SlideShare una empresa de Scribd logo
HACKEO Y DEFENSA PARA APLICACIONES WEB PRESENTADO POR:  ABEL ESTRELLA HUANCAYO
DESARROLLO  Configuración de la aplicación  Web   Aplicación Web Hacking Amenazas de Aplicaciones Web Desarrollo de un Ataque Medidas de Defensa Herramientas de Hacking de Aplicaciones Web
CONFIGURACIÓN de LA aplicación Web
APLICACIONES WEB HACKING Clonación de sitios web  Robo de tarjeta de crédito información  Aprovechamiento del lado del servidor  scripting  La explotación de desbordamientos de búfer  Ataques al Servidor de Nombres de Dominio (DNS). Empleo de códigos maliciosos  Denegación de Servicio  Destrucción de datos
DESARROLLO DE UN ATAQUE ESCANEO RECOPILACION  DE INFORMACIÓN REALIZAR PRUEBAS O TESTEO PLANIFICACIÓN DE ATAQUE INICIO DEL ATAQUE
[object Object]
Cualquier Lenguaje o protocolo puede ser victima.
La forma semántica de las funciones, programación.
Los meta caracteres,[object Object]
Cross-site scripting
Medidas Validar todas las cabeceras, las cookies, las cadenas de consulta, los campos del  formulario, y  campos ocultos (es decir, todos los parámetros) en contra de un riguroso especificación. Adoptar una estricta política de seguridad Filtrado de salida la secuencia de comandos también para afrontar a las  vulnerabilidades de  XSS  evitando que se transmiten a los usuarios. Eliminando Html_tags Codificando los htmltags Validando http_referer
Injection Un ataque típico es la inyección: variar significado sentencia (en nuestro beneficio) 	Las aplicaciones web necesitan guardar datos RDBMS (MySQL, MS-SQL, PostgreSQL, Oracle...) LDAP … XML SQL Injection LDAP Injection XPath Injection
SLQ INJECTION
Medidas El primer paso para prevenir los ataques basados en SQL injection es ser consciente de que un usuario no siempre va a proporcionarte la entrada que tu piensas. El segundo paso es realizar algo que es básico en seguridad: validación de datos. Para cada dato sea cual sea, proveniente de un usuario de la aplicación debemos asegurarnos de que sea válido y del tipo adecuado.
Cookie/sessionpoisoning
Medidas No guarde en texto plano o  contraseña cifrada débil en un cookie. Implementar eliminación de cookies por tiempo. Las cookies de autenticación de credenciales debería estar asociada con una dirección IP. Hacer salir funciones disponibles.
Buffer Overflow
Medidas Validar formularios de entrada de longitud. Comprobar los límites y mantener un cuidado especial cuando se utiliza a los bucles al momento de realizar copiado de los datos. StackGuard y StackShield para Linux son herramientas para la defensa de programas y sistemas.
Herramientas de Hacking ,[object Object]
Wget
WebSleuth
BlackWidow
WindowBomb
Burp
cURL,[object Object]
WGET
Ejemplos Bajar un archivo:    wget http://www.inti.gov.ar/index.html   Bajar un archivo del cual ya bajamos una parte con otro programa:    wget -c http://www.inti.gov.ar/index.html   Bajar el directorio completo de http://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/ donde estan unos .deb que queremos bajarnos:  Wget -r -A=.html,.deb -nc -nphttp://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/   Bajar un archive de Ftp:   wget ftp://username:password@ftp.example.net/somedir/somefile   El mismo archive con password adicional:   Wget ftp://ftp.example.net/somefile --ftp-user=username --ftp-password= ”password”

Más contenido relacionado

La actualidad más candente

Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
Moises Silva
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
Carlos Javier Majerhua
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación Web
Alonso Caballero
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
mauromaulinir
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
Alonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
Fabio Cerullo
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
yopablo
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombia
goscar
 
La Segurida De Un Equipo
La Segurida De Un EquipoLa Segurida De Un Equipo
La Segurida De Un Equipo
joseavila
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
Seguridad en php
Seguridad en phpSeguridad en php
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
Javier Navarro
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
Alonso Caballero
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 

La actualidad más candente (20)

Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
as
asas
as
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación Web
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Mapa mental mariadejesus
Mapa mental mariadejesusMapa mental mariadejesus
Mapa mental mariadejesus
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
 
InSpring security
InSpring securityInSpring security
InSpring security
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombia
 
