 13.1.10. Escapado de salida 13.1.11. Conexiones seguras 13.1.12. Manejo de sesión apropiado 13.1.13. Enmascarado de información sensible Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 29 Software Salamanca en Madrid
Metodología Seguimiento: verificación Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 30 Software Salamanca en Madrid
CONCLUSIONES Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 31 Software Salamanca en Madrid
Conclusiones  Si un aspecto tiene fallas, toda la aplicación esta en riesgo  Una metodología general  Se requiere total colaboración por parte de los diferentes equipos de trabajo  Dificultades para aplicar la metodología  Es un trabajo minucioso y consume gran cantidad de tiempo  El grupo auditor requiere ser multidisciplinario  Importancia de las políticas sobre las prácticas  El trabajo de auditoría es un proceso continuo  Seguridad en las personas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 32 Software Salamanca en Madrid
Consideraciones Es una metodología no comercial Es muy poca o inexistente la información sobre las características comunes de las aplicaciones web No siempre es posible constatar la información sobre la arquitectura física y de red Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma Entender el código de otras personas Se debe aplicar periódicamente Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 33 Software Salamanca en Madrid
Aportes del Trabajo Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web Recopilación de vulnerabilidades y amenazas en las aplicaciones web. Recopilación de medidas de seguridad en las aplicaciones web. Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad Metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 34 Software Salamanca en Madrid
Trabajos a Futuro Extender y ampliar el conjunto de características comunes en las aplicaciones web Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web Recopilar las nuevas medidas de seguridad en las aplicaciones web Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 35 Software Salamanca en Madrid
¿PREGUNTAS? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 36 Software Salamanca en Madrid
Metodología para la auditoría de seguridad de aplicaciones web. Gracias ! Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 37 Software Salamanca en Madrid

Recomendados

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
Roberto Porozo
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Carlos Escobar
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
GeovanyHerrera3
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
Gemiunivo
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 

Recomendados

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
Roberto Porozo
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Carlos Escobar
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
GeovanyHerrera3
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
Gemiunivo
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
Tanmay Shinde
 
Information Assurance And Security - Chapter 1 - Lesson 4
Information Assurance And Security - Chapter 1 - Lesson 4Information Assurance And Security - Chapter 1 - Lesson 4
Information Assurance And Security - Chapter 1 - Lesson 4
MLG College of Learning, Inc
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
Is6120 data security presentation
Is6120 data security presentationIs6120 data security presentation
Is6120 data security presentation
JamesDempsey1
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Metasploit
MetasploitMetasploit
Metasploit
Cristian Alejandro Rojas Quintero
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
INTELIX INGENIERIA - Rosario Argentina
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
Maganathin Veeraragaloo
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
Chema Alonso
 
Definición de planificación de proyectos de software presentación
Definición de planificación de proyectos de software presentaciónDefinición de planificación de proyectos de software presentación
Definición de planificación de proyectos de software presentación
Ovidio Fernando Hernández Albarran
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Cyber Security Layers - Defense in Depth
Cyber Security Layers - Defense in DepthCyber Security Layers - Defense in Depth
Cyber Security Layers - Defense in Depth
Muhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
Nancy Gamba Porras
 
[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04
Lee Chanwoo
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
PECB
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
vverdu
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
eliseo ortiz
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
Uniciencia
 

Más contenido relacionado

La actualidad más candente

Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
Nancy Gamba Porras
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
PECB
 

La actualidad más candente (20)

Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
 
Information Assurance And Security - Chapter 1 - Lesson 4
Information Assurance And Security - Chapter 1 - Lesson 4Information Assurance And Security - Chapter 1 - Lesson 4
Information Assurance And Security - Chapter 1 - Lesson 4
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
 
Is6120 data security presentation
Is6120 data security presentationIs6120 data security presentation
Is6120 data security presentation
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Metasploit
MetasploitMetasploit
Metasploit
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
 
Sgsi
SgsiSgsi
Sgsi
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Definición de planificación de proyectos de software presentación
Definición de planificación de proyectos de software presentaciónDefinición de planificación de proyectos de software presentación
Definición de planificación de proyectos de software presentación
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Cyber Security Layers - Defense in Depth
Cyber Security Layers - Defense in DepthCyber Security Layers - Defense in Depth
Cyber Security Layers - Defense in Depth
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
 
[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
 

Destacado

Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
Andres Reyes
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
UTPL
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacion
Lorena Nuñez
 
C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]
guest642a393
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
Gladys Rodriguez
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
Cristian Rivera
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
carolinanocua
 

Destacado (20)

10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
AUDITORIA DE APLICACIONES
AUDITORIA DE APLICACIONESAUDITORIA DE APLICACIONES
AUDITORIA DE APLICACIONES
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacion
 
Proyecto de ing. software
Proyecto de ing. softwareProyecto de ing. software
Proyecto de ing. software
 
C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
 
Presentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionPresentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacion
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Proyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSFProyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSF
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Encuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemasEncuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemas
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimatica
 

Similar a Auditoria en aplicaciones web

Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
amaulini
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
COLOMA22
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
MariMonterr
 

