Este documento trata sobre hacking y defensa de aplicaciones web. Explica diferentes amenazas como inyección SQL, Cross-Site Scripting y buffer overflow. También presenta herramientas de hacking como Burp y medidas de defensa como validación de datos de entrada, eliminación de tags HTML y limites de longitud de buffers. Finalmente, recomienda seguir las normas OWASP para el desarrollo seguro de aplicaciones web.
Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
Sitio Web: http://www.reydes.com
e-mail: caballero.alonso@gmail.com
La autenticación juega un rol importante en la seguridad de una aplicación web, pues todas las subsecuentes decisiones en seguridad se basan típicamente sobre la identidad establecida por las credenciales proporcionadas. En este Webinar Gratuito se expondrán y realizarán demostraciones sobre los tipos más comunes de amenazas contra los mecanismos de autenticación web.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Un ataque de Cross-Siste Scripting es un tipo de inyección, en el cual scripts maliciosos son inyectados en un sitio web. Ocurre cuando un atacante utiliza una aplicación web para enviar código malicioso hacia un usuario diferente, generalmente en la forma de un script para el lado del navegador. Un ataque exitoso puede permitir acceder hacia las cookies, tokens de sesión u otra información sensible mantenida por el navegador web y utilizada con el sitio.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadoresJavier Navarro
La presentación corresponde al Curso de Navegación Segura, otorgado de manera gratuita por ESET como parte de su compromiso con los internautas. Es la continuación de "Conceptos sobre navegadores"
Introducción a la Ciberseguridad y Seguridad Informática
Amenazas Comunes en Ciberseguridad
Vulnerabilidades Comunes en los Sistemas
Buenas Prácticas en Ciberseguridad
Herramientas de Seguridad Informática
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
Sitio Web: http://www.reydes.com
e-mail: caballero.alonso@gmail.com
La autenticación juega un rol importante en la seguridad de una aplicación web, pues todas las subsecuentes decisiones en seguridad se basan típicamente sobre la identidad establecida por las credenciales proporcionadas. En este Webinar Gratuito se expondrán y realizarán demostraciones sobre los tipos más comunes de amenazas contra los mecanismos de autenticación web.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Un ataque de Cross-Siste Scripting es un tipo de inyección, en el cual scripts maliciosos son inyectados en un sitio web. Ocurre cuando un atacante utiliza una aplicación web para enviar código malicioso hacia un usuario diferente, generalmente en la forma de un script para el lado del navegador. Un ataque exitoso puede permitir acceder hacia las cookies, tokens de sesión u otra información sensible mantenida por el navegador web y utilizada con el sitio.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadoresJavier Navarro
La presentación corresponde al Curso de Navegación Segura, otorgado de manera gratuita por ESET como parte de su compromiso con los internautas. Es la continuación de "Conceptos sobre navegadores"
Introducción a la Ciberseguridad y Seguridad Informática
Amenazas Comunes en Ciberseguridad
Vulnerabilidades Comunes en los Sistemas
Buenas Prácticas en Ciberseguridad
Herramientas de Seguridad Informática
Ciberseguridad y Seguridad Informática
Amenazas Comunes en Ciberseguridad
Vulnerabilidades Comunes en los Sistemas
Buenas Prácticas en Ciberseguridad
Herramientas de Seguridad Informática
Este informe trata sobre os elementos claves para la seguridad por acceso remoto,los distintos medios para establecer una conexión segura y el uso de uso de filtros y Barreras de Protección
Este informe trata sobre os elementos claves para la seguridad por acceso remoto,los distintos medios para establecer una conexión segura y el uso de uso de filtros y Barreras de Protección
Trabajo sobre Aplicaciones Web Seguras, en concreto Anti-SQL Injection, del módulo de Seguridad y Alta Disponibilidad del Ciclo Formativo de Grado Superior en Administración de Sístemas Informáticos en Red
Corporación de Industrias Tecnológicas S.A. - Trend Argentina Certified Partners - Soluciones en seguridad de contenidos
www.CorpintecSA.com
contacto@corpintecSA.com
"The Hacking Day", un proyecto creado por IT Forensic SAS, consiste en una serie de talleres prácticos dictados por expertos en el ámbito de la seguridad informática.
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
1. HACKEO Y DEFENSA PARA APLICACIONES WEB PRESENTADO POR: ABEL ESTRELLA HUANCAYO
2.
