2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.
10. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web SQL INJECTION Es un método de infiltración de código que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para ejecutar querys contra la base de datos de la aplicación.
26. El usuario de BD configurado en el servidor debe tener los mínimos privilegios posibles.
27. Controlar todos los errores que se puedan devolver presentando en todos los casos una pantalla de error genérica que no de ninguna información sobre el sistema y/o error.
43. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Algunas referencias en la web: http://es.wikipedia.org/wiki/Inyección_SQL https://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
44. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web ¡No debemos olvidar que el simple hecho de seguir estas recomendaciones no aporta una seguridad absoluta! Se debe codificar el acceso a base de datos con la seguridad en mente.
54. Sucede cuando la inyección realizada por el atacante es guardada en el servidor y usada para componer la página atacada cada vez que es solicitada por algún usuario.
55.
56. Se pueden robar credenciales de los servicios en los que este acreditado el usuario en el momento de ejecución del script (cookies de sesión , …)
57. También se pueden ejecutar exploits que aprovechen vulnerabilidades del navegador pudiendo llegar a tener el control sobre el equipo de la víctima.
58.
59. Validar TODAS las salidas de datos de la aplicación que provengan de datos introducidos anteriormente por un usuario
75. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web ¡No debemos olvidar que el simple hecho de seguir estas recomendaciones no aporta una seguridad absoluta! Se debe codificar la entrada y salida de datos de la aplicación teniendo la seguridad en mente
77. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Cross Site Request Forgery (XSRF) Consiste en forzar al navegador web validado de una víctima a enviar una petición a una aplicación web vulnerable, la cual entonces realiza la acción elegida a través de la víctima. Se entiende que todo esto sin el consentimiento ni conocimiento de dicha víctima
78.
79.
80. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web ¿Que se puede conseguir al explotar una vulnerabilidad XSRF? Realizar cualquier acción que no requiera validación del usuario en las aplicaciones web en que este autenticado en dicho momento.
86. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Es una técnica que usa las funcionalidades de la aplicación web para atacarla aplicación, al usuario de la misma o atacar a otros.
87.
88.
89. Algo habitual es poder conseguir nombre de usuarios o direcciones de correo validas, una vez conseguidas las mismas se pueden lanzar ataques de fuerza bruta sobre las claves.
108. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Es un ataque contra la disponibilidad de la aplicación Consiste en explotar alguna vulnerabilidad de la aplicación o servidor para hacer que dicha aplicación no este disponible para los usuarios
109.
110.
111. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web La idea subyacente es conseguir agotar con peticiones especiales alguno de los recursos de los cuales dispone el servidor (memoria, disco, procesador, …) de tal forma que dicho servidor no pueda atender al resto de usuarios. Dada la potencia de los servidores frente a la potencia disponible para un único atacante el ataque debe ser realizado aprovechando alguna vulnerabilidad del lado servidor.
116. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web DDOS Distributed Denial Of Service DOS distribuido
117. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web El ataque tiene la misma base técnica que el DOS. La única diferencia es que se ejecuta dicho ataque DOS desde un numero grande de equipos facilitando el éxito del ataque
118. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Cuando el número de atacantes distribuidos es muy grande, por ejemplo, 1 millón de equipos no tiene porque ser necesaria la explotación de una vulnerabilidad para que tenga éxito. El simple acto de solicitar una página de un servidor web de manera rápida y sostenida por un número elevado de atacantes dejará indisponible dicho servidor para el resto de usuarios legítimos y en determinados casos podría producir su caída alargando consecuentemente su indisponibilidad
119.
120. SEGURIDAD Y APLICACIONES WEB Vulnerabilidades Web Como hemos visto es importante tener en cuenta la seguridad tanto en la creación aplicaciones web ya que se pueden crear involuntariamente agujeros que afecten a la seguridad de toda la organización. El mejor consejo: Tener la seguridad tan en cuenta como se puedan tener el rendimiento o la funcionalidad de una aplicación.