SlideShare una empresa de Scribd logo

01 - Sesión 09 - Fallos de Seguridad.pptx

Descargar como PPTX, PDF
S
ssusercb51cd

Seguridad

Ingeniería
1 de 10
Programación Segura Tema 09: Reconocimiento de Fallos de Seguridad Facultad de Ingeniería y Arquitectura Escuela Profesional de Ingeniería de Sistemas
Contenido. 1. Vulnerabilidades en aplicaciones WEB. 2. Matriz de riesgos.
1. Vulnerabilidades en aplicaciones WEB. Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa. Las vulnerabilidades pueden ser debidas tanto a fallos de diseños, errores en la configuración o a procedimientos no robustos. Las vulnerabilidades más peligrosas son las que permiten a un atacante ejecutar código dañino en el sistema comprometido. una amenaza es cualquier acción que explota una vulnerabilidad informática para comprometer un sistema de información. Una amenaza puede ser tanto interna como externa y concretarse en un ciberataque, un malware (como el ransomware WannaCry), en un desastre físico o en negligencias en la gestión.
Fallas de inyección: Cuando hablamos de ataques de inyección SQL nos hacemos referencia a un método que se aprovecha de errores que existen en aplicaciones web. Son básicamente vulnerabilidades que permiten a un posible intruso inyectar código malicioso para llevar a cabo sus ataques y comprometer la seguridad y privacidad de los usuarios. Un ataque de inyección SQL podría estar orientado en comprometer páginas web o bases de datos. Un pirata informático podría manipular, robar o eliminar información y datos que hay en esas web comprometidas o bases de datos. 1. Vulnerabilidades en aplicaciones WEB https://repository.unad.edu.co/bitstream/handle/10596/31471/nschalabej.pdf?sequence=1&isAllowed=y
Autenticación rota: La autenticación rota es cuando usted (Aplicación web) permite que sus usuarios ingresen a su sitio web creando una nueva cuenta y manejándola por razones específicas. En la autenticación rota, cada vez que un usuario inicia sesión en su cuenta, se crea una identificación de sesión, y esa identificación de sesión solo se permite para esa cuenta en particular. Ahora bien, si la aplicación web está diseñada de forma segura en términos de autenticación, entonces está muy bien, pero en caso de que no lo esté, el atacante puede usar varias técnicas dadas. 1. Vulnerabilidades en aplicaciones WEB Relleno de credenciales: en Relleno de credenciales, un atacante tiene una lista estándar de contraseñas y nombres de usuario predeterminados. Con esta lista, pueden aplicar la fuerza bruta a las cuentas y pueden iniciar sesión en cuentas legítimas. Apenas se recomienda que los usuarios cambien sus nombres de usuario y contraseñas predeterminados para protegerse de tales ataques. Contraseñas sin cifrar: el cambio de contraseñas de texto sin cifrar en palabras codificadas a través de las cuales se puede engañar a un atacante se denomina cifrado de contraseñas. Lo que hace un atacante es que un atacante puede interceptar la solicitud del usuario ya que ambos están en la misma red. Al usar la solicitud interceptada, pueden ver claramente el envío de texto sin cifrar de las contraseñas que los usuarios envían en el sitio web. Al utilizar esta técnica, el usuario puede perder la autorización y la confidencialidad de su cuenta. Tiempos de espera de sesión mal configurados: el escenario en el que un usuario había cerrado la sesión de la cuenta y un atacante tiene la cookie de ese usuario. Con la cookie, un atacante aún puede tener acceso a esa cuenta. https://es.acervolima.com/vulnerabilidad-de-autenticacion-rota/
Secuencias de comandos entre sitios: Cross Site Scripting (XSS) es el proceso de adición de código malicioso a un sitio web genuino para recopilar información del usuario con una intención maliciosa. Los ataques XSS son posibles a través de vulnerabilidades de seguridad que se encuentran en las aplicaciones web y comúnmente se explotan mediante la inyección de un script en el lado del cliente. Aunque normalmente se emplea JavaScript, algunos atacantes también utilizan VBScript, ActiveX o Flash. 1. Vulnerabilidades en aplicaciones WEB https://pressroom.hostalia.com/contents/ui/theme/images/cross-site-scripting-wp-hostalia.pdf
Configuración incorrecta: La arquitectura de una aplicación web se sustenta sobre una gran cantidad de elementos, los cuales presentan diversas opciones de configuración. Servidores, frameworks, sistemas gestores de datos, CMS, plugins, APIs… Todos estos elementos pueden formar parte de la arquitectura que soporta a la aplicación. Y dar lugar a vulnerabilidades de seguridad si cuentan con una configuración incorrecta, o con una configuración por defecto que no cumple con los estándares de seguridad adecuados.. 1. Vulnerabilidades en aplicaciones WEB
Exposición de datos confidenciales: Toda datos o información debe enviarse de forma cifrada. 1. Vulnerabilidades en aplicaciones WEB
2. Análisis de riesgos. PROBABILIDAD DE OCURRENCIA IMPACTO ANÁLISIS DE RIESGOS
01 - Sesión 09 - Fallos de Seguridad.pptx

