SlideShare una empresa de Scribd logo

Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

Descargar como PPT, PDF
Cinthia Soca
Cinthia Soca

Generando aplicaciones seguras con GeneXus. Crear un manejo de permisos de usuarios de mi sistema. Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.

Tecnología
1 de 11
Generando Aplicaciones Seguras conGenerando Aplicaciones Seguras con GeneXusGeneXus Diego Rostagnol - PedidosYADiego Rostagnol - PedidosYA
Dos grandes áreas Servidor Aplicación
Autenticación != Autorización  Autenticación: Es el proceso por el cual demostramos que somos quienes decimos ser.  Autorización: Se produce despues de la Autenticación y es el proceso por el cual obtenemos o no permisos para efectuar una determinada acción.
¿ Que implica? • Crear un manejo de permisos de usuarios de mi sistema. • Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. • Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
Errores comunes • No controlar que exista un usuario logueado en todas las pantallas de la aplicación • No validar los roles en cada pantalla • Confiar en que el usuario llega a las pantallas de mi aplicación siguiendo los links en ella. • No usar las Transacciones como parte de mi aplicación pero dejarlas accesibles. • Dejar los prompts automaticos sin seguridad • Poner el código del usuario logueado en el form o pasarlo por parametro • Dejar disponible en producción el archivo DeveloperMenu.xml
Consideraciones • No se puede confiar en las validaciones que ejecutan del lado del cliente. (Browser). •Las validaciones de los datos ingresados se deben hacer del lado del servidor. •Propiedades Visible y Enabled no aseguran que el valor de las variables o atributos no sea modificado.
• Aplicaciones para Smart Devices • Compuesta por una parte nativa en el Dispositivo que se alimenta de servicios REST alojados en un Servidor Web. • Servicios REST: http://.../higueron/servlet/rest/cliente/ Transacción 1 Clave Nuevos Problemas de Seguridad en EVO2
{"Cliente":{"CliId":129,"CliNom":"Rodolfo","CliNac":"1976-08-5"}} • JSON • REST Usa operaciones del protocolo HTTP (GET, PUT, POST, DELETE) • Los servicios se generan cuando la Trn se expone como WS REST en una App SD (Ej: Al aplicar WWSD a una TRN) • Hay que poner reglas que hagan las comprobaciones de autenticación y autorización. Nuevos Problemas de Seguridad en EVO2
¿Como nos ayuda GeneXus? • Encriptación de parametros (SiteKey y SessionKey). • GAM !! • Se encarga de prevenir automáticamente ataques de tipo "SQL Injection".
Buenas practicas • Usar MD5, SHA1 o similar para la encriptación de contraseñas (algoritmos de reducción criptográficos). • NUNCA pasar identificadores de usuario por parámetro • ??????
Gracias!!Gracias!!

Recomendados

0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
 
GAM GeneXus Access Manager
GAM GeneXus Access ManagerGAM GeneXus Access Manager
GAM GeneXus Access ManagerGeneXus
 
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...GeneXus
 
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones? ¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?GeneXus
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombiagoscar
 
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)GeneXus
 
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...GeneXus
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 

Recomendados

0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
 
GAM GeneXus Access Manager
GAM GeneXus Access ManagerGAM GeneXus Access Manager
GAM GeneXus Access ManagerGeneXus
 
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...GeneXus
 
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones? ¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?GeneXus
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombiagoscar
 
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)GeneXus
 
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...GeneXus
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 
Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpressjhoanaalfredito
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Alvaro Abbott Bustamante
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Pablo Aviles
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamGeneXus
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xusGeneXus
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction spBrayan Martinez
 
Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Diosa Perez Cañizalez
 
Linea tiempo
Linea tiempoLinea tiempo
Linea tiempoRicardo Lumpaque
 
Clavicula
ClaviculaClavicula
ClaviculaMardomy Gil Lopez
 
La empresa
La empresa La empresa
La empresa JhonasxD
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaSholeh Roehmact
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Rodrigo Jimenez
 
Production design
Production designProduction design
Production designJoshua_Paice
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidyaNidya Vargas
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. BarrenoDavidNieto01
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship rutspremmathan
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Turlough Guerin GAICD FGIA
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectJasmineKSwinburne
 
La Empresa
La EmpresaLa Empresa
La EmpresaJhonasxD
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango Eva Bárcenas
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneandrea flores
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nietoDavidNieto01
 

Más contenido relacionado

La actualidad más candente

Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpressjhoanaalfredito
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Alvaro Abbott Bustamante
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Pablo Aviles
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamGeneXus
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xusGeneXus
 

La actualidad más candente (6)

Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpress
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gam
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction sp
 

Destacado

La empresa
La empresa La empresa
La empresa JhonasxD
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaSholeh Roehmact
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Rodrigo Jimenez
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidyaNidya Vargas
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. BarrenoDavidNieto01
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship rutspremmathan
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Turlough Guerin GAICD FGIA
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectJasmineKSwinburne
 
La Empresa
La EmpresaLa Empresa
La EmpresaJhonasxD
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango Eva Bárcenas
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneandrea flores
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nietoDavidNieto01
 
El corazon humano
El corazon humanoEl corazon humano
El corazon humanoGabo Reigns
 
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Innspub Net
 

Destacado (20)

Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21
 
Linea tiempo
Linea tiempoLinea tiempo
Linea tiempo
 
Clavicula
ClaviculaClavicula
Clavicula
 
La empresa
La empresa La empresa
La empresa
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabaya
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.
 
