Presentación que muestra como problemas de seguridad se aprovechan sitio s Web y se roban contraseñas. Se hace foco como desarrollar seguro. Como infraestructura resuelve problemas de desarrollo, como el WAF. El video de esta presentación disponible en https://www.youtube.com/watch?v=Jey0skoG0MU.
Las campañas de phishing que utilizan como pretexto el interés que acapara el avance del COVID-19 se propagan cada vez con mayor frecuencia. Las mismas buscan no solo robar información personal de sus posibles víctimas, sino propagar noticias falsas y entregar publicidad no deseada a lo largo de todo el ataque.
Una charla en la que vamos repasando todos los puntos que deberían revisarse y que en muchos casos necesitan una puesta a punto o implementación a medida en Google Analytics.
Google nos ofrece una herramienta que parece hacerlo todo bien por defecto, pero la realidad luego es que muchas veces vemos datos que no son del todo exactos.
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTAlonso Caballero
OSINT (Open Source Intelligence) o "Inteligencia de Fuente Abierta"; implica obtener información de dominio público, o la cual puede ser accedida desde fuentes públicas; como audios, videos, imágenes, texto de documentos, artículos, blogs, mapas y datos de geolocalización, bases de datos y medios sociales. Este Webinar presenta consejos prácticos para iniciar una investigación OSINT efectiva.
Las campañas de phishing que utilizan como pretexto el interés que acapara el avance del COVID-19 se propagan cada vez con mayor frecuencia. Las mismas buscan no solo robar información personal de sus posibles víctimas, sino propagar noticias falsas y entregar publicidad no deseada a lo largo de todo el ataque.
Una charla en la que vamos repasando todos los puntos que deberían revisarse y que en muchos casos necesitan una puesta a punto o implementación a medida en Google Analytics.
Google nos ofrece una herramienta que parece hacerlo todo bien por defecto, pero la realidad luego es que muchas veces vemos datos que no son del todo exactos.
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTAlonso Caballero
OSINT (Open Source Intelligence) o "Inteligencia de Fuente Abierta"; implica obtener información de dominio público, o la cual puede ser accedida desde fuentes públicas; como audios, videos, imágenes, texto de documentos, artículos, blogs, mapas y datos de geolocalización, bases de datos y medios sociales. Este Webinar presenta consejos prácticos para iniciar una investigación OSINT efectiva.
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
Ponencia impartida por Iván Portillo y Wiktor Nykiel en el congreso HC0N con el título "BLACK FRAUDEY: DESTAPANDO REDES DE COMERCIOS ONLINE EN MODALIDAD CTRL-C, CTRL-V".
Durante esta ponencia se explica cómo se destapan redes de comercios online fraudulentas permitiendo notificar a las autoridades competentes para que se ejecuten las acciones oportunas. Además, se explica como analizar cada página y automatizar este proceso sacando una escala de criticidad de la amenaza según los indicadores que cumpla la misma.
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
Si no sabes que es bugbounty o quieres iniciar en este mundo y no sabes como hacerlo, quédate en esta charla que te servirá para iniciarte en el mundo del bug bounty.
Te contaré lo que nadie te dice cuando decides dedicarte parcial o completamente a la busca de fallos para grandes compañías, y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera.
Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho!
Más de DragonJAR.tv :
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
10 mitos sobre el vídeo interactivo que debes dejar de creerPlayFilm
Hay muchos mitos entorno al Vídeo Interactivo. Mitos como que el Vídeo Interactivo es caro, que es solo para acciones puntuales, que es complejo de producir etc. En esta presentación desmentimos hasta 10 de estos mitos proporcionando datos y ejemplos de por qué el Vídeo Interactivo es el contenido rey. Descubre más sobre por qué utilizar Vídeo Interactivo aquí http://info.playfilm.tv/video-interactivo-contenido-rey
Hoy día nuestro negocio tiene que estar on-line, participando de la Conversación en Red, dónde los clientes queramos o no están opinando de nuestros servicios. En vez de mirar para otro lado, debemos participar y dar un servicio adecuado a lo que los propietarios esperan de nosotros.
