REFERENCIA DIRECTA INSEGURA A OBJETOS

Slides:

Advertisements

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

Advertisements

Curso de PHP Tema 5: Sesiones.

SQL Y BASES DE DATOS A TRAVÉS DE LA WEB

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

integridad referencial

RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Ing. Hernán Segismundo Abbamonte

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

Acceso a bases de datos MySQL en PHP

EQUIPO ·# 3 SISTEMAS OPERATIVOS

Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.

Problemas asociados a DHCP. Seguridad.

ACCESO A BASES DE DATOS ORACLE CON PHP

Curso de PHP Tema 6: Seguridad.

Oracle, orientado a objetos

Enrique Cardenas Parga

Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano

REFERENCIA AL OBJETO ACTUAL

Planificación de la Información.

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

Taller 5: Trabajo con Plantillas y uso de tecnología Ajax.

Clase 9 Curso Microsoft.NETCurso Microsoft.NET I.S.F.T. N° 182I.S.F.T. N° 182.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

Subsecretaría de Educación Superior

JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.

Auditoría de Sistemas y Software

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

SEGURIDAD INFORMÁTICA

Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar.

OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.

NUEVOS SERVICIOS PARA NUESTROS CLIENTES Innovamos para ofrecerles los mejores servicios.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

ATAQUES POR INYECCION DE CODIGO SQL

UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.

XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.

Seguridad DNS. Javier Rodríguez Granados.

S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.

GUTIÉRREZ GRANADOS HÉCTOR DANIEL

Control de acceso en Java EE

Introducción a ataques de tipo inyección: Inyección SQL

Structured Query Language (Lenguaje Estructurado de Consultas)

Trabajo realizado por: Rosa Fernández Extremera Virginia Sánchez López.

PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.

S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.

Encriptación de los datos. Una de las principales preocupaciones de los DBA es que puedan salir datos de la empresa. El típico ejemplo es que se guarden.

Importancia de La Seguridad

1 FUNDAMENTOS DE BASES DE DATOS SISTEMA GESTOR DE BASES DE DATOS (SGBD) Consiste en una colección de datos interrelacionados y un conjunto de programas.

Se producen cuando una aplicación recibe datos no confiables y estos no han sido validados adecuadamente antes de procesarlos, lo cual puede llevar a que.

Medidas de seguridad Gabriel Montañés León.

Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.

TIPOS DE PRUEBAS DEL SOFTWARE

Unidad 4 SEGURIDAD 4.1 Tipos de usuarios

Problemas asociados a DHCP - Seguridad

Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.

Prof.: Juan D. Duque y Octavio Mayor. BBDD. Parte V: Sistemas relacionales; Tema 9: Arquitectura de un SGBD relacional; Bloque 1. 1 Parte V: Sistemas relacionales.

Secuencia de Comandos en Sitios Cruzados XSS

Formación a distancia : Actualmente existen en internet infinidad de recursos que permiten obtener formación.  Universidades Oberta de Cataluña: Que.

Hackear un Sitio Web. Claudio

Lenguaje Estructurado de Consultas

Sistemas Gestores de Bases de Datos

Sistema de Alerta Rápida Interna SINAVEF. Alertas Sinavef Al ingresar a la parte privada del sistema de alerta nos encontramos con el menú principal el.

A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.

Alberto Rivera Tavera Microsoft Student Partner

DEFINICION ADMINISTRACIÓN Y SEGURIDAD Administración Humano regula el acceso a todos los Módulos y permite restringir la ejecución de determinadas tareas.

Métodos en Java. Estructura de un programa en Java ► La relación con la vida misma la podemos ver en el siguiente comentario: Imaginemos que dos clases.

Introducción a programación web Martin Esses. Los datos almacenados en las bases de datos normalmente son mostrados en nuestras vistas. Para que nuestras.

Php y mysql índice 1. Conexión 6. Ejercicio 5. Insertar un registro 2. Operaciones básicas 3. Seleccionar BD 4. Crear una BD P h p y m y s q l Índice 1.

Transcripción de la presentación:

REFERENCIA DIRECTA INSEGURA A OBJETOS

DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación, tales como un fichero, directorio, registro de base de datos, o una clave tal como una URL o un parámetro de formulario Web.

Un atacante podría manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención.

ENTORNOS AFECTADOS: Todos los entornos de desarrollo de aplicaciones de Web son vulnerables presentando referencias a objetos internos de la aplicación.

VULNERABILIDAD Muchas aplicaciones presentan a los usuarios referencias a objetos internos. Un atacante podría manipular los parámetros de entrada a la aplicación cambiando estas referencias, saltándose de esta manera un control de accesos incorrectamente desarrollado

Con frecuencia, estas referencias apuntan a sistemas de ficheros y bases de datos, si bien cualquier otro elemento de la aplicación podría ser vulnerable por un problema de esta categoría.

EJEMPLO: En el ejemplo que se presenta a continuación, un atacante puede cambiar el parámetro "cartID" para obtener la información asociada a cualquier "carrito de la compra" de la aplicación. int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;

PROTECCION: La mejor protección es evitar presentar al usuario cualquier referencia directa a un objeto, mediante el uso de un índice, un mapa de referencias indirectas, o cualquier otro método que sea fácil de verificar. Si es necesario utilizar una referencia directa, se deberá comprobar que el usuario está autorizado a usarla antes de hacerlo. http://www.example.com/application?file=1

En caso de que sea necesario presentar referencias a elementos de base de datos, hay que asegurarse de que las sentencias SQL y otros mecanismos de acceso a base de datos sólo permiten que se obtengan los registros autorizados: int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID();

EJEMPLO DE UN ATAQUE