TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Slides:

Advertisements

Presentaciones similares

Realización de Tests de Autoevaluación. Normas para los Tests Sólo se permite realizar el test 1 vez. Las claves de acceso identifican tanto el usuario.

Advertisements

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Seguridad Definición de seguridad informática. Terminología.

Arquitecturas de BD Modelo ANSI/SPARC

Sistema operativo Componentes de un sistema operativo

INVESTIGACION INFORMATICA AVANZADA

Aprendizaje de Microsoft® Access® 2010

Tema: Técnicas Básicas Excel (III) Trucos, opciones y personalización de Excel Índice: 1 Vínculos absolutos y relativos, conectando datos de Excel con.

Problemas asociados a DHCP. Seguridad.

¿QUÉ SON LAS BASES DE DATOS?

M.C.E. Ana María Felipe Redondo

Diseño de la Herramienta Informática

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

Medición, Análisis y Mejora

12.4 Seguridad de los archivos del sistema

Planificación de la Información.

Si usted visita directamente el sitio nuskin

Realización de Exámenes de Módulo. Normas para los Tests Sólo se permite realizar el test 2 veces. Las claves de acceso identifican tanto el usuario como.

Controlde acceso mediante sesiones índice 1. Introducción 2. Comenzar sesión Control de acceso mediante sesiones 3. Estructura de página 4. Autentificación.

ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

Declaración de Operaciones

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Situaciones Detectadas en la Entidad…

Administración de datos con MS-SQL Server y Visual Basic

JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.

Auditoría de Sistemas y Software

 El primer navegador Web incluía un lenguaje de estilo interno que utilizaba dicho navegador para mostrar las páginas HTML.  Sin embargo estos primeros.

Planificación de los grupos de usuarios El primer paso del proceso de planificación, decidir la estrategia global de seguridad, es como establecer la.

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.

SEGURIDAD INFORMÁTICA

PROTECCIÓN DEL ORDENADOR

InfoPath Ventajas y Uso.

Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar.

LA SEGURIDAD LÓGICA EN LA INFORMÁTICA.

OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.

SEGURIDAD INFORMATICA

ATAQUES POR INYECCION DE CODIGO SQL

UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.

COMPONENTES DEL SISTEMA OPERATIVO.

REFERENCIA DIRECTA INSEGURA A OBJETOS

Seguridad DNS. Javier Rodríguez Granados.

S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.

Control de acceso en Java EE

Cuentas de usuarios y grupos en windows 2008 server

LOS RIESGOS DE INTERNET DELEGACIÓN EDUCACIÓN CONTROL PARENTAL El Control parental es una herramienta destinada a impedir un uso indebido del equipo por.

VENTAJAS DE LAS BASES DE DATOS.  Los sistemas de ficheros almacenan varias copias de los mismos datos en ficheros distintos. Esto hace que se desperdicie.

COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:21 PRESENTACION: BASE DE DATOS ALUMNAS: Adán Millán Sánchez.

INTERFAS DE ACCES DISEÑO DE UNA BASE DE DATOS NOMBRE: OLIVARES MORALES ROGELIO DANIEL BAUTISTA CRUZ GRUPO: 307 EQUIPO: 05.

SGSI: Sistemas de Gestión de la Seguridad de la Información

ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.

Tu buscador de radio. Grouple es un buscador de emisoras de radio a través de internet, mediante el cual podrás encontrar cualquier emisora del mundo.

Medición de efectividad y eficiencia de un sitio Web Objetivo Saber cómo impacta la inversión de una cantidad significativa (50% del total de su capital)

Seguridad del protocolo HTTP:

File Transfer Protocol.

Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.

Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.

UD 2: “Instalación y administración de servicios de configuración automática de red” Problemas asociados a DHCP. Seguridad Luis Alfonso Sánchez Brazales.

Secuencia de Comandos en Sitios Cruzados XSS

MIA - Grupo 5 Unidad 2.

UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería

Asesoría Relacionada a la Seguridad. Balance de Seguridad.

S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.

Si usted se dirige al siguiente vínculo usted llegará a esta página. Si usted sigue el vínculo desde nuskin.com, usted evitará esta.

