SlideShare una empresa de Scribd logo

Web App Seguridad Presentación

Descargar como PPT, PDF
Marcos Miguel Garcia
Marcos Miguel Garcia
Educación
1 de 39
Presentación – Web Attack
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],- Agenda -
HTTP/1.0 definido en RFC 1945 Posee 2 métodos de mensajes: HTTP request [browser -> server] HTTP response [server -> cliente] Métodos: GET , HEAD , POST . No se mantiene el estado en HTTP . Una conexión TCP para cada HTTP request. HTTP/1.1 definido en RFC 2616 Métodos: GET , HEAD , POST , OPTIONS , PUT , DELETE , TRACE , CONNECT . Encabezado “Host”: indica el nombre del servidor al cual se le realiza el pedido, permite que se utilicen hosts virtuales. No se mantiene el estado en HTTP . Conexiones TCP persistentes por defecto. Características del Protocolo HTTP
Planteamos una arquitectura web con los siguientes elementos: Clientes Firewall Cache / Load Balancer Servidor Web Servidor de base de datos Arquitectura Web
En el cuadro que exponemos veremos los principales ataques sobre Aplicaciones Web. Seguridad en Aplicaciones Web
XSS Cross Site Scripting XSS Cross Site Scripting
Es un agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación HTML. Debemos saber que existe 2 tipos de métodos de un ataque XSS: No persistente Persistente Mediante este agujero de seguridad, podemos obtener del usuario : Predicción de ID de sesión. Robo de Cookies. Ejecución de código malicioso Como contramedida podemos utilizar “htmlspecialchars” ya que esta función convierte los caracteres especiales que pueden afectar a las etiquetas HTML, como mayor y menor qué, comillas simples y dobles y el carácter &. XSS Cross Site Scripting
XSS Cross Site Scripting Demo - No Persistente XSS Cross Site Scripting
XSS Cross Site Scripting Demo - Persistente XSS Cross Site Scripting
XSRF / CSRF XSRF / CSRF Cross Site Scripting
Fuerza al navegador web autenticado de una víctima a enviar una petición a una aplicación web vulnerable, que ejecuta la acción enviada. Al contrario que los ataques XSS, los cuales explotan la confianza que un usuario tiene en un sitio en particular, el CSRF explota la confianza que un sitio tiene en un usuario en particular. Como contramedida podemos utilizar la generación y codificación de un número aleatorio ( token ) tras el ingreso del usuario en la aplicación, que se almacena en la sesión del usuario. En cada formulario que se le presente al usuario se incluye un campo oculto en el que se escribe este token. A la recepción del formulario en el servidor se comprueba que el token se haya recibido y coincida con el almacenado para el usuario. XSRF / CSRF Cross Site Scripting
XSRF / CSRF Cross Site Scripting Demo XSRF / CSRF
Path Traversal Path Traversal
La finalidad de este ataque es ordenar a la aplicación web acceder a un archivo al que no debería poder hacerlo o no debería ser accesible . Path traversal también es conocido como el ../ ataque punto barra, escalado de directorios y backtracking. Como contramedidas podemos realizar lo siguiente: Cuando se realiza una petición URI por un fichero/directorio, se debe construir el path completo del fichero/directorio y normalizar todos los caracteres (ej, 20% convertido a espacios). Asegurarse de que los primeros caracteres de un directorio correcto es exactamente el mismo que el del documento raíz. Path Traversal
Path Traversal Demo Path Traversal
Null Byte Null Byte
Es una técnica de explotación que se utiliza para eludir filtros de control de sanidad sobre una infraestructura web, mediante la adición de una URL codificada por caracteres nulos como: “%00” . Un byte null representa el punto de terminación de cadena, lo que significa detener el procesamiento de su cadena posterior. Como contramedida podemos utilizar magic_qoutes_gpc para que los caracteres: ‘ , “ , , y los NULL sean automáticamente marcados con una barra invertida. Null Byte
Null Byte Demo Null Byte
OS Commanding OS Commanding
