UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.

Slides:



Advertisements
Presentaciones similares
Presentación – Web Attack
Advertisements

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
GFI LANguard Network Security Scanner Version 8 .0 !
Internet y tecnologías web
Algunos tips en Seguridad ASP.NET 2.0
Seguridad Definición de seguridad informática. Terminología.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Seguridad en aplicaciones Web con Microsoft ASP.NET
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Jessica Lizeth Flores Guerrero Coral Jazmín Ramírez Ortiz
Errores comunes al desarrollar websites
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Telnet y SSH Integrantes: Carlos Parra José Isabel
Implementación de ataques basados en DNS Spoofing
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Curso de PHP Tema 6: Seguridad.
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.
66.69 Criptografía y Seguridad Informática 1er. Cuatrimestre 2011
Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano
Seguridad Web. Agenda 1.Introducción 2.Aspectos Básicos 3.Top Ten 4.Ethical Hacking 5.Conclusiones 6.Preguntas y Respuestas.
TECNOLOGÍA IDC Internet Database Connector Trinitario Gómez López.
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Auditoria de la seguridad de los datos y del software de aplicación Unidad IV.
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
Auditoría de Sistemas y Software
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.
 LOPEZ MENDOZA CORINA AMALINALLI  GRUPO 304.  Una base de datos o banco de datos (en ocasiones abreviada BB.DD.) es un conjunto de datos pertenecientes.
Teoría de lenguajes y compiladores
WEB VULNERABLE DVWA Universidad de Almería
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
InfoPath Ventajas y Uso.
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
Phishing Integrantes: Virginia Brandt Cecilia Miliano
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Pierre Sergei Zuppa Azúa Diseño. Métodos de desarrollo para web Diseño Keyword.
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
SEGURIDAD INFORMATICA
ATAQUES POR INYECCION DE CODIGO SQL
Ingeniería en Sistemas de Información Diseño de Sistemas (3K1)
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
WAF Web Application Firewalls
Teoría de Sistemas Operativos Seguridad en SO Departamento de Electrónica 2º Semestre, 2003 Gabriel Astudillo Muñoz
XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.
Introducción a ataques de tipo inyección: Inyección SQL
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
COLEGIO DE BACHILLERES “XOCHIMILCO TEPEPAN” Nº13  Tecnologías de la Información y comunicación 3.  Profa. Gabriela Pichardo Lazardo EQUIPO 25  Emmanuel.
Seguridad Informática Instituto de Educación Superior Tecnológico “Huaycán”
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Seguridad del protocolo HTTP:
File Transfer Protocol.
Se producen cuando una aplicación recibe datos no confiables y estos no han sido validados adecuadamente antes de procesarlos, lo cual puede llevar a que.
Unidad 2: Tareas básicas de InfoPath 2010
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Seguridad en la banca electrónica. Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes.
SEGURIDAD EN SERVIDORES WEB
Secuencia de Comandos en Sitios Cruzados XSS
Capítulo 9: Detección de Errores MSc. Alexis Cabrera Mondeja.
SEGURIDAD EN SERVIDORES WEB (APACHE).
Hackear un Sitio Web. Claudio
Integrantes: Giomara Delgado Miranda Miguel Villao Figueroa Juan Quiroz Asencio.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
OWASP APPSEC RIO DE LA PLATA dcotelo13
Los peligros de la Red. ¿A que nos enfrentamos? Se conoce como malware. Esto es un software que tiene como objetivo dañar un ordenador o conseguir datos.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Definición: Es un estilo de programación, su objetivo primordial es la separación de la capa de presentación, capa de negocio y la capa de datos. ARQUITECTURA.
Transcripción de la presentación:

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor Cabezas Diana Checa

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 ¿Quiénes y por qué atacan a las aplicaciones web? Introducción:

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 ¿Qué motiva a un cracker? Notoriedad: El conocimiento que un cracker acumula es una forma de poder y prestigio Reto intelectual: Necesitan demostrar que posee una capacidad intelectual superior. Aburrimiento: Hallar una victima es a veces el resultado de no haberla buscado específicamente en un sitio en particular. Venganza: No es una buena política tener a uno de estos señores como enemigo. Dinero: La motivación de siempre. Profesión: Tanto ilegal como legalmente se ha convertido en una profesión altamente rentable.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Porqué atacan a las aplicaciones web Técnicas relativamente simples de ataque Anonimato Ubicuidad Incapacidad de detección de los firewalls de redes. Código personalizado (home made) con alto nivel de fallas Procesos de seguridad inmaduros Cambio constante, alto nivel de dinamismo … y por supuesto dinero. De igual manera que el hacker tiene motivaciones específicas, hay ciertas características que refuerzan la motivación de ataque:

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Anatomía de un ataque a una aplicación web

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 ¿Qué es OASP? El Open Web Application Security Project es una organización sin fines de lucro fundada con el propósito de divulgar, detectar y crear métodos de corrección para las amenazas que aquejan a las aplicaciones web en general. OWASP tiene capítulos alrededor del mundo:

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Inyección de código o de comandos. Top Ten Most Critical Web Application Vulnerabilities – 2010 SQL injection Sucede al insertar comandos de SQL a través de parámetros no desinfectados, en cadenas utilizadas para consultas dinámicas. hh OS command injection Sucede al insertar caracteres especiales de secuencia (“&&” en Windows y “;” en Linux) para introducir comandos adicionales en cadenas que solicitarán ejecución de comandos de sistema operativo. LDAP injection Es parecida al SQL injection y se utiliza para introducir comandos LDAP en consultas a este tipo de servicio. XPATH injection Parecida también al SQL injection pero con el fin de construir consultas XPATH para archivos XML

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Inyección de código o de comandos. Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Scripting – XSS (3) Top Ten Most Critical Web Application Vulnerabilities Las fallas de XSS suceden cuando una aplicación toma datos no validados ni desinfectados y los envía al navegador sin la propia validación o códigos de escape. El XSS permite a los atacantes ejecutar scripts en el navegador de la victima que pueden secuestrar su sesión, modificar sitios web o redirigir al usuario a sitios web dañinos. Esta técnica suele ser una de las más utilizadas en la actualidad para engañar a los usuarios. En combinación con el phishing y el pharming suele ser extremadamente peligrosa. Existen varios tipos de XSS, pero sin duda todos ellos son altamente peligrosos.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Existen tres tipos de XSS conocidos: Directo o reflejado Es aquel que utiliza un campo o dato introducido por un usuario en un formulario para introducir código javascript que se refleja de inmediato en el proceso siguiente o resultante. Almacenado o latente Es aquel que introduce el código javascript en un campo de base de datos o en un cookie que puede ser mostrado en cualquier ocasión que se solicite el dato comprometido. DOM XSS o del tercer tipo Es el menos común y más complejo de realizar y depende de la utilización del URL en código javascript por parte del programador 2.Cross Site Scripting – XSS Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Scripting – XSS Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Scripting – XSS Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Scripting – XSS Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Autentificación rota y manejo de sesión mal implementado Top Ten Most Critical Web Application Vulnerabilities – 2010 Las funciones relacionadas con la autentificación y el control de sesión muchas veces no son implementadas correctamente, permitiendo a los atacantes comprometer claves de acceso, llaves de control y “tokens” de sesión, permitiéndoles asumir las identidades de las victimas. Se estima que en la actualidad una aplicación de banca en línea segura debe manejar entre 4 a 5 factores de autentificación de los cuales uno de ellos debe permitir que el usuario verifique la validez de la aplicación y otro debe ser externo a la misma.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Autentificación rota y manejo de sesión mal implementado Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Autentificación rota y manejo de sesión mal implementado Top Ten Most Critical Web Application Vulnerabilities – 2010 ¿Es su aplicación vulnerable a este tipo de vulnerabilidades? ¿Están las credenciales del usuario protegidas usando “hashing” o cifrado? ¿Pueden las credenciales ser “adivinadas” o sobre escritas debido a manejo de las funciones de cuenta débiles? (ej. creación de cuentas, cambio de password, recuperación de password, Id de sesión débil). ¿Están los IDs de sesión expuestos en el URL? ¿Son los IDs de sesión vulnerables a ataques de fijación de sesión? ¿Puede el usuario hacer logout cuando sale del sistema? ¿Su aplicación implementa timeout? ¿Implementa su aplicación algún control de ToL (Time of Life) ¿Se rotan los IDs de sesión una vies que el usuario hace Login exitosamente? ¿Envía los passwords solamente a través de TSL o SSL?

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Autentificación rota y manejo de sesión mal implementado Top Ten Most Critical Web Application Vulnerabilities – 2010 Posibles soluciones (1): Implemente una política de password fuerte como por ejemplo: Un largo de mínimo de 8 caracteres. Al menos un caracter en mayúsculas (A-Z). Al menos un dígito (0-9). Al menos un carácter especial No acepte más de 3 caracteres idénticos seguidos (111, eee). No acepte secuencias simples de teclado (qwerty, asdfgh, zxcvb). Las soluciones javascript no son apropiadas a nivel de validación de input, pero un control indicador de la fuerza de la clave al momento de crearla puede ser de gran ayuda. En este caso usted debe decidir si recibir o no la clave proporcionada con una segunda validación del lado del servidor.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Autentificación rota y manejo de sesión mal implementado Top Ten Most Critical Web Application Vulnerabilities – 2010 Posibles soluciones (2): Maneje adecuadamente las respuestas de error de acceso. Respuestas indebidas: “Acceso no autorizado: clave de usuario errónea" “Acceso no autorizado: Identificador de usuario inválido” “Acceso no autorizado: Cuenta de usuario bloqueada" “Acceso no autorizado: Este usuario no está activo” Cualquier otra respuesta que muestre al atacante que ha fallado en el procedimiento de ingreso. Respuesta correcta: “Acceso no autorizado: Los datos proporcionados no son válidos”

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Request Forgery (CRSF). Top Ten Most Critical Web Application Vulnerabilities – 2010 Un Ataque de CRSF también conocido como XSRF, fuerza al usuario/navegador "logueado y validado" de la victima a mandar un “HTTP request“ forjado, a una aplicación web vulnerable a este tipo de ataque. Esto permite al atacante forzar al navegador de la victima para acometer daños o estafas que la aplicación atribuye a un usuario legítimo. Quizás esta es una de las vulnerabilidades llamada a ser la más importante en los próximos años. Se le conoce como el gigante dormido del OWASP top 10

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Cross Site Request Forgery (CRSF). Top Ten Most Critical Web Application Vulnerabilities – 2010

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Muchas gracias por su atención…