ALMUERZO DE PRESENTACIÓN DE LA SOLUCIÓN ZERO TRUST DE APPGATECristian Garcia G.
La constante evolución de las amenazas de seguridad conlleva a que las organizaciones adopten nuevas habilidades para mejorar sus defensas y mitigar posibles riesgos. Estas estrategias de seguridad que permiten proteger mejor a la organización y sus clientes representa un reto en términos de cumplimiento regulatorio y despliegue de infraestructura. Zero Trust es el modelo de seguridad que responde a esta necesidad debido a su capacidad de adaptarse a las nuevas tecnologías de información a la vez que promueve el acceso seguro a los recursos de su organización sin comprometer su integridad.
APIdays Mediterranea: Emprender el Desarrollo. API's InfernoSOLUSOFT.ES
Presentación de Manuel J. García, Técnico de I+D+i y Desarrollo de solusoft, en API Days Mediterranea 2014
Todo desarrollador que se precie conoce las ventajas de añadir un API a la arquitectura de un sistema, pero lo que pasa desapercibido -como en muchos otros casos- son los problemas que esto puede acarrear.
En primer lugar, están las dificultades técnicas ¿Cómo diseño la arquitectura de forma correcta? ¿Puedo integrar servicios de terceros en una misma solución? ¿De qué manera se puede esquivar la cautividad que puede conllevar su uso?
Aunque en realidad el peor escollo con el que se puede encontrar un desarrollador a la hora de crear un API son las dificultades culturales que supone desarrollar un API en el lugar de una aplicación monolítica al uso.
Pero, ¿por qué apostar por un API? Manuel J. García nos contó en APIdays Mediterranea los motivos por los que el esfuerzo de desarrollar nuestra primera API merece la pena, describiendo los problemas que aparecerán en nuestro camino.
Puedes ver el vídeo de la ponencia al final de la presentación.
API Days Mediterranea - Emprender el desarrollo - API's Infernofindemor
API Days Mediterranea - Barcelona 2014
Ilustraciones del magnífico http://oleismos.blogspot.com.es/
Los beneficios de incorporar un API en la arquitectura de un sistema son plenamente conocidos, pero cuando no embarcamos en esta tarea descubrimos que las dificultades a las que nos enfrentamos no son pocas ni triviales. Como desarrolladores, las dificultades técnicas son las primeras en preocuparnos: cómo diseñar la arquitectura correctamente, cómo integrar distintos servicios de terceros en una única solución y cómo evitar la cautividad que podría acaecer con su uso; pero los enemigos más peligrosos no son éstos, si no las dificultades culturales. Muchas veces la empresa, las personas, o los clientes, no estarán preparados para el cambio de paradigma que supone desarrollar APIs en lugar de aplicaciones monolíticas tradicionales.
En esta ponencia abordaremos brevemente las razones por las cuales merece la pena el esfuerzo que supone enfrentarse al desarrollo de nuestra primera API, identificando los problemas que surgirán en el proceso, tales como: las dificultades a las que puede conducirnos una mala decisión de integración, o el esfuerzo de evangelización que debemos hacer dentro de nuestra propia empresa, ya sea a nivel de oportunidades de negocio, de cambios en el proceso de desarrollo, o de necesidades de formación en las tecnologías implicadas; proponiendo soluciones utilizando el sentido común antes, incluso, que los estándares.
Charla impartida por Pedro Sánchez de la empresa Conexión Inversa, en el evento "Asegura IT Camp2" que tuvo lugar los días 22, 23 y 24 de Octubre de 2010 en El Escorial
Al usar Internet nos exponemos a numerosas amenazas que pueden perjudicar nuestra vida personal, nuestro negocio y/o nuestra familia.
Este material busca ofrecer consejos básicos de seguridad para que cualquier persona sin conocimientos avanzados pueda incrementar su nivel de seguridad al navegar por Internet.
