“Seguridad en Aplicaciones Web”

Slides:



Advertisements
Presentaciones similares
Presentación – Web Attack
Advertisements

Sistema de Información Cultural, CONACULTA México, 2006 SiC / RENiC Aspectos técnicos relevantes para un Sistema de Información (SI)
Administración de actualizaciones de seguridad
Descripción técnica de Microsoft Virtual Server 2005 R2.
SISTEMA DE INFORMACIÓN SOBRE DROGA, SID-URB-AL
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Centro mixto CSIC-UAM Investigación básica en biomedicina.
Introducción a servidores
Presentación de la Plataforma de Gestión de la Excelencia
140+ Checklists, tools & guidance 140+ Checklists, tools & guidance 150 Local chapters 150 Local chapters 20,000 builders, breakers and defenders 20,000.
Introducción a las Tecnologías Informáticas Oscar Bedoya
Desarrollo de Aplicaciones para Internet
CREACION DE ESPACIOS VIRTUALES PARA TRABAJO EN EQUIPO
UNIVERSIDAD TECNOLÓGICA ISRAEL CARRERA DE SISTEMAS INFORMÁTICOS
Mario González Díez Jefe de la Unidad de Explotación
TEMA 2: «CONFIGURACIÓN DE MÁQUINAS VIRTUALES»
Es de código abierto y multilingüe.
MI PROGRAMA DE FORMACION
UNIVERSIDAD MANUELA BELTRÁN FACULTA: INGENIERÍA ESPECIALIZACIÓN:
SILVIA BEATRIZ GAVILANES NARANJO KELLY VERÓNICA CARVAJAL CUJI
TUTOR: ING. RAYNER DURANGO
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
DESARROLLO E IMPLEMENTACIÓN DE UN PLUGIN DE GOOGLE WALLET PARA PAGOS ONLINE UTILIZANDO SOFTWARE OPEN SOURCE.
ESCUELA POLITÉCNICA DEL EJÉRCITO CARRERA DE INGENIERÍA DE SISTEMAS
Desarrollo de software para prácticas (SocMat) y entorno web de información ENCUENTRO SOBRE APLICACIÓN DE LAS NUEVAS TECNOLOGÍAS EN LA MEJORA DE LA ENSEÑANZA.
Framework Hexápodo PHP fácil, rápido y sin dolor
Fabián Imaz. Arquitectura de servidor e instalación Administración Central Arquitectura de Servicios Sincronización de perfiles Cuentas administrativas.
Comparación entre la implementación de aplicaciones PHP y ASP.NET 2.0
Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.
Seguridad y Privacidad
Características Técnicas
Eje Infraestructura Tecnológica
Proyecto Nacvro Security SECURITATEM (agregar logo con barita mágica)
Miembro de OWASP capítulo Aguascalientes
Miembro de OWASP capítulo Aguacalientes
SI SE PUEDE…. El uso de las TIC en el aula
Con fines prácticos se puede clasificar al software en tres tipos: Software de sistema Software de programación Software de aplicación.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
SEMANA Introducción.
UNIVERSIDAD DE LA FF. AA. ESPE CARRERA DE INGENIERIA DE SISTEMAS PROYECTO DE TESIS : “Análisis, diseño, construcción e implementación de una Guía Interactiva.
Rogelio Ferreira Escutia
WEB VULNERABLE DVWA Universidad de Almería
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
TIPOS DE SOFTWARE Se denomina software a un programa, equipamiento lógico o soporte lógico necesario para hacer posible la realización de una tarea con.
Aplicaciones empresariales Adrián Guillen Carlos Marcano Carlos Sanmartín
Tecnología para la Comunidad
Instituto Tecnológico Superior de Nochistlán División Académica Ingeniería en Sistemas Computacionales “Manejo de Seguridad en PHP: Aplicaciones Seguras”
Reciclamiento en la informatica Practica VIII. Fabricar, usar y reciclar Según San Murugesan, profesor de la Universidad de Western Sydney en Australia,
Programa 5 Estrellas Nombre Cargo Compañía. Introducción El programa Profesional 5 Estrellas tiene por objetivo: –Identificar el nivel de conocimiento.
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
Instalación y administración de redes de área local
 Grupo Nº4:  Altamirano, Andrés  Castillo, Marisa  López, Maximiliano  Staude, Julio.
Unidad 3: Adquisición de Paquetes de Software Msc. Lic. Susana I. Herrera - Lic. Paola Budán UNSE 2012.
Cristian Fonnegra Marin
INSTALACIÓN Y ADMINISTRACIÓN DE REDES DE ÁREA LOCAL
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
Modalidad E-learning “Curso Hacking Ético y Defensa en Profundidad”
UNITEC NEGOCIOS ELECTRÓNICOS ”DESARROLLO DE SOFTWARE ”
FEBRERO DE DESARROLLO WEB Características:  Ser dinámica  Contar con Instancia que la soporte y respalde  Cumplir con la metodología del Ciclo.
Desarrollo DE apps móviles
FACULTAD DE CIENCIAS COMPUTACIONALES Y TELECOMUNICACIONES ASIGNATURA:
Administración y Seguridad en Redes Juan Palacios Y. Semestre II 2007.
Integrantes: Giomara Delgado Miranda Miguel Villao Figueroa Juan Quiroz Asencio.
Metodología para el Diseño de Sitios WEB
Ingeniería de Sistemas y Computación Andrea Herrera, MsC Septiembre de 2009
Servicios Web Conjunto de aplicaciones o de tecnologías con capacidad para interoperar en la Web. Estas aplicaciones o tecnologías intercambian datos entre.
Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.
“Seguridad en Aplicaciones Web”
Transcripción de la presentación:

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Consultor: JUAN DAVID BERRIO LOPEZ - judabe2003@gmail.com Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Agenda: Objetivos del curso en seguridad. Riesgos Integrales en una Arquitectura Tecnológica Web Demostración práctica de Hacking de un sitio web Alcances y responsabilidades en seguridad de la información para el equipo humano de tecnología. Políticas de seguridad de la información Principales amenazas en Desarrollo de Software Recursos tecnológicos disponibles para el desarrollo seguro de software en PHP Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal (PHP)

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Objetivos del curso de Seguridad de la Información: Delimitar las responsabilidades que se tienen en el equipo tecnológico en que respecta al desarrollo de software y la infraestructura tecnológica. Identificar las amenazas a las cuales esta expuesta las aplicaciones Web. Realizar un análisis de riesgos sobre las amenazas y sus respectivos impactos. Definir metodologías sobre el tratamiento de vulnerabilidades y la prevención de ataques informáticos a las aplicaciones web. Aplicar las metodologías teóricas y practicas que existen para fortalecer el tema de desarrollo seguro de aplicaciones. Generar un documento de política de seguridad para TRIBAL, en lo que respecta a desarrollo de software e infraestructura tecnologica.

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Metodología:  Se utiliza como apoyo Software Libre, representado en varias versiones de Linux y Proyectos especializados en seguridad de la información orientada a las aplicaciones web y Maquinas Virtuales que emulan las aplicaciones vistas en el curso. El curso se hace de forma conjunta, ya que se dejan procesos de investigación para los asistentes.

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Metodología: Como apoyo fuera del curso de seguridad, se realizan actividades externas, en unos laboratorios prácticos llamados DS LABS, y se disponen de algunos servidores públicos, los cuales los estudiantes deben de tratar de violar (Retos de Hacking), en lo que respecta a la seguridad. http://www.dsteamseguridad.com/dslabs/

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Infraestructura Adm. Bases de Datos Redes y telecomunicaciones Administración de Software (terceros-Misionales Seguridad perimetral Administración de Servidores y Sistemas operativos Desarrollo de Software Desarrollo de Aplicaciones Ingeniería del Software Código fuente Diseño lógico de Bases de datos Micro-Computo Sistemas operativos Cliente Mantenimiento Preventivo Estaciones de Trabajo, portátiles, PDA, entre otros. Impresoras Software Ofimática y de misión especifica

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Servidor Web www.rxyz.com Firewall Switche Características del Servidor : Servidor Web IIS 6.0 B.D SQL Server 5.0 PHP 5 .2 Windows 2003 Server Software web desarrollado de forma segura Usuarios Legítimos de la Aplicación Pirata Informático

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Servidor Web www.rxyz.com Firewall Switche Características del Servidor : Servidor Web IIS 7 B.D SQL Server 8 PHP 5 3.6 Windows 2008 Server Software web desarrollado de forma no segura: XSS-SQL Injection Usuarios Legítimos de la Aplicación Pirata Informático

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Algunos ejemplos de Paginas Web Vulnerables: Empresa: http://www.ssoftcolombia.com/pagina/Presentacion/Index.aspx http://www.tuviaje.travel/administrador/presentacion/Default.aspx?idE=0 http://www.unionderepresentaciones.com/administrador/ http://www.circulardeviajes.com/Administrador/presentacion/Default.aspx?idE=0 http://www.e-explora.com/Administrador/presentacion/Default.aspx?idE=0 http://www.irotama.com/administrador/presentacion/Default2.aspx http://www.seventravels.com/administrador/ http://www.solcrystal.com/Administrador/ SQL Injection Mínima: ' or '1'='1

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Ideal Servidor Web www.riesgoscero.com Firewall-UTM-Web -FW Balanceadores de Carga Servidor B.D Aplicación de Buenas Practicas de seguridad : A nivel de desarrollo A nivel de Infraestructura Mejoramiento Continuo. Usuarios Legítimos de la Aplicación Pirata Informático

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Demostración práctica de Hacking de un sitio web: “ENTORNO DE PRUEBAS VIRTUALIZADO” Servidor Web www.xyz.com Windows 2003 Server SQL Server 2005 IIS 6.0

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Alcances y Responsabilidades en seguridad de la información para el Equipo humano de tecnología Infraestructura Tecnológica: “Ver Política de Seguridad Infraestructura Tecnológica”

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Alcances y Responsabilidades en seguridad de la información para el equipo humano de tecnología Desarrollo de Software: “Ver Política de Seguridad Desarrollo de Software”

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Principales Amenazas en Desarrollo de Software:

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Riesgos de Seguridad Integrales.

“Seguridad en Aplicaciones Web” RFI (Remote File Inclusion) www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Principales Amenazas en Desarrollo de Software: http://www.xssed.com/mirror/73625/ Cross Site Scripting SQL Injection Path Traversal RFI (Remote File Inclusion)

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software: Existe mucha documentación y programas tantos libres como de pago, peor la recomendación, es tener como guía lo siguiente: Proteger Detectar Ciclo de Vida http://code.google.com/p/owasp-asvs/wiki/ASVS https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project https://www.owasp.org/index.php/Category:OWASP_Guide_Project

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project http://www.mavensecurity.com/web_security_dojo/ https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project http://dvwa.co.uk/

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software http://www.acunetix.com/cross-site-scripting/scanner.htm http://w3af.sourceforge.net/ http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal Proceso de investigación conjunta al respecto de la aplicación de procesos de seguridad para controlar las amenazas mas comunes a nivel de Desarrollo de Software, en lo que respecta a cada uno de los lenguajes de programación usados en Tribal. Descargar y usar la versión Acunetix Free Edition, para identificar vulnerabilidades XSS en las aplicaciones que a la fecha tengan para salir a producción. Realizar sesiones personalizadas para los recursos disponibles para cada lenguaje de programación.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.