3. DESARROLLO Configuración de la aplicación Web Aplicación Web Hacking Amenazas de Aplicaciones Web Desarrollo de un Ataque Medidas de Defensa Herramientas de Hacking de Aplicaciones Web
6. APLICACIONES WEB HACKING Clonación de sitios web Robo de tarjeta de crédito información Aprovechamiento del lado del servidor scripting La explotación de desbordamientos de búfer Ataques al Servidor de Nombres de Dominio (DNS). Empleo de códigos maliciosos Denegación de Servicio Destrucción de datos
7. DESARROLLO DE UN ATAQUE ESCANEO RECOPILACION DE INFORMACIÓN REALIZAR PRUEBAS O TESTEO PLANIFICACIÓN DE ATAQUE INICIO DEL ATAQUE
17. Medidas Validar todas las cabeceras, las cookies, las cadenas de consulta, los campos del formulario, y campos ocultos (es decir, todos los parámetros) en contra de un riguroso especificación. Adoptar una estricta política de seguridad Filtrado de salida la secuencia de comandos también para afrontar a las vulnerabilidades de XSS evitando que se transmiten a los usuarios. Eliminando Html_tags Codificando los htmltags Validando http_referer
18. Injection Un ataque típico es la inyección: variar significado sentencia (en nuestro beneficio) Las aplicaciones web necesitan guardar datos RDBMS (MySQL, MS-SQL, PostgreSQL, Oracle...) LDAP … XML SQL Injection LDAP Injection XPath Injection
23. Medidas El primer paso para prevenir los ataques basados en SQL injection es ser consciente de que un usuario no siempre va a proporcionarte la entrada que tu piensas. El segundo paso es realizar algo que es básico en seguridad: validación de datos. Para cada dato sea cual sea, proveniente de un usuario de la aplicación debemos asegurarnos de que sea válido y del tipo adecuado.
26. Medidas No guarde en texto plano o contraseña cifrada débil en un cookie. Implementar eliminación de cookies por tiempo. Las cookies de autenticación de credenciales debería estar asociada con una dirección IP. Hacer salir funciones disponibles.
28. Medidas Validar formularios de entrada de longitud. Comprobar los límites y mantener un cuidado especial cuando se utiliza a los bucles al momento de realizar copiado de los datos. StackGuard y StackShield para Linux son herramientas para la defensa de programas y sistemas.
37. Ejemplos Bajar un archivo: wget http://www.inti.gov.ar/index.html Bajar un archivo del cual ya bajamos una parte con otro programa: wget -c http://www.inti.gov.ar/index.html Bajar el directorio completo de http://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/ donde estan unos .deb que queremos bajarnos: Wget -r -A=.html,.deb -nc -nphttp://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/ Bajar un archive de Ftp: wget ftp://username:password@ftp.example.net/somedir/somefile El mismo archive con password adicional: Wget ftp://ftp.example.net/somefile --ftp-user=username --ftp-password= ”password”
42. OWASP” (Open Web Application Security Project La "seguridad gracias al desconocimiento" no funciona. Verificación de privilegios Ofrecer la mínima información consideraciones de arquitectura, mecanismos de autenticación, gestión de sesiones de usuario, control de acceso, registro de actividad, prevención de problemas comunes, consideraciones de privacidad y criptografía. Validación de la entrada y salida de información . Diseños simples . Utilización y reutilización de componentes de confianza Defensa en profundidad Tan seguros como el eslabón más débil
43. CONCLUSIONES Ningún Lenguaje de programación puede prever código inseguro, aunque dentro de sus características permita el bloqueo de información confidencial y relevante. El no uso de herramientas lógicas, ya sea firewall, verificaciones de las aplicaciones web, depuraciones, permitirán la mayor vulnerabilidad de estas. El mayor uso plataformas web, por la diversidad de empresas y para todo tipo de servicios, donde las aplicaciones web tienen el papel más importante, convirtiéndolo en la interfaz de comunicación entre empresas y clientes, por ello de su implementación con estándares de seguridad. A la par que avanzan las aplicaciones web, el avance del hackeo va en paralelo.
44. RECOMENDACIONES Tener Buenas prácticas para el uso de internet es decir: usar contraseña en el equipo (router) de conexión a internet Establecer mejores prácticas de uso de internet tales como navegar en sitios conocidos/seguros, evitar dar click a links enviados por otros usuarios, evitar abrir correos electrónicos de fuentes desconocidas Utilizar una herramienta Antivirus con Firewall personal, detector de intrusos y soluciones Anti-Spam y Anti-Phishing Es importantísimo crear aplicaciones web con, por lo menos, un nivel mediano y alto de seguridad. Seguir el desarrollo de proyectos y normas para Aplicaciones Web Abiertas como el caso de Guía OWASP” (Open Web Application Security Project).