Algunos tips en Seguridad ASP.NET 2.0

Slides:



Advertisements
Presentaciones similares
Curso de PHP Tema 5: Sesiones.
Advertisements

Nuevas Características de Seguridad en ASP.NET 2.0
Windows 2003 como Servidor de Aplicaciones Jose Murillo ISV Development Advisor
Manejo de roles, herramientas, y encriptando secciones de la configuración Jorge Oblitas
Jorge Oblitas Consultor en tecnología asociada a la gestión del Conocimiento Ha sido miembro de los programas Microsoft Regional Director (desde el 2000)
Jorge Oblitas Consultor en tecnología asociada a la gestión del Conocimiento Ha sido miembro de los programas Microsoft Regional Director (desde el 2000)
Lo nuevo en Microsoft Office Project Server 2003 Microsoft Corporation.
Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.
Implementación de SQL Server 2000 Reporting Services
Jorge Oblitas Application Verifier Jorge Oblitas
Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián
Administración del estado
Seguridad en aplicaciones Web con Microsoft ASP.NET
Introducción a servidores
Defensa contra ataques web comunes
Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.
DIRECT ACCESS.
2.5 Seguridad e integridad.
Especialista en Business Intelligence Reporting Services SSRS (Sesión 16) Microsoft SQL Server 2008 R2 (2013) Suscribase a o escríbanos.
Introducción a los servicios Web
Seguridad en ASP.NET Daniel Laco
Desarrollo de Aplicación para VVC
Webcasts de seguridad Seguridad en ASP.NET 2.0 Partes 1 y 2 Seguridad en ASP.NET 2.0 Partes 1 y 2 Parte 1: Servicio de Membresía y controles Login Parte.
28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián
MGB 2003 Nombre Puesto Compañía
Carlos Walzer Vemn Sistemas Como crear un sitio con ASP.NET.
ARIS-G: Software de Monitoreo Geomecánico de Superficies
Introducción a ASP.NET.
Nomiplus T&A . NET Sistema Integral de Control de Asistencias altamente configurable para el Control de Personal, permitiendo la Administración del.
Almacenamiento virtual de sitios web: «Hosts» virtuales Gustavo Antequera Rodríguez.
SERVIDOR.
Desarrollo de sitios web con PHP y MySQL Tema 5: Sesiones José Mariano González Romano
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
J.C.Cano, J. Sahuquillo, J.L. Posadas 1 Juan Carlos Julio Juan Luis
Introducción a los servicios Web
JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
 Permiten suplantar la información de un usuario determinado.  Se obteniene cuenta de administración para sabotear controles de autorización y registro.
Administrar • Crear • Autoservicio • Auditoría • Workflows
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.
Diana Herrera León 6 º «H». Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores.
Diseño de Servicios Web Internet Information Server © Copyright 2003 Víctor ROBLES FORCADA
Servicios y Servidores de Autenticación
Cuentas de usuarios y grupos en windows 2008 server
Administración de políticas de seguridad. -Seguro por diseño - Seguro por defecto - Seguro en implementación - Seguro en comunicaciones Iniciativa Trustworthy.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
 Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.
Seguridad Wireless > Con NAP de Windows Server 2008 Manuel Moreno L. MCP/CCNA/RHLP Team Insecure.cl
Almacenamiento virtual de sitios web: «Hosts» virtuales. Jesús Torres Cejudo.
La administración de dominios
S ERVICIOS DE RED E I NTERNET T EMA 4 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS W EB Nombre: Adrián de la Torre López.
Windows Server 2008 Technical Decision Maker Seguridad.
Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
Gestión de sistemas operativos de red
ABRIMOS NUESTRA, MMC PERSONALIZADA. NOS POSICIONAMOS DENTRO DE “ACTIVE DIRECTORY USERS AND COMPUTERS” Y LO EXPANDIMOS.
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
La seguridad del sistema de software, un elemento de la seguridad total y programa de desarrollo del software, no se puede permitir funcionar independientemente.
Punto 6 – Seguridad en el protocolo HTTP Juan Luis Cano.
Almacenamiento virtual de sitios web: «Hosts» virtuales
APLICACIONES EN LINEA.
Usuarios, grupos y unidades organizativas de active directory Integrante: Saúl curitomay cruz Profesor: Waldir Cruz Ramos.
YUBER ANDRÉS LOAIZA OROZCO SERVIDOR PROXY GESTIÓN DE REDES DE DATOS.
Gestión de usuarios básica SQL Server. Primero configuramos el SQLServer para que se pueda gestionar usuarios propios del SQLServer. Vamos a las propiedades.
Visual Studio NET 2008 MCSD.NET Ing Oscar Mendez Incosac Sac & Telefonica Mobiles Comunidad:
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
La Autenticación IEEE 802.1X en conexiones inalámbricas.
Transcripción de la presentación:

Algunos tips en Seguridad ASP.NET 2.0 Jorge Oblitas joblitas@microsoft.com

Qué hay de nuevo en ASP.NET 2.0 Autenticación por formularios y membresía Role Manager DPAPI managed Wrapper Cambios en los archivos de configuración Encriptamiento de archivos de configuración Health Monitoring Code Access Security Permisos SMTP (Full, High y Medium) Mejoras en el MachineKey

Validación del ingreso de datos No confiar solamente en ASP.NET request validation. Validar el input por longitud, rango, formato y tipo. Validar el input de todas las fuentes como QueryString, cookies, y controles HTML controls. No confiar solamente en la validación del lado del cliente. Evitar usar un nombre de archivo ingresado o una ruta. No hacer ECO de un input que no es de confianza. Si tenemos qeu escribir data en la que no confiamos, primero hacerle un encode

Autenticación por formularios Usar Membership providers en lugar de autenticación personalizada. Usar SSL para proteger las credenciales y las cookies de autenticación. Si no es posible usar SSL, considerar reducir el tiempo de vida de la sesión. Validar la información de Login del usuario. No almacenar las passwords directamente en el user store. Obligar a usar strong passwords. Poteger el acceso a las credenciales. No persistir las cookies de autenticación. Restrigir los tickets de autenticación a las conexiones HTTPS. Considerar dividir el sitio web en áreas públicas y áreas restringidas Usar nombres únicos para las cookies y paths

Autorización Uno puede estar autorizando contra: Role Manager Recursos del sistema Recursos de la aplicación Recursos del usuario Role Manager

Code Access Security Elegir un nivel que no exceda los requerimientos de la aplicación Crear una política personalizada si la aplicación necesita permisos adicionales Usar Medium trust policy en entornos de hosting compartido Considerar Code access security para aplicaciones con Partial Trust

Acceso a Datos Encriptar las cadenas de conexión Usar cuentas de menor privilegio para e acceso a datos Usar autenticación Windows en donde sea posible. Si se usa autenticación Windows, usar una cuenta trusted service. Si no puedes usar una cuenta del dominio, considerar una cuenta espejo. Al usar SQL authentication, usar strong passwords. Al usar SQL authentication, proteger las credenciales a través de la red. Al usar SQL authentication, proteger las credenciales en los archivos de configuración. Validar el input que no es de confianza que pasa a los métodos de acceso de nuestra data. Al construir queries SQL queries, usar parámetros SQL type safe Evitar queries dinámicos que aceptan input del usuario

Manejo de Excepciones Usar manejo de excepciones estructurado. No revelar detalles de la excepción al cliente. Usar global error handler para capturar excepciones no manejadas

Manipulación de Parámetros No tomar decisiones de seguridad basados en parámetros que puedan ser accedidos en el lado del cliente. Validar todos los inputs parámetros. Evitar almacenar data sensible en el ViewState. Encriptar ViewState si contiene data sensible.

Administración de la sesión No confiar solamente en las opciones de administración del estado del lado del cliente. Proteger el servicio de estado fuera del proceso. Proteger SQL Server session state.

Justin Smith justins@wintellect.com Preguntas Justin Smith justins@wintellect.com

Gracias

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.