Por Carlos Lozano para la Escuela de Comercio
Tu posicionamiento mejora con la velocidad de tu web ¡WPO para todos!Fernando Puente
La velocidad de tu sitio es uno de los factores importantes para tener una mejor experiencia de usuario y un mejor posicionamiento en buscadores pero, ¿sabes por qué tu sitio es rápido o lento?, ¿qué elementos afectan a la velocidad y cómo prevenirlos o corregirlos? Existen cantidad de elementos, conocidos o no, dentro de nuestro proyecto web normalmente desarrollado con un CMS que pueden incidir en el rendimiento y en una posible mala experiencia, aumento de costes e incluso generar pérdidas en las ventas.
Descubre los factores que pueden afectar en la velocidad de carga de las páginas de tu web y en el rendimiento en general.
Congreso Web 2019 #CW19
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
Taller impartido en la Universidad de Alcalaá de Henares duraante loas jornadas de Ciberseguridad y Ciberdefensa. En el mismo se trata el desarrollo de herramientas que ayudan en la búsqueda de información en fuentes OSINT, para analizar y diseminar la información de valor, para finalmente crear herramientas de inteligencia para automatizar el proceso.
El alumno aprenderá a investigar un problema concreto y crear herramientas que permita resolverlo con una solución de manera rápida y óptima.
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
Ponencia impartida por Iván Portillo y Wiktor Nykiel en el congreso HC0N con el título "BLACK FRAUDEY: DESTAPANDO REDES DE COMERCIOS ONLINE EN MODALIDAD CTRL-C, CTRL-V".
Durante esta ponencia se explica cómo se destapan redes de comercios online fraudulentas permitiendo notificar a las autoridades competentes para que se ejecuten las acciones oportunas. Además, se explica como analizar cada página y automatizar este proceso sacando una escala de criticidad de la amenaza según los indicadores que cumpla la misma.
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
Si no sabes que es bugbounty o quieres iniciar en este mundo y no sabes como hacerlo, quédate en esta charla que te servirá para iniciarte en el mundo del bug bounty.
Te contaré lo que nadie te dice cuando decides dedicarte parcial o completamente a la busca de fallos para grandes compañías, y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera.
Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho!
Más de DragonJAR.tv :
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
10 mitos sobre el vídeo interactivo que debes dejar de creerPlayFilm
Hay muchos mitos entorno al Vídeo Interactivo. Mitos como que el Vídeo Interactivo es caro, que es solo para acciones puntuales, que es complejo de producir etc. En esta presentación desmentimos hasta 10 de estos mitos proporcionando datos y ejemplos de por qué el Vídeo Interactivo es el contenido rey. Descubre más sobre por qué utilizar Vídeo Interactivo aquí http://info.playfilm.tv/video-interactivo-contenido-rey
Hoy día nuestro negocio tiene que estar on-line, participando de la Conversación en Red, dónde los clientes queramos o no están opinando de nuestros servicios. En vez de mirar para otro lado, debemos participar y dar un servicio adecuado a lo que los propietarios esperan de nosotros.
ALMUERZO DE PRESENTACIÓN DE LA SOLUCIÓN ZERO TRUST DE APPGATECristian Garcia G.
La constante evolución de las amenazas de seguridad conlleva a que las organizaciones adopten nuevas habilidades para mejorar sus defensas y mitigar posibles riesgos. Estas estrategias de seguridad que permiten proteger mejor a la organización y sus clientes representa un reto en términos de cumplimiento regulatorio y despliegue de infraestructura. Zero Trust es el modelo de seguridad que responde a esta necesidad debido a su capacidad de adaptarse a las nuevas tecnologías de información a la vez que promueve el acceso seguro a los recursos de su organización sin comprometer su integridad.
APIdays Mediterranea: Emprender el Desarrollo. API's InfernoSOLUSOFT.ES
Presentación de Manuel J. García, Técnico de I+D+i y Desarrollo de solusoft, en API Days Mediterranea 2014
Todo desarrollador que se precie conoce las ventajas de añadir un API a la arquitectura de un sistema, pero lo que pasa desapercibido -como en muchos otros casos- son los problemas que esto puede acarrear.
En primer lugar, están las dificultades técnicas ¿Cómo diseño la arquitectura de forma correcta? ¿Puedo integrar servicios de terceros en una misma solución? ¿De qué manera se puede esquivar la cautividad que puede conllevar su uso?