Similar a Auditoria en aplicaciones web (20)

1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Ricardo Suárez
Ricardo SuárezRicardo Suárez
Ricardo Suárez
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Planteamiento del problema
Planteamiento del problemaPlanteamiento del problema
Planteamiento del problema
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de software
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 

Más de Juan Carlos Pérez Pardo

Más de Juan Carlos Pérez Pardo (9)

Building java projects with maven
Building java projects with mavenBuilding java projects with maven
Building java projects with maven
 
Installing netbeans
Installing netbeansInstalling netbeans
Installing netbeans
 
Installing maven on windows
Installing maven on windowsInstalling maven on windows
Installing maven on windows
 
Essential security for linux servers
Essential security for linux serversEssential security for linux servers
Essential security for linux servers
 
Installing and deploying ubuntu server box
Installing and deploying ubuntu server boxInstalling and deploying ubuntu server box
Installing and deploying ubuntu server box
 
Windows Communication Foundation (WCF)
Windows Communication Foundation (WCF) Windows Communication Foundation (WCF)
Windows Communication Foundation (WCF)
 
Como funciona el servicio blackberry ppt
Como funciona el servicio blackberry pptComo funciona el servicio blackberry ppt
Como funciona el servicio blackberry ppt
 
Aplicaciones en red ppt
Aplicaciones en red pptAplicaciones en red ppt
Aplicaciones en red ppt
 
data warehouse
data warehousedata warehouse
data warehouse
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Auditoria en aplicaciones web

