TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Slides:



Advertisements
Presentaciones similares
Curso de PHP Tema 5: Sesiones.
Advertisements

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.
Guía para la ACTUALIZACIÓN de datos desde la opción del catálogo Ver su registro de usuario desde el WebOpac Haga CLICK con el botón izquierdo del ratón.
El sistema de aprobación de planos de mensura es accesible desde la página de Internet del Ministerio de Infraestructura Vivienda y Servicios Públicos.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
ÚNESE A LOS SITIOS PRESTASHOP EN EL MUNDO CON UNA TIENDA EN LÍNEA RÁPIDA Y EFICAZ.
Plataforma educativa Helvia IES SANTO DOMINGO EL PUERTO DE SANTA MARÍA.
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
Tema: Técnicas Básicas Excel (III) Trucos, opciones y personalización de Excel Índice: 1 Vínculos absolutos y relativos, conectando datos de Excel con.
Especialista en Business Intelligence Integration Services SSIS (Sesión 7) Microsoft SQL Server 2008 R2 (2013) Suscribase a o escríbanos.
¿QUÉ SON LAS BASES DE DATOS?
Diseño de la Herramienta Informática
Curso de PHP Tema 6: Seguridad.
JSP Copyright ISIPE – Instituto de Servicios Informáticos para Empresas – Universidad Siglo 21 – Cualquier copia u otro uso debe ser autorizado expresamente.
Características generales de un servicio Web.
Seguridad del protocolo HTTP
TECNOLOGÍA IDC Internet Database Connector Trinitario Gómez López.
Tema 1 – Adopción de pautas de seguridad informática
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS
Desarrollo de sitios web con PHP y MySQL Tema 5: Sesiones José Mariano González Romano
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.
 Permiten suplantar la información de un usuario determinado.  Se obteniene cuenta de administración para sabotear controles de autorización y registro.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.
OBJETOS DISTRIBUIDOS E INVOCACIÓN REMOTA ING. MARISCAL.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Especialista en Business Intelligence Integration Services SSIS Tareas de Flujo de Control (Parte I) Microsoft SQL Server 2008 R2 Suscribase a
Ventajas y desventajas de enviar variables por el método GET
INTRODUCCIÓN A AJAX. ¿Qué es AJAX? Acrónimo de Asynchronous JavaScript And XML No es ninguna tecnología, ni lenguaje de programación. Es una técnica de.
Servidores Conceptos Generales.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
Almacenamiento virtual de sitios web “HOST VIRTUALES” Tema 4 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto.
Sebastián Franco Henao
SISTEMA DE AUTENTICACIÓN Y AUTORIZACIÓN. Esquema general El sistema desarrollado se despliega en 3 diferentes localidades: 1.Oficinas en ABC Plus: Lugares.
REFERENCIA DIRECTA INSEGURA A OBJETOS
XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.
Servicios en Red UT5. Servicios FTP.
      Protocolo de transferencia de Hipertexto, empleado para acceder a documentos de hipermedia  El protocolo nació en el CERN, como base.
Servicio de Notas Autores: Fco. Javier López Peñalver Javier Rayado Escamilla.
Introducción a ataques de tipo inyección: Inyección SQL
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
VENTAJAS DE LAS BASES DE DATOS.  Los sistemas de ficheros almacenan varias copias de los mismos datos en ficheros distintos. Esto hace que se desperdicie.
Almacenamiento virtual de sitios web: «Hosts» virtuales. Jesús Torres Cejudo.
 Claudia Jordan Idrovo.  Son los puntos de enganche para cada conexión de red que realizamos. El protocolo TCP (el utilizado en internet) identifica.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.
Tu buscador de radio. Grouple es un buscador de emisoras de radio a través de internet, mediante el cual podrás encontrar cualquier emisora del mundo.
Juan Pablo Arango Tatiana Zapata L 11C IE LA SALLE DE CAMPOAMOR.
Seguridad del protocolo HTTP:
File Transfer Protocol.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
BASE DE DATOS.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Secuencia de Comandos en Sitios Cruzados XSS
Almacenamiento virtual de sitios web: «Hosts» virtuales
Servidores. ¿Qué es un servidor? Servidor de Aplicación Servidor de impresión Servidor de base de datos Servidor de correo Servidor de Internet Servidor.
Unidad 4. Servicios de acceso remoto
1. 2 Físicamente, Internet (Interconnected Networks) es una red compuesta por miles de redes independientes pertenecientes a instituciones públicas, centros.
FIREWALLS, Los cortafuegos
Sistema de Alerta Rápida Interna SINAVEF. Alertas Sinavef Al ingresar a la parte privada del sistema de alerta nos encontramos con el menú principal el.
Modelo Cliente - Servidor. La Web funciona siguiendo el denominado modelo cliente-servidor, habitual en las aplicaciones que funcionan en una red. Existe.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
“Servicios de Internet” 4ta Semana. Agenda Agenda Servicios de Internet –World Wide Web –HTTP –IRC –FTP –Gopher –Telnet –Newsgroups.
SISTEMA INTEGRAL DE RECURSOS HUMANOS (SIRH WEB) sitio
Plataformas e- learning Moodle. Instalacion  Descargamos Moodle de su página oficial  Una vez hemos descargado el archivo, lo descomprimimos y copiamos.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
Conociendo el modelo Cliente-Servidor
Conociendo el modelo Cliente-Servidor. Introducción En el mundo de TCP/IP las comunicaciones entre computadoras se rigen básicamente por lo que se llama.
Transcripción de la presentación:

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA

REFERENCIA DIRECTA INSEGURA A OBJETOS Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.

EXPLOTACION FACIL Un atacante, como usuario autorizado en el sistema, simplemente modifica el valor de un parámetro que se refiere directamente a un objeto del sistema a otro objeto para el que el usuario no se encuentra autorizado.? ¿Se concede el acceso.

DEFICIENCIAS DE SEGURIDAD Normalmente, las aplicaciones utilizan el nombre o clave actual de un objeto cuando se generan las páginas web. Las aplicaciones no siempre verifican que el usuario tiene autorización sobre el objetivo. Esto resulta en una vulnerabilidad de referencia de objetos directos inseguros. Los auditores pueden manipular fácilmente los valores del parámetro para detectar estas vulnerabilidades y un análisis de código mostraría rápidamente si la autorización se verifica correctamente.

COMLEMENTO VEAMOS EL SIGUIENTE EJEMPLO COMO DEMOSTRACIÓN DEL TIPO DE SITUACIONES EN LAS QUE PODEMOS ENCONTRAR UN ATAQUE DE ESTE TIPO.

S EA UNA APLICACIÓN QUE DISPONE DE UN FRONTAL WEB EN EL QUE UN USUARIO AUTENTICADO PUEDE CONSULTAR UNA SERIE DE ARTÍCULOS DE UNA DETERMINADA CATEGORÍA. D ESDE LA PÁGINA DE CADA ARTÍCULO PUEDE ACCEDER A UN DOCUMENTO EN EL QUE SE ENCUENTRA UN ENLACE PARA DESCARGAR LAS ESPECIFICACIONES DE ÉSTE CON UNA URL DEL TIPO : HTTP :// OWASP. S 2 GRUPO. ES / CATALOG / DOWNLOAD. JSP ? DIR = ARTICLES

U NA VEZ RECIBIDA EN EL SERVIDOR, OBTIENE EL DOCUMENTO COMPONIENDO LA RUTA AL FICHERO A PARTIR DE LOS PARÁMETROS ENVIADOS Y SE LO DEVUELVE EL FICHERO PARA QUE EL USUARIO LO PUEDA DESCARGAR A SU ORDENADOR.

U N ATACANTE DE NUESTRA PLATAFORMA PODRÍA MODIFICAR LA PETICIÓN ESPERADA QUE PROVOCASE QUE RETORNASE CUALQUIER FICHERO DE CONFIGURACIÓN DE LA APLICACIÓN O DEL SISTEMA OPERATIVO, POR EJEMPLO, EL FICHERO DE CONEXIÓN CON LA BASE DE DATOS O EL FICHERO DE USUARIOS Y CONTRASEÑAS DE LA MÁQUINA QUE ALOJA ESTE SERVICIO ( POR UTILIZAR UN EJEMPLO CLÁSICO ): HTTP :// OWASP. S 2 GRUPO. ES / CATALOG / DOWNLOAD. JSP ? DIR =../../../../../../ ETC & FILE = PASSWD

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.