Internet Information Server 6.0 Aplicaciones Web Seguras

Slides:



Advertisements
Presentaciones similares
Presentación – Web Attack
Advertisements

Microsoft Office Sharepoint Server Arquitectura y Diseño Rubén Alonso Cebrián Código: HOL-SPS09.
Sql Server Migration Assistant
Intranets P. Reyes / Octubre 2004.
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Internet y tecnologías web
CUPS Configuración y Uso de Paquetes de Software
TechNet: ISA Server 2006: Introducción
Office Infopath 2003 Soluciones Colaborativas
Microsoft Sql Server 2000 Reporting Services Ruben Alonso Cebrian Código: HOL-SQL03.
Microsoft SQL Server 2005 Integration Services
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Juan Luis García Rambla
Windows Server Gestión de GPOs Fernando Punzón Ortiz Código: HOL-WIN02.
Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras
Técnicas avanzadas de penetración a sistemas
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Servidores Windows Http Ftp …
Instalación y configuración de los servicios Web.
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Taller de Internet Octubre 2004 Profesora: Marisa Alejandra Lara Escobar.
INDUSOFT Software para generación de completas aplicaciones industriales multi-plataforma Se compone de un completo y potente conjunto de herramientas.
Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.
Fernando de Janon. Internet Es una red de redes, que se conecta a nivel mundial www: World wide web, es el estándar que permite visualizar textos, imágenes,
Introducción a los servicios Web
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Seguridad del protocolo HTTP
3WDocument  Administración de documentos a través de Internet o al interior de una Intranet 3W S.A. Santiago
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
CAPA DE APLICACIÓN REDES I.
FIREWALL.
► Troyanos  Tipos de troyanos ► Rootkits  Tipos de rootkits  Detección de rootkits ► Bonet ► Detección de malware ► Troyanos bancarios ► Escáneres.
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
Introducción a los servicios Web
Auditoría de Sistemas y Software
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
WEB VULNERABLE DVWA Universidad de Almería
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
Seguridad en Aplicaciones Web
Internet.
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
SEGURIDAD INFORMATICA
Unidad didáctica 6 Diseño de páginas Web.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
Conceptos básicos sobre Internet
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Clase 5 Curso Microsoft.NETCurso Microsoft.NET I.S.F.T. N° 182I.S.F.T. N° 182.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.
Introducción a los Sistemas de Computo
Seguridad del protocolo HTTP:
File Transfer Protocol.
Ing. Elizabeth Guerrero V.
Punto 4 – Configuración de un Servidor Web Juan Luis Cano.
INTERNET. Amenazas contra la seguridad MALWARE (SOFTWARE MALICIOSO) Son programas diseñados para introducirse en ordenadores ajenos sin permiso y provocar.
PROTOCOLOS DE COMUNICACIÓN PRESENTAN: GUADALUPE MORALES VALADEZ ESTELA ORTEGA AGUILAR IRAIS UGARTE BAUTISTA LAURA ARELI JERONIMO FLORES ANA LILIA CONDE.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Secuencia de Comandos en Sitios Cruzados XSS
¿QUE ES INTERNET? La Internet es una red de redes. Actualmente conecta miles de redes para permitir compartir información y recursos a nivel mundial. Con.
Unidad 4. Servicios de acceso remoto
FIREWALLS, Los cortafuegos
Norman SecureSurf Proteja a los usuarios cuando navegan por Internet.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con.
INTERNET. Amenazas contra la seguridad MALWARE (SOFTWARE MALICIOSO) Son programas diseñados para introducirse en ordenadores ajenos sin permiso y provocar.
GESTIÓN Y ADMINISTRACIÓN WEB. INTRODUCCIÓN A INTERNET Internet constituye una vía de comunicación y una fuente de recursos de información a escala mundial.
Transcripción de la presentación:

Internet Information Server 6.0 Aplicaciones Web Seguras Código: HOL-IIS01 Internet Information Server 6.0 Aplicaciones Web Seguras Chema Alonso MS MVP Windows Server Security jmalonso@informatica64.com

Agenda Aplicaciones Web Vulnerabilidades: Sql Injection Vulnerabilidades: Cross-Site Scripting Vulnerabilidades: Phising Vulnerabilidades: WebTrojan Vulnerabilidades: Capa 8

Aplicaciones Web

Tipos de Aplicaciones Web Web Site público. Información destinada al público. Intranet (ERP/CRM/Productividad) Información privada de acceso interno. Extranet (Productividad/B2B/B2C) Información privada de acceso externo.

Arquitectura Multicapa Interfaz de Usuario (GUI) Lógica de la Aplicación Almacén De Datos DCOM BBDD WebServer Browser WebService BBDD WebServer RPC

Arquitectura: Cliente Navegador de Internet: Ejecuta código en contexto de usuario. Lenguajes potentes: HTML/DHTML vbScript/JavaScript/Jscript Programas embebidos Applets Java ActiveX Shockwave Flash Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.

Arquitectura: Lógica de Aplicación Servidor Web Ejecuta código en contextos privilegiados. Lenguajes potentes Acceden a BBDD Envían programas a clientes Transferir ficheros Ejecutar comandos sobre el sistema. Soporte para herramientas de administración de otro software. Códigos de Ejemplo

Arquitectura: Almacén de Datos SGBD Lenguaje de 3ª y 4ª Generación. Soporta múltiples bases de datos. Catálogo global de datos. Ejecuta programas sobre Sistema. LOPD. Transacciones económicas. Información clave de negocio.