La Segurida De Un Equipo
La Segurida De Un EquipoLa Segurida De Un Equipo
La Segurida De Un Equipo
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
2 - Curso Navegación Segura - Tipos de amenazas asociadas a los navegadores
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 

Similar a Seguridad en Aplicaciones Web

Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAdriana Gil
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Juan Pablo
 
Informe
InformeInforme
Informe
InformeInforme
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano  -- valeria loaiza.Seguridad informatica eliana galeano  -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
Once Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano  -- valeria loaiza.Seguridad informatica eliana galeano  -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
Once Redes
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
Leandro Morales Alvarez
 
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
Corporacion de Industrias Tecnologicas S.A.
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
Cade Soluciones
 
Clase 6 Practica.pptx
Clase 6 Practica.pptxClase 6 Practica.pptx
Clase 6 Practica.pptx
FelipeLoaiza7
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
Ramón Salado Lucena
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
taller aula digital
taller aula digital taller aula digital
taller aula digital
edithmanquelipe
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"
CIDITIC - UTP
 

Similar a Seguridad en Aplicaciones Web (20)

2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
 
Informe
InformeInforme
Informe
 
Informe
InformeInforme
Informe
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano  -- valeria loaiza.Seguridad informatica eliana galeano  -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano  -- valeria loaiza.Seguridad informatica eliana galeano  -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
 
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
Corp. In. Tec. S.A. - Trend Argentina Certified Partners - Soluciones en segu...
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 
Clase 6 Practica.pptx
Clase 6 Practica.pptxClase 6 Practica.pptx
Clase 6 Practica.pptx
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
taller aula digital
taller aula digital taller aula digital
taller aula digital
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"
 

Último

ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
JAVIER SOLIS NOYOLA
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
LilianaRivera778668
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
rosannatasaycoyactay
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
Profes de Relideleón Apellidos
 
Sesión: El fundamento del gobierno de Dios.pdf
Sesión: El fundamento del gobierno de Dios.pdfSesión: El fundamento del gobierno de Dios.pdf
Sesión: El fundamento del gobierno de Dios.pdf
https://gramadal.wordpress.com/
 
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdfINFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
Alejandrogarciapanta
 
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIACONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
BetzabePecheSalcedo1
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
GallardoJahse
 
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
HuallpaSamaniegoSeba
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
auxsoporte
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
El Fortí
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
DivinoNioJess885
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
LorenaCovarrubias12
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES  Junio 2024UNIDAD DE APRENDIZAJE DEL MES  Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
EdwardYumbato1
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
YolandaRodriguezChin
 
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS  PRIMARIA.docx1º GRADO CONCLUSIONES DESCRIPTIVAS  PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
FelixCamachoGuzman
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Demetrio Ccesa Rayme
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 

Último (20)

ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
 
Sesión: El fundamento del gobierno de Dios.pdf
Sesión: El fundamento del gobierno de Dios.pdfSesión: El fundamento del gobierno de Dios.pdf
Sesión: El fundamento del gobierno de Dios.pdf
 
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdfINFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
 
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIACONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
 
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES  Junio 2024UNIDAD DE APRENDIZAJE DEL MES  Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
 
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS  PRIMARIA.docx1º GRADO CONCLUSIONES DESCRIPTIVAS  PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 

