La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi

Publicada porMaría Isabel Toro Quintero Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi"— Transcripción de la presentación:

1 Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi (smarconi@siu.edu.ar)smarconi@siu.edu.ar

2 Seguridad

3 Análisis vulnerabilidades sistemas web que ejecutan sobre SIU-Toba Basado en recomendaciones OWASP (proyecto abierto de seguridad en aplicaciones Web) http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Tomadas experiencias guarani3w

4 Vulnerabilidades Críticas Encontradas Durante el DesarrolloEn Producción SQL Injection Compromete información de la base Topología servidores Vulnerabilidades en disposición servidor web y postgres XSS Injection Compromete información del cliente Conexiones inseguras Compromete información de login Manejo de uploads y descargas Compromete sistema de archivos del servidor Configuraciones modo debug Mostrar errores sensibles, navegación lugares privados, indices públicos, etc. Usuario único de conexión a postgres Permite escalar a otros niveles de usuario Clasificadas según el momento de inserción

5 Acciones Correctivas VulnerabilidadAcción SQL Injection Sanear Núcleo Toba ☑ Brindar nuevas primitiva ☑ Sanear Proyectos XSS Injection Manejo de uploads y descargas Sanear Proyectos Usuario único de conexión a postgres Versión 1.5 Toba e Instalador Configuraciones modo debug Controles durante instalación ☑ Conexiones inseguras y topología servidores?

6 Toba

7 Toba: Versión 1.3 (marzo) Mejoras de seguridad: –SQL Injection en el Núcleo –XSS en cuadros y formularios –Chequeo de selección en cuadros –Limite tiempo sesiones por defecto Herramienta de chequeo de convenciones en código Nuevos componentes visuales Soporte para instalador gráfico Solución a bugs y mejoras menores Más detalles en http://desarrollos.siu.edu.ar/trac/toba/wiki/Versiones/1.3.0http://desarrollos.siu.edu.ar/trac/toba/wiki/Versiones/1.3.0

8 Toba: Futuro Versión 1.4 (Julio) Control concurrencia en transacciones (lock optimista) Cerrar versión estable solucionando muchos detalles en API y Edición Versión 1.5 (Diciembre) Soporte personalizaciones Mejoras a esquema de Perfiles Funcionales

9 Instalador Gráfico

10 Instalador gráfico

11 Puente entre Desarrollo (incl. personalización) y Producción Asegura ciertas premisas de seguridad y performance Permite prescindir de un instructivo. Asume la presencia de la pila Apache/Php/Postgres. Soporte via Foro SIU Utilizado en Mapuche y próxima versión tehuelche (2.4.0)

12 Gracias! Foro SIU http://infotec.siu.edu.ar http://infotec.siu.edu.ar Lista de Usuarios Toba toba.usuarios@siu.edu.ar toba.usuarios@siu.edu.ar Roadmap próximas versiones http://desarrollos.siu.edu.ar/trac/toba/roadmap http://desarrollos.siu.edu.ar/trac/toba/roadmap

Descargar ppt "Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi"

Presentaciones similares

Curso de PHP Tema 5: Sesiones.

Curso de PHP Tema 5: Sesiones.
GFI LANguard Network Security Scanner Version 8 .0 !

GFI LANguard Network Security Scanner Version 8 .0 !
Jorge Oblitas joblitas@microsoft.com Application Verifier Jorge Oblitas joblitas@microsoft.com.

Jorge Oblitas Application Verifier Jorge Oblitas
Unidad 2 IDE Visual Studio.Net [UTN - Tecnologías de desarrollo de software IDE] [2009]

Unidad 2 IDE Visual Studio.Net [UTN - Tecnologías de desarrollo de software IDE] [2009]
Implementación de aplicaciones. Descripción Introducción a la implementación Implementar una aplicación basada en Windows Utilizar Visual Studio.NET Acceso.

Implementación de aplicaciones. Descripción Introducción a la implementación Implementar una aplicación basada en Windows Utilizar Visual Studio.NET Acceso.
Noveno Semestre UNIDEC

Noveno Semestre UNIDEC
Presentación de la Plataforma de Gestión de la Excelencia

Presentación de la Plataforma de Gestión de la Excelencia
PORTAL WEB Manual de Usuario Perfil Autorizador

PORTAL WEB Manual de Usuario Perfil Autorizador
“SISTEMA DE PASANTÍAS PARA LA FACULTAD DE INGENIERÍA

“SISTEMA DE PASANTÍAS PARA LA FACULTAD DE INGENIERÍA
María Salomé Dávila Silva Julio 2013

María Salomé Dávila Silva Julio 2013
Proyecto de Ingeniería de Software 2010 Producto

Proyecto de Ingeniería de Software 2010 Producto
Framework Hexápodo PHP fácil, rápido y sin dolor

Framework Hexápodo PHP fácil, rápido y sin dolor
Introducción a ASP.NET.

Introducción a ASP.NET.
Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando

Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando
Nomiplus T&A . NET Sistema Integral de Control de Asistencias altamente configurable para el Control de Personal, permitiendo la Administración del.

Nomiplus T&A . NET Sistema Integral de Control de Asistencias altamente configurable para el Control de Personal, permitiendo la Administración del.
Medcom - Sigest Sistema de medida fiscal. Sistema Medcom-Sigest 1. Medcom - Aplicación de comunicaciones universal, que sirve para extraer y almacenar.

Medcom - Sigest Sistema de medida fiscal. Sistema Medcom-Sigest 1. Medcom - Aplicación de comunicaciones universal, que sirve para extraer y almacenar.
Guía básica para el uso del mapa digital de Suelos de Costa Rica DAngelo Sandoval Chacón Laboratorio de Recursos Naturales Centro de Investigaciones Agronómicas.

Guía básica para el uso del mapa digital de Suelos de Costa Rica DAngelo Sandoval Chacón Laboratorio de Recursos Naturales Centro de Investigaciones Agronómicas.
1er. Comité de Usuarios. Historia ¿Qué hay de nuevo? 0.9.0 No más cygwin. Exportación granular: trabajo distribuído. Compilación de metadatos. Manejo.

1er. Comité de Usuarios. Historia ¿Qué hay de nuevo? No más cygwin. Exportación granular: trabajo distribuído. Compilación de metadatos. Manejo.
Lineamientos de Pruebas Integrales del GRP Financiero

Lineamientos de Pruebas Integrales del GRP Financiero
Escritorio Remoto de Windows 2003 Server 3. C liente Conectar Utilizar programa remoto Sesión y ventanas Rendimiento Recursos compartidos Programa de inicio.

Escritorio Remoto de Windows 2003 Server 3. C liente Conectar Utilizar programa remoto Sesión y ventanas Rendimiento Recursos compartidos Programa de inicio.

Presentaciones similares

Anuncios Google