Vulnerabilidades: SQL Injection

Explotación del Ataque Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios Text Password Textarea List multilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

Riesgos Permiten al atacante: Saltar restricciones de acceso. Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor.

Tipos de Ataques Ejemplo 1: Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=‘$usuario’ And clave=‘$clave’; Usuario Clave ****************

Tipos de Ataques Ejemplo 1 (cont) Select idusuario from tabla_usuarios Where nombre_usuario=‘Administrador’ And clave=‘’ or ‘1’=‘1’; Usuario Administrador Clave ‘ or ‘1’=‘1

Demo

Tipos de Ataques Ejemplo 2: Acceso a información con procedimientos de listado. http://www.miweb.com/prog.asp?parametro1=hola Ó http://www.miweb.com/prog.asp?parametro1=1

Tipos de Ataques Ejemplo 2 (cont): http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown -- Ó http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --

Demo

Contramedidas No confianza en medias de protección en cliente. Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

Vulnerabilidades: Cross-Site Scripting (XSS)

Explotación del Ataque Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

Riesgos Ejecución de código en contexto de usuario que visualiza datos. Navegación dirigida Webspoofing Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

Tipos de Ataques Mensajes en Foros. Firma de libro de visitas. Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

Demo

Contramedidas Fortificación de aplicación Fortificación de Clientes Comprobación fiable de datos Fortificación de Clientes Ejecución de clientes en entorno menos privilegiado. Fortificación de navegador cliente. MBSA. Políticas.

Vulnerabilidades: Phising

Explotación del Ataque Basado en técnicas de Ingeniería Social. Se aprovecha de la confianza de los usuarios. Se aprovecha de la falta de formación en seguridad de los usuarios. Certificados digitales no generados por Entidades Emisoras de Certificados de confianza.

Riesgos Suplantación de Sitios Web para engañar al usuario. Robo de credenciales de acceso a web restringidos. Robo de dinero Compras por Internet Bromas pesadas

Tipos de Ataques Se falsea la dirección de DNS del servidor Falsificación hosts Troyanos, Físicamente, Shellcodes exploits DHCP DNS Spoofing Man in The Middle Se engaña la navegación. Frames Ocultos URLs falseadas. Se implanta en la nueva ubicación un servidor replica. Se implantan hasta fakes de certificados digitales

Exploits infohacking.com

Spoofing ARP Suplantar identidades físicas. Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar routers de comunicación. Solo tiene sentido en comunicaciones locales.

Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Dirección MAC <-> Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce.

Sniffing en Redes Conmutadas PC 2 PC HACKER PC 3 Sniffer PC 1 PC 4 MAC 2 MAC H MAC 3 Datos PC 4 MAC 1 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

Envenenamiento de Conexiones “Man in the Middle” La técnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.

Envenenamiento de Conexiones “Man in the Middle” CONEXIÓN PC2 REENVÍO A HOST IP 2 – MAC H IP 1 – MAC H CACHE ARP IP 2 – MAC H CACHE ARP IP 1 – MAC H PC H IP H MAC H PC 2 IP 2 MAC 2 PC 1 IP 1 MAC 1

Man in the Middle Sirve como plataforma para otros ataques. DNS Spoofing. Phising. Hijacking. Sniffing Se utiliza para el robo de contraseñas.

Demo

Contramedidas Contra Phising Contra Spoofing ARP Uso de CA de confianza Formación a usuarios Gestión de actualizaciones de seguridad Códigos de aplicaciones seguras Control físico de la red Comprobación DHCP Contra Spoofing ARP Autenticado de conexiones IPSec Detección de Sniffers IDS

Vulnerabilidades: WebTrojan

Explotación de Ataque Servidores Web no fortificados Ejecución de programas en almacenes de ficheros. Subida de ficheros a servidores. Imágenes para publicaciones. Archivos de informes. Currículos, cuentos, etc... Almacenes de ficheros accesibles en remoto Usuario en contexto servidor Web no controlado

Riesgos Implantación de un troyano que puede: Gestionar ficheros Ejecutar programas Destrozar el sistema Defacement Robo de información ....

Tipos de Ataques Programación de un troyano en PHP, ASP o JSP Utilización de objetos FileObject Subida mediante ASP Upload Busqueda del lugar de almacenamiento Invocación por URL pública del servidor Web

Demo

Contramedidas Fortificación de servidores Web Menor Privilegio Ejecución de programas en sitios restringidos Listado de directorios ocultos Usuario de servidor en contexto controlado Subida de archivos controlada Ubicación no accesible desde URL pública Tipos de ficheros controlados Tamaño, tipo, extensión, etc.. Filtrado vírico -> Rootkits

Vulnerabilidades: Capa 8

Explotación de Ataque Falta de conocimiento SD3 Diseño Configuraciónes Implantación Administradores/Desarrolladores no formados en Seguridad Hacking Ético Falta de conocimiento del riesgo

Riesgos Insospechados: Bases de datos públicas No protección de datos No protección de sistemas .....

Tipos de Ataques Hacking Google Administradores predecibles http://www.misitio.com/administracion http://www.misitio.com/privado http://www.misitio.com/gestion http://www.misitio.com/basedatos Ficheros log públicos WS_ftp.log Estadísticas públicas Webalyzer

Demo

Contramedidas Formación Ficheros Robots LOPD y LSSI Robots.txt LOPD y LSSI www.lssi.org Writting Secure Code

¿ Preguntas ?

Boletín quincenal TechNews

Contacto Informática 64 Technet Profesor http://www.informatica64.com i64@informatica64.com +34 91 665 99 98 Technet http://www.microsoft.com/spain/technet Profesor chema@informatica64.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.