Seguridad en Aplicaciones Web

  • 1. HACKEO Y DEFENSA PARA APLICACIONES WEB PRESENTADO POR: ABEL ESTRELLA HUANCAYO
  • 2.
  • 3. DESARROLLO Configuración de la aplicación Web   Aplicación Web Hacking Amenazas de Aplicaciones Web Desarrollo de un Ataque Medidas de Defensa Herramientas de Hacking de Aplicaciones Web
  • 4. CONFIGURACIÓN de LA aplicación Web
  • 5.
  • 6. APLICACIONES WEB HACKING Clonación de sitios web Robo de tarjeta de crédito información Aprovechamiento del lado del servidor scripting La explotación de desbordamientos de búfer Ataques al Servidor de Nombres de Dominio (DNS). Empleo de códigos maliciosos Denegación de Servicio Destrucción de datos
  • 7. DESARROLLO DE UN ATAQUE ESCANEO RECOPILACION DE INFORMACIÓN REALIZAR PRUEBAS O TESTEO PLANIFICACIÓN DE ATAQUE INICIO DEL ATAQUE
  • 8.
  • 9. Cualquier Lenguaje o protocolo puede ser victima.
  • 10. La forma semántica de las funciones, programación.
  • 11.
  • 12.
  • 14.
  • 15.
  • 16.
  • 17. Medidas Validar todas las cabeceras, las cookies, las cadenas de consulta, los campos del formulario, y campos ocultos (es decir, todos los parámetros) en contra de un riguroso especificación. Adoptar una estricta política de seguridad Filtrado de salida la secuencia de comandos también para afrontar a las vulnerabilidades de XSS evitando que se transmiten a los usuarios. Eliminando Html_tags Codificando los htmltags Validando http_referer
  • 18. Injection Un ataque típico es la inyección: variar significado sentencia (en nuestro beneficio) Las aplicaciones web necesitan guardar datos RDBMS (MySQL, MS-SQL, PostgreSQL, Oracle...) LDAP … XML SQL Injection LDAP Injection XPath Injection
  • 19.
  • 21.
  • 22.
  • 23. Medidas El primer paso para prevenir los ataques basados en SQL injection es ser consciente de que un usuario no siempre va a proporcionarte la entrada que tu piensas. El segundo paso es realizar algo que es básico en seguridad: validación de datos. Para cada dato sea cual sea, proveniente de un usuario de la aplicación debemos asegurarnos de que sea válido y del tipo adecuado.
  • 25.
  • 26. Medidas No guarde en texto plano o contraseña cifrada débil en un cookie. Implementar eliminación de cookies por tiempo. Las cookies de autenticación de credenciales debería estar asociada con una dirección IP. Hacer salir funciones disponibles.
  • 28. Medidas Validar formularios de entrada de longitud. Comprobar los límites y mantener un cuidado especial cuando se utiliza a los bucles al momento de realizar copiado de los datos. StackGuard y StackShield para Linux son herramientas para la defensa de programas y sistemas.
  • 29.
  • 30. Wget
  • 34. Burp
  • 35.
  • 36. WGET
  • 37. Ejemplos Bajar un archivo:   wget http://www.inti.gov.ar/index.html   Bajar un archivo del cual ya bajamos una parte con otro programa:   wget -c http://www.inti.gov.ar/index.html   Bajar el directorio completo de http://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/ donde estan unos .deb que queremos bajarnos: Wget -r -A=.html,.deb -nc -nphttp://www.debian.org/~jules/gnome-stage-2/dists/unstable/main/binary-i386/   Bajar un archive de Ftp:   wget ftp://username:password@ftp.example.net/somedir/somefile   El mismo archive con password adicional:   Wget ftp://ftp.example.net/somefile --ftp-user=username --ftp-password= ”password”
  • 41. Normas de Seguridad de Aplicaciones web
  • 42. OWASP” (Open Web Application Security Project La "seguridad gracias al desconocimiento" no funciona. Verificación de privilegios Ofrecer la mínima información consideraciones de arquitectura, mecanismos de autenticación, gestión de sesiones de usuario, control de acceso, registro de actividad, prevención de problemas comunes, consideraciones de privacidad y criptografía. Validación de la entrada y salida de información . Diseños simples . Utilización y reutilización de componentes de confianza Defensa en profundidad Tan seguros como el eslabón más débil
  • 43. CONCLUSIONES Ningún Lenguaje de programación puede prever código inseguro, aunque dentro de sus características permita el bloqueo de información confidencial y relevante.   El no uso de herramientas lógicas, ya sea firewall, verificaciones de las aplicaciones web, depuraciones, permitirán la mayor vulnerabilidad de estas.   El mayor uso plataformas web, por la diversidad de empresas y para todo tipo de servicios, donde las aplicaciones web tienen el papel más importante, convirtiéndolo en la interfaz de comunicación entre empresas y clientes, por ello de su implementación con estándares de seguridad.   A la par que avanzan las aplicaciones web, el avance del hackeo va en paralelo.
  • 44. RECOMENDACIONES Tener Buenas prácticas para el uso de internet es decir: usar contraseña en el equipo (router) de conexión a internet Establecer mejores prácticas de uso de internet tales como navegar en sitios conocidos/seguros, evitar dar click a links enviados por otros usuarios, evitar abrir correos electrónicos de fuentes desconocidas Utilizar una herramienta Antivirus con Firewall personal, detector de intrusos y soluciones Anti-Spam y Anti-Phishing Es importantísimo crear aplicaciones web con, por lo menos, un nivel mediano y alto de seguridad. Seguir el desarrollo de proyectos y normas para Aplicaciones Web Abiertas como el caso de Guía OWASP” (Open Web Application Security Project).