Este tipo de ataque se utiliza para la ejecución no autorizada de comandos del sistema operativo. Muchas veces podemos realizar este ataque ingresando “ ; ” o “ | ” dependiendo del sistema operativo en que éste alojado el servidor web. Como contramedida podemos realizar una combinación de validación de listas blancas (“whitelists”) de toda la información entrante y una apropiada codificación de la información saliente. La validación permite la detección de ataques, y la codificación previene cualquier inyección de secuencia de comandos de ejecutarse exitosamente en el navegador. . OS Commanding
OS Commanding Demo OS Commanding
Local File Inclusion Local File Inclusion
Es utilizada en sitios que permiten el enlace de archivos locales, debido a una mala verificación en la programación de página, que contiene las funciones propias de PHP: include() , include_once() , requiere() , requiere_once() . Solo existe en páginas dinámicas desarrolladas en PHP . Como contramedida podemos recomendar los siguientes items: Filtrar todos los parámetros que un usuario de la página pueda manejar. Asegurarse de que no se pueda acceder a archivos más allá del "Document Root" de la página. Procesamiento correcto del parámetro y de la función que se dedique a recuperar el contenido del fichero que necesitemos. . Local File Inclusion
Local File Inclusion Demo Local File Inclusion
Remote File Inclusion Remote File Inclusion
Es utilizada en sitios que permiten el enlace de archivos remotos, debido a una mala verificación en la programación de página, que contiene las funciones propias de PHP: include() , include_once() , requiere() , requiere_once() . Solo existe en páginas dinámicas desarrolladas en PHP . Como contramedida podemos recomendar los siguientes items: Filtrar todos los parámetros que un usuario de la página pueda manejar. Procesamiento correcto del parámetro y de la función que se dedique a recuperar el contenido del fichero que necesitemos. Si es posible setear la variable de PHP “allow_url_fopen” en off . Remote File Inclusion
Remote File Inclusion Demo Remote File Inclusion
Information Disclosure Information Disclosure
Se presenta básicamente ante un error de configuración del administrador o del usuario, que permite ver mas contenido de lo que se debería ver. Esta información puede ser: Comentarios de los desarrolladores , acceso a la configuración del servidor . Como contramedida podemos utilizar mensajes de error genéricos, en los cuales no se divulgue información interna. Analizar la factibilidad de remover todas las páginas y/o componentes por defecto creados al momento de la instalación del servidor Web. . Information Disclosure
Information Disclosure Demo Information Disclosure
SQL Injection SQL Injection
Es una técnica usada para la inyección de datos en una consulta SQL desde un cliente de la aplicación . El éxito en una inyección SQL puede leer datos sensibles de la base de datos, modificar los datos (insertar/actualizar/borrar), realizar operaciones de administración sobre la base de datos. Cuando la respuesta no esta directamente impresa en el HTML denominamos el ataque como BLIND SQL Injection. Como contramedidas podemos recomendar los siguientes items: Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales. Ocultar mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL. Mantenga al mínimo los privilegios de las cuentas que se usan; Es recomendable utilizar prepared statements para todos los comandos SQL. . SQL Injection
Demo SQL Injection SQL Injection
Blind SQL Injection Demo Blind SQL Injection
File Upload File Upload
Mayormente hoy en día las aplicaciones contiene un file upload, el cual sino cuenta con una validación puede ser utilizado para que una persona mal intencionada suba archivos con secuencias de comandos y con esto tomar control de nuestro servidor. Como principales contramedidas podes tener en cuenta: - Verificación del tamaño del archivo. - Denegar permiso de ejecución en el directorio donde se suben los archivos. - Verificar MIME-TYPE. - Verificar la extension del archivo. . File Upload
Demo File Upload File Upload
http://www.owasp.org http://www.clubdelprogramador.com.ar http://proyects.webappsec.org http://www.google.com.ar - Referencias -
Preguntas? - Final - @artsweb