Aunque en realidad el peor escollo con el que se puede encontrar un desarrollador a la hora de crear un API son las dificultades culturales que supone desarrollar un API en el lugar de una aplicación monolítica al uso.
Pero, ¿por qué apostar por un API? Manuel J. García nos contó en APIdays Mediterranea los motivos por los que el esfuerzo de desarrollar nuestra primera API merece la pena, describiendo los problemas que aparecerán en nuestro camino.
Puedes ver el vídeo de la ponencia al final de la presentación.
API Days Mediterranea - Emprender el desarrollo - API's Infernofindemor
API Days Mediterranea - Barcelona 2014
Ilustraciones del magnífico http://oleismos.blogspot.com.es/
Los beneficios de incorporar un API en la arquitectura de un sistema son plenamente conocidos, pero cuando no embarcamos en esta tarea descubrimos que las dificultades a las que nos enfrentamos no son pocas ni triviales. Como desarrolladores, las dificultades técnicas son las primeras en preocuparnos: cómo diseñar la arquitectura correctamente, cómo integrar distintos servicios de terceros en una única solución y cómo evitar la cautividad que podría acaecer con su uso; pero los enemigos más peligrosos no son éstos, si no las dificultades culturales. Muchas veces la empresa, las personas, o los clientes, no estarán preparados para el cambio de paradigma que supone desarrollar APIs en lugar de aplicaciones monolíticas tradicionales.
En esta ponencia abordaremos brevemente las razones por las cuales merece la pena el esfuerzo que supone enfrentarse al desarrollo de nuestra primera API, identificando los problemas que surgirán en el proceso, tales como: las dificultades a las que puede conducirnos una mala decisión de integración, o el esfuerzo de evangelización que debemos hacer dentro de nuestra propia empresa, ya sea a nivel de oportunidades de negocio, de cambios en el proceso de desarrollo, o de necesidades de formación en las tecnologías implicadas; proponiendo soluciones utilizando el sentido común antes, incluso, que los estándares.
Charla impartida por Pedro Sánchez de la empresa Conexión Inversa, en el evento "Asegura IT Camp2" que tuvo lugar los días 22, 23 y 24 de Octubre de 2010 en El Escorial
Al usar Internet nos exponemos a numerosas amenazas que pueden perjudicar nuestra vida personal, nuestro negocio y/o nuestra familia.
Este material busca ofrecer consejos básicos de seguridad para que cualquier persona sin conocimientos avanzados pueda incrementar su nivel de seguridad al navegar por Internet.
Por Carlos Lozano para la Escuela de Comercio
Tu posicionamiento mejora con la velocidad de tu web ¡WPO para todos!Fernando Puente
La velocidad de tu sitio es uno de los factores importantes para tener una mejor experiencia de usuario y un mejor posicionamiento en buscadores pero, ¿sabes por qué tu sitio es rápido o lento?, ¿qué elementos afectan a la velocidad y cómo prevenirlos o corregirlos? Existen cantidad de elementos, conocidos o no, dentro de nuestro proyecto web normalmente desarrollado con un CMS que pueden incidir en el rendimiento y en una posible mala experiencia, aumento de costes e incluso generar pérdidas en las ventas.
Descubre los factores que pueden afectar en la velocidad de carga de las páginas de tu web y en el rendimiento en general.
Congreso Web 2019 #CW19
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
Taller impartido en la Universidad de Alcalaá de Henares duraante loas jornadas de Ciberseguridad y Ciberdefensa. En el mismo se trata el desarrollo de herramientas que ayudan en la búsqueda de información en fuentes OSINT, para analizar y diseminar la información de valor, para finalmente crear herramientas de inteligencia para automatizar el proceso.
El alumno aprenderá a investigar un problema concreto y crear herramientas que permita resolverlo con una solución de manera rápida y óptima.
Introducción al Ransomware, tipos de ransomware y recomendaciones de como protegerse. Por otro lado se analizará la moneda que se usa para pagar las extorsiones, como el BITCOIN.
