La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

Publicada porConsuela Milanes Modificado hace 9 años

Presentaciones similares

Presentación del tema: "The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes."— Transcripción de la presentación:

1 The OWASP Foundation http://www.owasp.org OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes Francisco.Aldrete@owasp.org

2 2 ¿Que es la Guía de Desarrollo Seguro? Aplicaciones web y servicios web, orientado a J2EE, ASP.NET, PHP. Desde scripting de sitios cruzados (XSS) e inyección de SQL hasta suplantación de identidad, manipulación de tarjetas de crédito Blanco y negro en seguridad?

3 Temas 3 Interprete De Inyección Modelado De Riesgo De Amenaza Manejando Pagos En El Comercio Electrónico Phishing Servicios Web Autenticación Autorización Manejo De Sesiones Canonicalización, Locales Y Unicode Manejo De Errores, Auditoria Y Generación De Logs Sistema De Archivos Desbordamientos De Memoria Interfaces Administrativas Cifrado Configuración Mantenimiento Ataques De Denegación De Servicio

4 Interprete de Inyección Objetivo Garantizar que las aplicaciones sean seguras de ataques de manipulación de parámetros contra intérpretes comunes. Plataformas afectadas Todas

5 XSS Basados en DOM La Inyección del tipo “Cross-Site Scripting” basada en DOM permite a un atacante utilizar el Modelo de Objetos de Datos (DOM por sus siglas en inglés) para introducir código malicioso del lado del cliente en el JavaScript que se encuentra actualmente incorporado en bastantes páginas.

6 Aplicación con vulnerabilidad XSS Reflejado 3 2 Atacante establece una trampa – actualizar perfil Atacante ingresa un script malicioso en una pagina Web que almacena los datos en el servidor 1 Victima visualiza la pagina – accede al perfil Script silenciosamente envía la sesión de la victima al atacante Script se ejecuta en el navegador de la victima Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Ejemplo

7 Protegiéndose Contra Ataques Reflejados Elimina caracteres sospechosos, preferentemente por medio de estrategias de validación tipo lista blanca. En ASP.NET, se debe añadir la siguiente línea al archivo web.config: en el área.

8 Protegiéndose Contra Ataques Almacenados ASP.NET: modifique el archivo web.config - asigne “true” al parámetro validateRequest y utilice HTTPUtility.HTMLEncode() para las variables en el cuerpo del código. PHP: utilice htmlentities(), htmlspecialchars(), para mostrar HTML y urlencode() para argumentos recibidos por el método GET. JSP: “Struts”, por ejemplo y similares: Bueno: "/> Malo: out.println(' “ />');

9 Inyección de SQL La inyección de instrucciones SQL se puede dar en cualquier forma de acceso a la base de datos. Sin embargo, algunos tipos de inyección de SQL son más difíciles de detectar que otros: · Procedimientos almacenados que utilizan parámetros, particularmente aquellos que tienen el tipo bien definido · = declaración preparada · = mapeo objeto-relacional (ORM por sus siglas en ingles) · Consultas dinámicas

10 Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Code APPLICATION ATTACK Capa de Red Capa de Aplicación Accounts Finance AdministrationTransactions Communication Knowledge Mgmt E-Commerce Bus. Functions Pedido HTTP  Consulta SQL  Tabla BD   Respuesta HTTP   "SELECT * FROM accounts WHERE acct=‘’ OR 1=1-- ’" 1. Aplicación presenta un formulario Web al atacante 2. Atacante envía un ataque en los datos del formulario 3. Aplicación dirige el ataque a la base de datos en una consulta SQL Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Base de datos ejecuta el ataque y envía los resultados cifrados nuevamente a la aplicación 5. Aplicación descifra los datos normalmente y envía los resultados al atacante Account: SKU: Account: SKU: Ejemplo

11 Consideraciones · Todas las sentencias SQL deben asegurarse de que cuando un usuario afecte información, esta información sea seleccionada o actualizada basándose en el registro del usuario. · En el código que haga llamadas a cualquier capa de persistencia, agregar caracteres de escape para evitar inyecciones de SQL en esas capas. · Contar con al menos una prueba automatizada que intente llevar a cabo inyecciones de SQL.

12 12 Referencias Guía de desarrollo seguro http://www.owasp.org/index.php/Category:OWASP_Guide_Project OWASP http://www.owasp.org/ OWASP Aguascalientes http://www.owasp.org/index.php/Aguascalientes_Mexico

13 ¿Preguntas?

14 ¡Gracias! Francisco Aldrete Francisco.Aldrete@owasp.org

Descargar ppt "The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes."

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Curso de PHP Tema 5: Sesiones.

Curso de PHP Tema 5: Sesiones.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Internet y tecnologías web

Internet y tecnologías web
CUPS Configuración y Uso de Paquetes de Software

CUPS Configuración y Uso de Paquetes de Software
Algunos tips en Seguridad ASP.NET 2.0

Algunos tips en Seguridad ASP.NET 2.0
Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.

Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
integridad referencial

integridad referencial
Delitos Informáticos.

Delitos Informáticos.
Servidores Web Capítulo 2.

Servidores Web Capítulo 2.
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
OWASP Top 10 – 2010 Los Diez Riesgos más importantes en Aplicaciones Web Miguel Guirao Linux+, GCIH, ITIL OWASP México mguirao@gusly.org.

OWASP Top 10 – 2010 Los Diez Riesgos más importantes en Aplicaciones Web Miguel Guirao Linux+, GCIH, ITIL OWASP México
Errores comunes al desarrollar websites

Errores comunes al desarrollar websites
OWASP TOP 10 Los diez riesgos más importantes en aplicaciones web

OWASP TOP 10 Los diez riesgos más importantes en aplicaciones web
COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:23 PRESENTACION: BASE DE DATOS ALUMNAS: Velazquez Corona Elsa Ponciano Antonio.

COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:23 PRESENTACION: BASE DE DATOS ALUMNAS: Velazquez Corona Elsa Ponciano Antonio.
Especialista en Business Intelligence Integration Services SSIS (Sesión 7) Microsoft SQL Server 2008 R2 (2013) Suscribase a http://addkw.com/ o escríbanos.

Especialista en Business Intelligence Integration Services SSIS (Sesión 7) Microsoft SQL Server 2008 R2 (2013) Suscribase a o escríbanos.
SQL Server Integration Services SSIS

SQL Server Integration Services SSIS

Presentaciones similares

Anuncios Google