Recomendados

Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Caracteristicas quitadas o desusadas en Windows Server 2012 R2
Caracteristicas quitadas o desusadas en Windows Server 2012 R2Caracteristicas quitadas o desusadas en Windows Server 2012 R2
Caracteristicas quitadas o desusadas en Windows Server 2012 R2RaGaZoMe
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios webesmartcrimt
 
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]Dulce trejo
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Servicios Web Rest con Spring MVC
Servicios Web Rest con Spring MVCServicios Web Rest con Spring MVC
Servicios Web Rest con Spring MVCVortexbird
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
Montar un servidor web win7
Montar un servidor web win7Montar un servidor web win7
Montar un servidor web win7New York
 

Recomendados

Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Caracteristicas quitadas o desusadas en Windows Server 2012 R2
Caracteristicas quitadas o desusadas en Windows Server 2012 R2Caracteristicas quitadas o desusadas en Windows Server 2012 R2
Caracteristicas quitadas o desusadas en Windows Server 2012 R2RaGaZoMe
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios webesmartcrimt
 
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]Dulce trejo
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Servicios Web Rest con Spring MVC
Servicios Web Rest con Spring MVCServicios Web Rest con Spring MVC
Servicios Web Rest con Spring MVCVortexbird
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
Montar un servidor web win7
Montar un servidor web win7Montar un servidor web win7
Montar un servidor web win7New York
 
Tutorial - REST con java (JAX-RS 2.0)
Tutorial - REST con java (JAX-RS 2.0)Tutorial - REST con java (JAX-RS 2.0)
Tutorial - REST con java (JAX-RS 2.0)Abimael Desales López
 
10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web Remoto10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web RemotoJosé M. Padilla
 
UDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframesUDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframesAnder Martinez
 
Administrando Jboss
Administrando JbossAdministrando Jboss
Administrando JbossJavier Turégano Molina
 
Glassfish
GlassfishGlassfish
Glassfishabbadon1989
 
Web services restful con JAX-RS
Web services restful con JAX-RSWeb services restful con JAX-RS
Web services restful con JAX-RSVortexbird
 
Servicios Rest con Jersey
Servicios Rest con Jersey Servicios Rest con Jersey
Servicios Rest con Jersey Vortexbird
 
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 César Pajares
 
Manual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en EclipseManual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en EclipseStalin Eduardo Tusa Vitar
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadSpacetoshare
 
Introducción a JBoss
Introducción a JBossIntroducción a JBoss
Introducción a JBossIker Canarias
 
Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish Johana201225
 
php
phpphp
phpnfjs001
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completoAndrés Amaya
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Linux tools para_atacar y defender
Linux tools para_atacar y defenderLinux tools para_atacar y defender
Linux tools para_atacar y defenderJuan Oliva
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!SEINHE
 
Deep Inside Android Hacks
Deep Inside Android HacksDeep Inside Android Hacks
Deep Inside Android HacksKeishin Yokomaku
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suitejasonhaddix
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 
Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8tantascosasquenose
 

Más contenido relacionado

La actualidad más candente

10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web Remoto10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web RemotoJosé M. Padilla
 
UDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframesUDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframesAnder Martinez
 
Web services restful con JAX-RS
Web services restful con JAX-RSWeb services restful con JAX-RS
Web services restful con JAX-RSVortexbird
 
Servicios Rest con Jersey
Servicios Rest con Jersey Servicios Rest con Jersey
Servicios Rest con Jersey Vortexbird
 
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 César Pajares
 
Manual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en EclipseManual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en EclipseStalin Eduardo Tusa Vitar
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadSpacetoshare
 
Introducción a JBoss
Introducción a JBossIntroducción a JBoss
Introducción a JBossIker Canarias
 
Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish Johana201225
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completoAndrés Amaya
 

La actualidad más candente (14)

Tutorial - REST con java (JAX-RS 2.0)
Tutorial - REST con java (JAX-RS 2.0)Tutorial - REST con java (JAX-RS 2.0)
Tutorial - REST con java (JAX-RS 2.0)
 
10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web Remoto10 Joomla. Manipulacion Del Servidor Web Remoto
10 Joomla. Manipulacion Del Servidor Web Remoto
 
UDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframesUDA-Anexo emulación xhr-iframes
UDA-Anexo emulación xhr-iframes
 
Administrando Jboss
Administrando JbossAdministrando Jboss
Administrando Jboss
 
Glassfish
GlassfishGlassfish
Glassfish
 
Web services restful con JAX-RS
Web services restful con JAX-RSWeb services restful con JAX-RS
Web services restful con JAX-RS
 
Servicios Rest con Jersey
Servicios Rest con Jersey Servicios Rest con Jersey
Servicios Rest con Jersey
 
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
 
Manual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en EclipseManual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en Eclipse
 
PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - Seguridad
 
Introducción a JBoss
Introducción a JBossIntroducción a JBoss
Introducción a JBoss
 
Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish Manual de instación servidor de aplicaciones glassfish
Manual de instación servidor de aplicaciones glassfish
 
php
phpphp
php
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
 

Destacado

CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Linux tools para_atacar y defender
Linux tools para_atacar y defenderLinux tools para_atacar y defender
Linux tools para_atacar y defenderJuan Oliva
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!SEINHE
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suitejasonhaddix
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 
Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8tantascosasquenose
 

Destacado (8)

CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Linux tools para_atacar y defender
Linux tools para_atacar y defenderLinux tools para_atacar y defender
Linux tools para_atacar y defender
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
 
Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!Hacking the web for fun and profit ¡Y sin ir a la cárcel!
Hacking the web for fun and profit ¡Y sin ir a la cárcel!
 