Recomendados

Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad web
Seguridad webSeguridad web
Seguridad webCarlos Javier Majerhua
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 

Recomendados

Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad web
Seguridad webSeguridad web
Seguridad webCarlos Javier Majerhua
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Francisco José Cruz Jiménez
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Módulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESETMódulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESETJesús Daniel Mayo
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivarGrupo Educativo Cepea
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadJorge García
 
Seguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webSeguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webLuis Fernando
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadANDECE
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 

Más contenido relacionado

Similar a 01 - Sesión 09 - Fallos de Seguridad.pptx

Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Módulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESETMódulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESETJesús Daniel Mayo
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadJorge García
 
Seguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webSeguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webLuis Fernando
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 

Similar a 01 - Sesión 09 - Fallos de Seguridad.pptx (20)

Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Módulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESETMódulo 06 - Uso Seguro de Medios Informáticos - ESET
Módulo 06 - Uso Seguro de Medios Informáticos - ESET
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
Seguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webSeguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques web
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
 

Último

SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadANDECE
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones025ca20
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfAnonymous0pBRsQXfnx
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCANDECE
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfssuserc34f44
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023ANDECE
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaANDECE
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfIsbelRodrguez
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfReneBellido1
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilDissneredwinPaivahua
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfFlorenciopeaortiz
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfJessLeonelVargasJimn
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfPPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfZamiertCruzSuyo
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxEtse9
 
Linealización de sistemas no lineales.pdf
Linealización de sistemas no lineales.pdfLinealización de sistemas no lineales.pdf
Linealización de sistemas no lineales.pdfrolandolazartep
 
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxLuisvila35
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasSegundo Silva Maguiña
 

Último (20)

SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidad
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdf
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRC
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes Granada
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdf
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civil
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdf
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdf
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfPPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptx
 
Linealización de sistemas no lineales.pdf
Linealización de sistemas no lineales.pdfLinealización de sistemas no lineales.pdf
Linealización de sistemas no lineales.pdf
 