  • 1. Seguridad en el Desarrollo de Software Metodología para la auditoría de seguridad de aplicaciones web. Universidad Pontificia de Salamanca Máster en Ingeniería del Software curso 2011/12
  • 2. ¿Quién Soy? Juan Carlos Pérez perezpardojc@gmail.com twitter.com/perezpardojc www.linkedin.com/in/jcperezdoteu
  • 3. Agenda.  Introducción y la Propuesta.  Introducción a las aplicaciones web y la seguridad.  Amenazas y vulnerabilidades.  Medidas de seguridad y buenas prácticas.  Características principales de las aplicaciones web.  Metodología.  Caso de estudio. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 3 Software Salamanca en Madrid
  • 4. Introducción y la Propuesta.  Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas.  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 4 Software Salamanca en Madrid
  • 5. Propuesta (I).  Identificar las características y funcionalidades más comunes presentes en aplicaciones web.  Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas  Determinar las medidas de seguridad y controles respectivos  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web  Aplicar la metodología en diferentes aplicaciones web  Implementar medidas de seguridad en las aplicaciones web estudiadas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 5 Software Salamanca en Madrid
  • 6. Propuesta (II). Elaborar una metodología para la auditoría de seguridad en aplicaciones web Aplicar la metodología para Determinar vulnerabilidades y identificar vulnerabilidades y amenazas de las características amenazas en aplicaciones web de las aplicaciones web Recomendar medidas y Identificar características controles de seguridad en las principales de las aplicaciones web aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 6 Software Salamanca en Madrid
  • 7. Alcance. • Gran número de vulnerabilidades, amenazas y características. • …está en constante aume nto. • Se consideran las más importantes y comunes. • Todos los aspectos de las aplicaciones web… • Los conceptos y principios comprendidos son generales. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 7 Software Salamanca en Madrid
  • 8. Introducción a las aplicaciones web y la seguridad Capas de una aplicación web: Capas de una aplicación web desde el punto de vista de la seguridad Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 8 Software Salamanca en Madrid
  • 9. Amenazas y Vulnerabilidades Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 9 Software Salamanca en Madrid
  • 10. Amenazas y Vulnerabilidades Capa Física:  Deficiente control de acceso a la sala de servidores  Catástrofes naturales, accidentes y Fallas Capa de Red:  Deficiente protección de los datos en el tránsito  Acceso a recursos sensibles Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 10 Software Salamanca en Madrid
  • 11. Amenazas y Vulnerabilidades Capa de SO y Servicios: Deficiente definición de permisos (acceso archivos y ejecución) Utilizar versiones viejas e inseguras de los servicios Capa de Aplicación: Ataques de fuerza bruta Inyección de Código SQL Cross Site Scripting Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 11 Software Salamanca en Madrid
  • 12. Medidas de seguridad y buenas prácticas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 12 Software Salamanca en Madrid
  • 13. Medidas de seguridad y buenas prácticas Capa Física: Controles de acceso a la sala de servidores Sistemas de detección y control humedad, temperatura, humo, extintores, etc. Capa de Red: Configurar una DMZ Configurar una VPN Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 13 Software Salamanca en Madrid
  • 14. Medidas de seguridad y buenas prácticas Uso de Cortafuegos para crear una DMZ Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 14 Software Salamanca en Madrid
  • 15. Medidas de seguridad y buenas prácticas Capa de SO y Servicios: Estricta definición de permisos Antivirus Chequeo de integridad de binarios Capa de Aplicación: Filtrar la entrada de datos (Filter Input) Escapado de salida (escape output) Uso de herramientas para distinguir autómatas de humanos (CAPTCHA) Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 15 Software Salamanca en Madrid
  • 16. Medidas de seguridad y buenas prácticas Uso de captcha para prevenir automatización Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 16 Software Salamanca en Madrid
  • 17. Características principales de las aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 17 Software Salamanca en Madrid
  • 18. Características principales de las aplicaciones web Capa Física: Hardware propio de la empresa Hardware arrendado a terceros (hosting) Capa Red: Equipos de acceso público a través de la red Equipos de acceso privado Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 18 Software Salamanca en Madrid
  • 19. Características principales de las aplicaciones web Capa Sistema Operativo y Servicios: Sistema Operativo Servidores de Bases de datos Capa Aplicación: Inicio de sesión de usuario vía formulario HTML Recuperación de contraseña Administradores remotos Registro de usuarios en línea Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 19 Software Salamanca en Madrid
  • 20. Metodología Metodología para la auditoría de seguridad en aplicaciones web  Basada en las principales características de las aplicaciones web METODOLOGÍA Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 20 Software Salamanca en Madrid
  • 21. Metodología Objetivo principal Verificación y Comprobación Capa Física Característica 1 Característica 2 Capa Red Característica … Característica … Capa SO y Servicios Característica … Característica … Capa Aplicación Característica n-1 Característica n Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 21 Software Salamanca en Madrid
  • 22. Metodología Confidencialidad GRUPO AUDITOR Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 22 Software Salamanca en Madrid
  • 23. Metodología Herramientas y conocimientos necesarios:  Conocimientos en el área de aplicaciones web  Un mínimo de comprensión de los tópicos en cada capa  Uso de herramientas y técnicas modelación: ej. Diagramas UML, DFD, Entidad Relación  Herramientas de software:  Sniffers, Escáneres de Vulnerabilidades  Herramientas propias  No se es específico a la inclusión o uso de alguna herramienta Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 23 Software Salamanca en Madrid
  • 24. Metodología Aspectos fundamentales  Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro.  Los sitios web y sus aplicaciones web relacionadas deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.  Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.  Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.  Ocultar objetos no garantiza su seguridad. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 24 Software Salamanca en Madrid
  • 25. Metodología Etapas de la metodología  Planificación  Ejecución de la auditoría  Comunicación de resultados  Seguimiento Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 25 Software Salamanca en Madrid
  • 26. Metodología Planificación: Objetivos y Alcance TODO PARTE Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 26 Software Salamanca en Madrid
  • 27. Metodología Ejecución de la auditoría: Levantamiento y Verificación Enfoque:  Verificar presencia de Vulnerabilidades  Comprobar existencia o no, y deficiencia de Controles  AMBOS Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 27 Software Salamanca en Madrid
  • 28. Metodología Ejecución de la auditoría: Levantamiento y Verificación ? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 28 Software Salamanca en Madrid
  • 29. Metodología Fragmento: ETAPA 2 – Verificación de capa aplicación 13.1. Inicio de Sesión de Usuario. Verificar existencia o no de vulnerabilidades en cuanto a: 13.1.1. Ataques de Fuerza bruta 13.1.2. Abuso de funcionalidad 13.1.3. Revelación de información 13.1.4. Inyección de código o comandos Verificar existencia o no y deficiencia en cuanto a políticas y controles de: 13.1.8. Captcha 13.1.9. Filtrado de entrada 13.1.10. Escapado de salida 13.1.11. Conexiones seguras 13.1.12. Manejo de sesión apropiado 13.1.13. Enmascarado de información sensible Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 29 Software Salamanca en Madrid
  • 30. Metodología Seguimiento: verificación Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 30 Software Salamanca en Madrid
  • 31. CONCLUSIONES Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 31 Software Salamanca en Madrid
  • 32. Conclusiones  Si un aspecto tiene fallas, toda la aplicación esta en riesgo  Una metodología general  Se requiere total colaboración por parte de los diferentes equipos de trabajo  Dificultades para aplicar la metodología  Es un trabajo minucioso y consume gran cantidad de tiempo  El grupo auditor requiere ser multidisciplinario  Importancia de las políticas sobre las prácticas  El trabajo de auditoría es un proceso continuo  Seguridad en las personas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 32 Software Salamanca en Madrid
  • 33. Consideraciones Es una metodología no comercial Es muy poca o inexistente la información sobre las características comunes de las aplicaciones web No siempre es posible constatar la información sobre la arquitectura física y de red Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma Entender el código de otras personas Se debe aplicar periódicamente Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 33 Software Salamanca en Madrid
  • 34. Aportes del Trabajo Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web Recopilación de vulnerabilidades y amenazas en las aplicaciones web. Recopilación de medidas de seguridad en las aplicaciones web. Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad Metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 34 Software Salamanca en Madrid
  • 35. Trabajos a Futuro Extender y ampliar el conjunto de características comunes en las aplicaciones web Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web Recopilar las nuevas medidas de seguridad en las aplicaciones web Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 35 Software Salamanca en Madrid
  • 36. ¿PREGUNTAS? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 36 Software Salamanca en Madrid
  • 37. Metodología para la auditoría de seguridad de aplicaciones web. Gracias ! Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 37 Software Salamanca en Madrid