Deep Inside Android Hacks
Deep Inside Android HacksDeep Inside Android Hacks
Deep Inside Android Hacks
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suite
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 
Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8Curso basicoseguridadweb slideshare8
Curso basicoseguridadweb slideshare8
 

Similar a Web App Seguridad Presentación

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Softwarelechosopowers
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kuchaTerrafx9
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHEHéctor López
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebEduardo Jalon
 
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)betabeers
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apacheERWIN AGUILAR
 

Similar a Web App Seguridad Presentación (20)

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kucha
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)
Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apache
 

Último

RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativafiorelachuctaya2
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfCarol Andrea Eraso Guerrero
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfsamyarrocha1
 

Último (20)

RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativa
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
 

Web App Seguridad Presentación

  • 2.
  • 3. HTTP/1.0 definido en RFC 1945 Posee 2 métodos de mensajes: HTTP request [browser -> server] HTTP response [server -> cliente] Métodos: GET , HEAD , POST . No se mantiene el estado en HTTP . Una conexión TCP para cada HTTP request. HTTP/1.1 definido en RFC 2616 Métodos: GET , HEAD , POST , OPTIONS , PUT , DELETE , TRACE , CONNECT . Encabezado “Host”: indica el nombre del servidor al cual se le realiza el pedido, permite que se utilicen hosts virtuales. No se mantiene el estado en HTTP . Conexiones TCP persistentes por defecto. Características del Protocolo HTTP
  • 4. Planteamos una arquitectura web con los siguientes elementos: Clientes Firewall Cache / Load Balancer Servidor Web Servidor de base de datos Arquitectura Web
  • 5. En el cuadro que exponemos veremos los principales ataques sobre Aplicaciones Web. Seguridad en Aplicaciones Web
  • 6. XSS Cross Site Scripting XSS Cross Site Scripting
  • 7. Es un agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación HTML. Debemos saber que existe 2 tipos de métodos de un ataque XSS: No persistente Persistente Mediante este agujero de seguridad, podemos obtener del usuario : Predicción de ID de sesión. Robo de Cookies. Ejecución de código malicioso Como contramedida podemos utilizar “htmlspecialchars” ya que esta función convierte los caracteres especiales que pueden afectar a las etiquetas HTML, como mayor y menor qué, comillas simples y dobles y el carácter &. XSS Cross Site Scripting
  • 8. XSS Cross Site Scripting Demo - No Persistente XSS Cross Site Scripting
  • 9. XSS Cross Site Scripting Demo - Persistente XSS Cross Site Scripting
  • 10. XSRF / CSRF XSRF / CSRF Cross Site Scripting
  • 11. Fuerza al navegador web autenticado de una víctima a enviar una petición a una aplicación web vulnerable, que ejecuta la acción enviada. Al contrario que los ataques XSS, los cuales explotan la confianza que un usuario tiene en un sitio en particular, el CSRF explota la confianza que un sitio tiene en un usuario en particular. Como contramedida podemos utilizar la generación y codificación de un número aleatorio ( token ) tras el ingreso del usuario en la aplicación, que se almacena en la sesión del usuario. En cada formulario que se le presente al usuario se incluye un campo oculto en el que se escribe este token. A la recepción del formulario en el servidor se comprueba que el token se haya recibido y coincida con el almacenado para el usuario. XSRF / CSRF Cross Site Scripting
  • 12. XSRF / CSRF Cross Site Scripting Demo XSRF / CSRF
  • 13. Path Traversal Path Traversal
  • 14. La finalidad de este ataque es ordenar a la aplicación web acceder a un archivo al que no debería poder hacerlo o no debería ser accesible . Path traversal también es conocido como el ../ ataque punto barra, escalado de directorios y backtracking. Como contramedidas podemos realizar lo siguiente: Cuando se realiza una petición URI por un fichero/directorio, se debe construir el path completo del fichero/directorio y normalizar todos los caracteres (ej, 20% convertido a espacios). Asegurarse de que los primeros caracteres de un directorio correcto es exactamente el mismo que el del documento raíz. Path Traversal
  • 15. Path Traversal Demo Path Traversal