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para Plataformas
 

01 - Sesión 09 - Fallos de Seguridad.pptx

  • 1. Programación Segura Tema 09: Reconocimiento de Fallos de Seguridad Facultad de Ingeniería y Arquitectura Escuela Profesional de Ingeniería de Sistemas
  • 2. Contenido. 1. Vulnerabilidades en aplicaciones WEB. 2. Matriz de riesgos.
  • 3. 1. Vulnerabilidades en aplicaciones WEB. Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa. Las vulnerabilidades pueden ser debidas tanto a fallos de diseños, errores en la configuración o a procedimientos no robustos. Las vulnerabilidades más peligrosas son las que permiten a un atacante ejecutar código dañino en el sistema comprometido. una amenaza es cualquier acción que explota una vulnerabilidad informática para comprometer un sistema de información. Una amenaza puede ser tanto interna como externa y concretarse en un ciberataque, un malware (como el ransomware WannaCry), en un desastre físico o en negligencias en la gestión.
  • 4. Fallas de inyección: Cuando hablamos de ataques de inyección SQL nos hacemos referencia a un método que se aprovecha de errores que existen en aplicaciones web. Son básicamente vulnerabilidades que permiten a un posible intruso inyectar código malicioso para llevar a cabo sus ataques y comprometer la seguridad y privacidad de los usuarios. Un ataque de inyección SQL podría estar orientado en comprometer páginas web o bases de datos. Un pirata informático podría manipular, robar o eliminar información y datos que hay en esas web comprometidas o bases de datos. 1. Vulnerabilidades en aplicaciones WEB https://repository.unad.edu.co/bitstream/handle/10596/31471/nschalabej.pdf?sequence=1&isAllowed=y
  • 5. Autenticación rota: La autenticación rota es cuando usted (Aplicación web) permite que sus usuarios ingresen a su sitio web creando una nueva cuenta y manejándola por razones específicas. En la autenticación rota, cada vez que un usuario inicia sesión en su cuenta, se crea una identificación de sesión, y esa identificación de sesión solo se permite para esa cuenta en particular. Ahora bien, si la aplicación web está diseñada de forma segura en términos de autenticación, entonces está muy bien, pero en caso de que no lo esté, el atacante puede usar varias técnicas dadas. 1. Vulnerabilidades en aplicaciones WEB Relleno de credenciales: en Relleno de credenciales, un atacante tiene una lista estándar de contraseñas y nombres de usuario predeterminados. Con esta lista, pueden aplicar la fuerza bruta a las cuentas y pueden iniciar sesión en cuentas legítimas. Apenas se recomienda que los usuarios cambien sus nombres de usuario y contraseñas predeterminados para protegerse de tales ataques. Contraseñas sin cifrar: el cambio de contraseñas de texto sin cifrar en palabras codificadas a través de las cuales se puede engañar a un atacante se denomina cifrado de contraseñas. Lo que hace un atacante es que un atacante puede interceptar la solicitud del usuario ya que ambos están en la misma red. Al usar la solicitud interceptada, pueden ver claramente el envío de texto sin cifrar de las contraseñas que los usuarios envían en el sitio web. Al utilizar esta técnica, el usuario puede perder la autorización y la confidencialidad de su cuenta. Tiempos de espera de sesión mal configurados: el escenario en el que un usuario había cerrado la sesión de la cuenta y un atacante tiene la cookie de ese usuario. Con la cookie, un atacante aún puede tener acceso a esa cuenta. https://es.acervolima.com/vulnerabilidad-de-autenticacion-rota/
  • 6. Secuencias de comandos entre sitios: Cross Site Scripting (XSS) es el proceso de adición de código malicioso a un sitio web genuino para recopilar información del usuario con una intención maliciosa. Los ataques XSS son posibles a través de vulnerabilidades de seguridad que se encuentran en las aplicaciones web y comúnmente se explotan mediante la inyección de un script en el lado del cliente. Aunque normalmente se emplea JavaScript, algunos atacantes también utilizan VBScript, ActiveX o Flash. 1. Vulnerabilidades en aplicaciones WEB https://pressroom.hostalia.com/contents/ui/theme/images/cross-site-scripting-wp-hostalia.pdf
  • 7. Configuración incorrecta: La arquitectura de una aplicación web se sustenta sobre una gran cantidad de elementos, los cuales presentan diversas opciones de configuración. Servidores, frameworks, sistemas gestores de datos, CMS, plugins, APIs… Todos estos elementos pueden formar parte de la arquitectura que soporta a la aplicación. Y dar lugar a vulnerabilidades de seguridad si cuentan con una configuración incorrecta, o con una configuración por defecto que no cumple con los estándares de seguridad adecuados.. 1. Vulnerabilidades en aplicaciones WEB
  • 8. Exposición de datos confidenciales: Toda datos o información debe enviarse de forma cifrada. 1. Vulnerabilidades en aplicaciones WEB
  • 9. 2. Análisis de riesgos. PROBABILIDAD DE OCURRENCIA IMPACTO ANÁLISIS DE RIESGOS