Este curso prepara al alumno a desplegar de manera segura MS Windows 10.1. A su vez indica como usar herramientas disponibles para el usuario y que son muy poco conocidas por las empresas. Este curso esta destinado aquellos administradores de red sobre todo en ambientes corporativos.
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Contenido de Capacitación en el Evento "1 Hack Para los Chicos". Este evento sin fines de lucro, con la idea de ayudar a una organización que ayude a los niños, brinda conferencias de seguridad. Esta charla apunta a como protegerse del Ransomware. El soporte de esta charla pueden encontrarlo aqui: http://seguridadit.blogspot.com.ar/
Los desafíos de calidad de software que nos trae la IA y los LLMsFederico Toledo
En esta charla, nos sumergiremos en los desafíos emergentes que la inteligencia artificial (IA) y los Large Language Models (LLMs) traen al mundo de la calidad del software y el testing. Exploraremos cómo la integración, uso o diseño de modelos de IA plantean nuevos retos, incluyendo la calidad de datos y detección de sesgos, sumando la complejidad de probar algo no determinístico. Revisaremos algunas propuestas que se están llevando adelante para ajustar nuestras tareas de testing al desarrollo de este tipo de sistemas, incluyendo enfoques de pruebas automatizadas y observabilidad.
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
Presentacion de NETConf.UY 2018
1. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Hackeando Humanos
OWASP
Enrique G. Dutra
Punto Net Soluciones SRL
Auditor Lider ISO/IEC 27001 - IRCA
edutra@puntonetsoluciones.com.ar
Tw: @egdutra
4. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Agenda
- Ingeniería Social
- Punto mas débil, el humanOS.
- En que consiste?
- Técnica
- La tecnología lo facilita. Ejemplo
- XSS
- OWASP Top Ten 2017
- Qué es?
- Por que usarlo?
- Herramientas para mejorar nuestro desarrollo.
- Inyección
5. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Ingeniería Social
Hackeando HumanOS
6. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Qué pasa en Internet en 60 Segundos?
7. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Engaño
Inducir a alguien a tener por
cierto aquello que no lo es, dar
a la mentira apariencia de
verdad, producir ilusión.
Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder
que siempre se puede convencer a alguien para que lo enchufe.”
Congreso "Access All Areas“ 1997
8. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Christopher Hadnagy
“…Ingeniería Social es el acto de
influir en una persona para que
lleve a cabo una acción que
puede, o no, ser la mejor para
sus intereses…”
9. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Engaño – A tener en cuenta
üDesviar el pensamiento sistemático: Chantaje emocional?
üLograr que la victima asuma un rol: Colabore (“envíame
una foto tuya”, “dame tu pin”, “donde vives”)
üCredibilidad: hacerles creer que es verdadero con
pruebas falsas o no.
üDeseo de ayudar: En la acción parece que hay un
beneficio o motivo de ayuda.
üMiedo.
üNo nos gusta decir que no.
10. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Armando un engaño
Usando técnicas de phishing
11. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Receta de cocina
1) Obtener dato conocido por los HumanOS.
(usuario / contraseña, correo, etc).
2) Armar el ENGAÑO.
3) Extorsionar, logrando un pago en BTC.
12. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
- Mediante una base de datos ROBADA. (falla
de desarrollo, plataforma no actualizada,
versiones viejas de productos, etc)
- Captura de datos por un Wi-Fi (café,
aeropuerto, shopping, etc).
13. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
-Mediante una base de datos robada.
https://raidforums.com/
14. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
- Mediante un engaño
15. 15 al 17 de Noviembre 2018.NET Conf UY v2018
2) Armar el Engaño
1) Ingresamos a un sitio vulnerable.
http://demo.testfire.net/
2) Creamos un engaño usando XSS
3) Enmascaramos el link
https://bitly.com/
4) Creamos el cuentito.
5) Hacemos SPAM con Phishing.
16. 15 al 17 de Noviembre 2018.NET Conf UY v2018
2) Armar engaño usando HTML
<html>
<font color="green" face="Calibri" size="+2">
Ud ha ingresado por que ha recibido el correo de bloqueo. Felicitaciones, por
pensar en su Seguridad. Acceda al link para proceder a fortalecer sus
credenciales.