  • 17. Es una técnica de explotación que se utiliza para eludir filtros de control de sanidad sobre una infraestructura web, mediante la adición de una URL codificada por caracteres nulos como: “%00” . Un byte null representa el punto de terminación de cadena, lo que significa detener el procesamiento de su cadena posterior. Como contramedida podemos utilizar magic_qoutes_gpc para que los caracteres: ‘ , “ , , y los NULL sean automáticamente marcados con una barra invertida. Null Byte
  • 18. Null Byte Demo Null Byte
  • 19. OS Commanding OS Commanding
  • 20. Este tipo de ataque se utiliza para la ejecución no autorizada de comandos del sistema operativo. Muchas veces podemos realizar este ataque ingresando “ ; ” o “ | ” dependiendo del sistema operativo en que éste alojado el servidor web. Como contramedida podemos realizar una combinación de validación de listas blancas (“whitelists”) de toda la información entrante y una apropiada codificación de la información saliente. La validación permite la detección de ataques, y la codificación previene cualquier inyección de secuencia de comandos de ejecutarse exitosamente en el navegador. . OS Commanding
  • 21. OS Commanding Demo OS Commanding
  • 22. Local File Inclusion Local File Inclusion
  • 23. Es utilizada en sitios que permiten el enlace de archivos locales, debido a una mala verificación en la programación de página, que contiene las funciones propias de PHP: include() , include_once() , requiere() , requiere_once() . Solo existe en páginas dinámicas desarrolladas en PHP . Como contramedida podemos recomendar los siguientes items: Filtrar todos los parámetros que un usuario de la página pueda manejar. Asegurarse de que no se pueda acceder a archivos más allá del "Document Root" de la página. Procesamiento correcto del parámetro y de la función que se dedique a recuperar el contenido del fichero que necesitemos. . Local File Inclusion
  • 24. Local File Inclusion Demo Local File Inclusion
  • 25. Remote File Inclusion Remote File Inclusion
  • 26. Es utilizada en sitios que permiten el enlace de archivos remotos, debido a una mala verificación en la programación de página, que contiene las funciones propias de PHP: include() , include_once() , requiere() , requiere_once() . Solo existe en páginas dinámicas desarrolladas en PHP . Como contramedida podemos recomendar los siguientes items: Filtrar todos los parámetros que un usuario de la página pueda manejar. Procesamiento correcto del parámetro y de la función que se dedique a recuperar el contenido del fichero que necesitemos. Si es posible setear la variable de PHP “allow_url_fopen” en off . Remote File Inclusion
  • 27. Remote File Inclusion Demo Remote File Inclusion
  • 29. Se presenta básicamente ante un error de configuración del administrador o del usuario, que permite ver mas contenido de lo que se debería ver. Esta información puede ser: Comentarios de los desarrolladores , acceso a la configuración del servidor . Como contramedida podemos utilizar mensajes de error genéricos, en los cuales no se divulgue información interna. Analizar la factibilidad de remover todas las páginas y/o componentes por defecto creados al momento de la instalación del servidor Web. . Information Disclosure
  • 30. Information Disclosure Demo Information Disclosure
  • 31. SQL Injection SQL Injection
  • 32. Es una técnica usada para la inyección de datos en una consulta SQL desde un cliente de la aplicación . El éxito en una inyección SQL puede leer datos sensibles de la base de datos, modificar los datos (insertar/actualizar/borrar), realizar operaciones de administración sobre la base de datos. Cuando la respuesta no esta directamente impresa en el HTML denominamos el ataque como BLIND SQL Injection. Como contramedidas podemos recomendar los siguientes items: Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales. Ocultar mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL. Mantenga al mínimo los privilegios de las cuentas que se usan; Es recomendable utilizar prepared statements para todos los comandos SQL. . SQL Injection
  • 33. Demo SQL Injection SQL Injection
  • 34. Blind SQL Injection Demo Blind SQL Injection
  • 36. Mayormente hoy en día las aplicaciones contiene un file upload, el cual sino cuenta con una validación puede ser utilizado para que una persona mal intencionada suba archivos con secuencias de comandos y con esto tomar control de nuestro servidor. Como principales contramedidas podes tener en cuenta: - Verificación del tamaño del archivo. - Denegar permiso de ejecución en el directorio donde se suben los archivos. - Verificar MIME-TYPE. - Verificar la extension del archivo. . File Upload
  • 37. Demo File Upload File Upload
  • 39. Preguntas? - Final - @artsweb