Fecha : 7/dic/2015 Tema: Plantillas y diseños en presentaciones electrónicas Objetivo: aplicar herramientas de PowerPoint para presentaciones de exposiciones.

Curso de Excel Intermedio Dr. Pedro Salcedo Lagos Mail: Web: Ref:

Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.

Transcripción de la presentación:

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA

AGENTES DE AMENAZA Considerar los tipos de usuarios en su sistema. ¿Existen usuarios que tengan únicamente acceso parcial a determinados tipos de datos del sistema?

REFERENCIA DIRECTA INSEGURA A OBJETOS Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.

EXPLOTACION FACIL Un atacante, como usuario autorizado en el sistema, simplemente modifica el valor de un parámetro que se refiere directamente a un objeto del sistema a otro objeto para el que el usuario no se encuentra autorizado.? ¿Se concede el acceso.

DEFICIENCIAS DE SEGURIDAD Normalmente, las aplicaciones utilizan el nombre o clave actual de un objeto cuando se generan las páginas web. Las aplicaciones no siempre verifican que el usuario tiene autorización sobre el objetivo. Esto resulta en una vulnerabilidad de referencia de objetos directos inseguros. Los auditores pueden manipular fácilmente los valores del parámetro para detectar estas vulnerabilidades y un análisis de código mostraría rápidamente si la autorización se verifica correctamente.

IMPACTOS TECNICOS IMPACTOS MODERADO Dichas vulnerabilidades pueden comprometer Toda la información que pueda ser referida por parámetros. A menos que el espacio de nombres resulte escaso, para un atacante resulta sencillo acceder a todos los datos disponibles de ese tipo.

IMPACTO DE NEGOCIO Considerar el valor de negocio de los datos afectados. También considere el impacto en el negocio la exposición pública de la vulnerabilidad.

S OY VULNERABLE La mejor manera de poder comprobar si una aplicación es vulnerable a referencias inseguras a objetos es verificar que todas las referencias a objetos tienen las protecciones apropiadas. Para conseguir esto, considerar: 1.para referencias directas a recursos restringidos, la aplicación necesitaría verificar si el usuario está autorizado a acceder al recurso en concreto que solicita. 2. si la referencia es una referencia indirecta, la correspondencia con la referencia directa debe ser limitada a valores autorizados para el usuario en concreto. Un análisis del código de la aplicación serviría para verificar rápidamente si dichas propuestas se implementan con seguridad. También es efectivo realizar comprobaciones para identificar referencias a objetos directos y si estos son seguros. Normalmente las herramientas automáticas no detectan este tipo vulnerabilidades porque no son capaces de reconocer cuales necesitan protección o cuales son seguros o inseguros.

C OMO EVITARLO Prevenir referencias inseguras a objetos directos requiere seleccionar una manera de proteger los objetos accesibles por cada usuario (por ejemplo, identificadores de objeto, nombres de fichero): 1. Utilizar referencias indirectas por usuario o sesión. Esto evitaría que los atacantes accedieren directamente a recursos no autorizados. Por ejemplo, en vez de utilizar la clave del recurso de base de datos, se podría utilizar una lista de 6 recursos que utilizase los números del 1 al 6 para indicar cuál es el valor elegido por el usuario. La aplicación tendría que realizar la correlación entre la referencia indirecta con la clave de la base de datos correspondiente en el servidor. ESAPI de OWASP incluye relaciones tanto secuenciales como aleatorias de referencias de acceso que los desarrolladores pueden utilizar para eliminar las referencias directas a objetos. 2. Comprobar el acceso. Cada uso de una referencia directa a un objeto de una fuente que no es de confianza debe incluir una comprobación de control de acceso para asegurar que el usuario está autorizado a acceder al objeto solicitado.

EJEMPLOS El atacante cuenta de que su Cuenta parámetro es 6065 ? Cuenta = 6065 Se modifica a un número cercano ? Cuenta = 6066 El atacante considera que la víctima de la cuenta información

RECOMENDACIONES  Utilizar referencias indirectas. Por ejemplo:  Establecer un estándar a la hora de hacer referencia a objetos del servidor:  Evitar exponer a los usuarios referencias directas a objetos (como nombres de fichero o claves primarias)  Validar cualquier referencia a un objeto utilizado white- list.  Verificar el nivel de autorización sobre los objetos referenciados.