<a href="https://bit.ly/2z5O4p0" target="_self" >
Presione AQUI.
</font>
</a >
</hmtl>
17. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Enmascaramos el link
Repensar el vínculo https…
https://bitly.com/
18. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Cuentito - Phishing
Estimado usuario
Se ha detectado cierta cantidad de ingresos incorrectos con su
cuenta de acceso Web. Si Ud. no desea perder el acceso y bloqueo
de sus tarjetas de crédito/débito asociadas, por favor ingrese ya
a este link Altoro Mutual
En el caso de no ingresar dentro de las próximas 24 hs, su cuenta
por seguridad será bloqueada y deberá llegarse a la Casa Matriz
del Banco, llevando consigo documento y último resumen impreso
de alguna de sus tarjetas.
Cordialmente.
La Gerencia de su banco amigo
19. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Cuentito - Phishing
Estimado usuario
Se ha detectado cierta cantidad de ingresos incorrectos con su
cuenta de acceso Web. Si Ud. no desea perder el acceso y bloqueo
de sus tarjetas de crédito/débito asociadas, por favor ingrese ya
a este link Altoro Mutual
En el caso de no ingresar dentro de las próximas 24 hs, su cuenta
por seguridad será bloqueada y deberá llegarse a la Casa Matriz
del Banco, llevando consigo documento y último resumen impreso
de alguna de sus tarjetas.
Cordialmente.
La Gerencia de su banco amigo
20. 15 al 17 de Noviembre 2018.NET Conf UY v2018
USUARIOS: No dudar, Verificar!!
üAveriguar si algún correo esta vulnerado :
https://haveibeenpwned.com/
üCambiar contraseñas regularmente.
üCada acceso Internet con su cuenta.
üContraseñas no asociadas al usuario.
üContraseñas complejas.
üNo compartir accesos.
üNo responder o acceder links de e-mails dudosos.
üVerificar realmente el emisor.
21. 15 al 17 de Noviembre 2018.NET Conf UY v2018
DESARROLLADORES: A mejorar el código.
22. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP
Open Web Application Security Project
23. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP
Estándar abierto que:
üPromueve el desarrollo de software seguro.
üOrientada a la prestación de servicios
orientados a la Web.
üSe centra principalmente en el "back-end" mas
que en cuestiones de diseño web.
üUn foro abierto para el debate.
üUn recurso gratuito para cualquier equipo de
desarrollo de software.
24. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP Top Ten desde el 2003
25. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP Top Ten 2017
26. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Demo Inyección
1) Acceder sitio http://demo.testfire.net/
2) Ingresar usuario admin o jsmith
3) Password ' or '1'='1
4) Ingresar usuario ' or '1'='1
5) Password ' or '1'=‘1
http://demo.testfire.net/bank/name?id='or'1'='1
27. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Cómo proteger o evaluar
Aplicaciones y soluciones de IT
28. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP ZAP
OWASP Zed Attack Proxy (ZAP),
Esta plataforma está diseñada especialmente
para monitorizar la seguridad de las
aplicaciones web de las compañías, siendo una
de las aplicaciones del proyecto más activas
en cuanto a auditorías de seguridad.
29. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Guías Test Móvil
- Usar guía de desarrollo seguro de móvil.
30. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Infraestructura siempre los salva!!
OWASP core rule sets
ü SQL injection
ü Cross site scripting
ü Common attacks such as command injection,
HTTP request smuggling, HTTP response
splitting, and remote file inclusion attack
ü HTTP protocol violations
ü HTTP protocol anomalies
ü Bots, crawlers, and scanners
ü Common application misconfigurations (e.g.
Apache, IIS, etc.)
ü HTTP Denial of Service
Azure Web Application Firewall (WAF)
OWASP ModSecurity Core Rule Set (CRS)
31. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Guías de OWASP
32. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Gracias por asistir!!
www.puntonetsoluciones.com.ar
egdutra
edutra@puntonetsoluciones.com.ar
Mis datos….