Production design
Production designProduction design
Production design
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidya
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. Barreno
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship ruts
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-project
 
La Empresa
La EmpresaLa Empresa
La Empresa
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmune
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nieto
 
Porfirio diaz
Porfirio diazPorfirio diaz
Porfirio diaz
 
El corazon humano
El corazon humanoEl corazon humano
El corazon humano
 
Exposición
ExposiciónExposición
Exposición
 
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
 

Similar a Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

Presentación sso con cas
Presentación sso con casPresentación sso con cas
Presentación sso con casEnrique Toledo
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI Informática
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerCloudAppi
 
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...Amazon Web Services LATAM
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"www.encamina.com
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareamaulini
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarAndrés Londoño
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePointwww.encamina.com
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?Rames Sarwat
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)marcwan
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativoGalindo Urzagaste
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Miguel Ángel Sánchez Chordi
 
DNIe en tu Active Directory
DNIe en tu Active DirectoryDNIe en tu Active Directory
DNIe en tu Active DirectoryChema Alonso
 

Similar a Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013 (20)

Presentación sso con cas
Presentación sso con casPresentación sso con cas
Presentación sso con cas
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIs
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developer
 
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al Codificar
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePoint
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativo
 
SERVIDOR IIS EN W8
SERVIDOR IIS EN W8SERVIDOR IIS EN W8
SERVIDOR IIS EN W8
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
 
DNIe en tu Active Directory
DNIe en tu Active DirectoryDNIe en tu Active Directory
DNIe en tu Active Directory
 

Último

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 

Último (20)

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 

Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

  • 1. Generando Aplicaciones Seguras conGenerando Aplicaciones Seguras con GeneXusGeneXus Diego Rostagnol - PedidosYADiego Rostagnol - PedidosYA
  • 3. Autenticación != Autorización  Autenticación: Es el proceso por el cual demostramos que somos quienes decimos ser.  Autorización: Se produce despues de la Autenticación y es el proceso por el cual obtenemos o no permisos para efectuar una determinada acción.
  • 4. ¿ Que implica? • Crear un manejo de permisos de usuarios de mi sistema. • Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. • Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
  • 5. Errores comunes • No controlar que exista un usuario logueado en todas las pantallas de la aplicación • No validar los roles en cada pantalla • Confiar en que el usuario llega a las pantallas de mi aplicación siguiendo los links en ella. • No usar las Transacciones como parte de mi aplicación pero dejarlas accesibles. • Dejar los prompts automaticos sin seguridad • Poner el código del usuario logueado en el form o pasarlo por parametro • Dejar disponible en producción el archivo DeveloperMenu.xml
  • 6. Consideraciones • No se puede confiar en las validaciones que ejecutan del lado del cliente. (Browser). •Las validaciones de los datos ingresados se deben hacer del lado del servidor. •Propiedades Visible y Enabled no aseguran que el valor de las variables o atributos no sea modificado.
  • 7. • Aplicaciones para Smart Devices • Compuesta por una parte nativa en el Dispositivo que se alimenta de servicios REST alojados en un Servidor Web. • Servicios REST: http://.../higueron/servlet/rest/cliente/ Transacción 1 Clave Nuevos Problemas de Seguridad en EVO2
  • 8. {"Cliente":{"CliId":129,"CliNom":"Rodolfo","CliNac":"1976-08-5"}} • JSON • REST Usa operaciones del protocolo HTTP (GET, PUT, POST, DELETE) • Los servicios se generan cuando la Trn se expone como WS REST en una App SD (Ej: Al aplicar WWSD a una TRN) • Hay que poner reglas que hagan las comprobaciones de autenticación y autorización. Nuevos Problemas de Seguridad en EVO2
  • 9. ¿Como nos ayuda GeneXus? • Encriptación de parametros (SiteKey y SessionKey). • GAM !! • Se encarga de prevenir automáticamente ataques de tipo "SQL Injection".
  • 10. Buenas practicas • Usar MD5, SHA1 o similar para la encriptación de contraseñas (algoritmos de reducción criptográficos). • NUNCA pasar identificadores de usuario por parámetro • ??????