OWASP APPSEC RIO DE LA PLATA dcotelo13

Slides:



Advertisements
Presentaciones similares
Presentación – Web Attack
Advertisements

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Mónica Acosta Yeison Ceballos Carlos Rodallega
Internet y tecnologías web
Servidores Web Capítulo 2.
CI-2413 Desarrollo de Aplicaciones para Internet
Herramientas para el uso de AJAX
Modelando aplicaciones
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
PORTAL WEB Manual de Usuario Perfil Autorizador
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Errores comunes al desarrollar websites
"java del lado del servidor" Servlet y JSP Java Server Pages.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Curso de PHP Tema 6: Seguridad.
66.69 Criptografía y Seguridad Informática 1er. Cuatrimestre 2011
Fundamentos de Javascript Desarrollo de Aplicaciones para Internet.
Tema 1 – Adopción de pautas de seguridad informática
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS
Ingeniero Anyelo Quintero
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
SISTEMAS OPERATIVOS EN LOS QUE FUNCIONA
Prof. José T. Cadenas. Aplicación Web La Internet y la Web hacen que sea fácil y atractivo poner toda la información en el cyberespacio, y la hace accesible.
Sistema de Gestión de Información Desarrollado por: Solange Ahumada K Bernardo Malet
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Lenguajes de programación Web
INTRODUCCIÓN A AJAX. ¿Qué es AJAX? Acrónimo de Asynchronous JavaScript And XML No es ninguna tecnología, ni lenguaje de programación. Es una técnica de.
Lenguajes de programación para la web Lenguaje html Lenguaje java script Es un lenguaje estático para el desarrollo de sitios web Ventajas: Sencillo que.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
Presentado por: YULI ANDREA CUELLAR M  Es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio.
Introducción al Lenguaje. ¿Qué es PHP? O Es un lenguaje de programación que es interpretado por un servidor web. O El lenguaje es genérico. PHP está orientado.
› Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.
Introducción a ataques de tipo inyección: Inyección SQL
Análisis de Usabilidad de página web : cartoonnetwork. com
Act. #8 Equipo #2 Hipertexto Servidores web Protocolos http Lenguaje Html Lenguaje Dhtml Lenguaje Asp Lenguaje JAVA SCRIPT.
TROYANO Integrantes: Nayeri Vázquez Méndez Ashley Cardoso Aguilar
Proyecto Bolsa de trabajo
Servidores web. Integrantes: Dany Alexander Orozco. Maycol Gómez Herrera. Luisa Fernanda Moncada.
Introducción al Lenguaje. ¿ Qué es PHP ? O Hypertext Pre-processoes (PHP) es un lenguaje de "código abierto" interpretado, de alto nivel, embebido en.
Ventajas y desventajas de enviar variables por el método POST
Cristian Fonnegra Marin
 Claudia Jordan Idrovo.  Son los puntos de enganche para cada conexión de red que realizamos. El protocolo TCP (el utilizado en internet) identifica.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.
Problemas Juridicos en Tecnologias de la Informacion Legislacion del Comercio Electronico Universidad Mundial.
Seguridad del protocolo HTTP:
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
HTML 5 Edgar Vázquez Ayala. Rolando Aarón Pérez Mandujano.
INTERNET. Amenazas contra la seguridad MALWARE (SOFTWARE MALICIOSO) Son programas diseñados para introducirse en ordenadores ajenos sin permiso y provocar.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Secuencia de Comandos en Sitios Cruzados XSS
Capítulo 9: Detección de Errores MSc. Alexis Cabrera Mondeja.
1     Sistema de gestión de contactos PARQUE E Miércoles, 29 de Abril de 2015   
MALWARE Juan Manuel Londoño Valentina Vanegas 9ºD.
Introducción al Lenguaje. ¿Qué es PHP? O Es un lenguaje de programación que es interpretado por un servidor web. O El lenguaje es genérico. PHP está orientado.
Ricardo Ovalle Navarro Isi Suriel Ponce Misael Arvizu Monserrate Contreras.
1. Sistema Integral de Comunicación, Control y Seguimiento de la Vigilancia Epidemiológica Fitosanitaria.
1. Sistema Integral de Comunicación, Control y Seguimiento de la Vigilancia Epidemiológica Fitosanitaria.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
Administración de Sitios Web Introducción al Lenguaje PHP
INTERNET. Amenazas contra la seguridad MALWARE (SOFTWARE MALICIOSO) Son programas diseñados para introducirse en ordenadores ajenos sin permiso y provocar.
Análisis de las principales vulnerabilidades de un sistema informático. Javier Rodríguez Granados.
MALWARE Mateo Ramírez Pérez Carolina Arango Díaz 9°D I:E LA SALLE DE CAMPOAMOR 2015.
Softlogia S.R.L. Formación de Recursos Humanos Java Server Faces Instructor: Martin R. Baspineiro.
Introducción a programación web Martin Esses. Formularios HTML se utilizan para pasar datos a un servidor. Un formulario HTML puede contener elementos.
Definición: Es un estilo de programación, su objetivo primordial es la separación de la capa de presentación, capa de negocio y la capa de datos. ARQUITECTURA.
Transcripción de la presentación:

OWASP APPSEC RIO DE LA PLATA dcotelo13

Típicamente encontrada en aplicaciones web. Ocurre cuando una aplicación toma datos ingresados por el usuario y los envía nuevamente al navegador El navegador de la victima renderiza el código HTML y ejecuta el código seleccionado por el atacante típicamente JavaScript Esta vulnerabilidad no afecta directamente a la aplicación sino a los usuarios. Variantes - Reflejado (Indirecto) - Almacenado (Directo) - Basado en DOM

 El atacante genera un link que contiene el código malicioso  Se hace disponible ese link a la victima ( , redes sociales, etc.)  La victima ingresa mediante el link a la aplicación  La aplicación Refleja el código malicioso en el navegador de la victima donde es renderizado y ejecutado.  Comúnmente encontrado en -Formularios de login -Paginas de mensajes

XSS Almacenado El atacante postea código malicioso o payload en el sitio afectado el cual persiste en el almacenamiento de la aplicación (SQL, XML, Etc.) La victima visita el sitio donde se renderiza el código malicioso y es ejecutado por el navegador del usuario. Comúnmente encontrado en - CMS - Foros - Sistemas de comentarios

 XSS Persistente o directo XSS Almacenado

 El atacante genera un link que contiene el código malicioso  Se hace disponible ese link a la victima ( , redes sociales, etc.)  La victima ingresa mediante el link a la aplicación  Permite controlar el flujo del objeto (toma de decisiones)  Elementos potencialmente vulnerables. ◦ document.URL ◦ document.URLUnencoded ◦ document.location (y demas propiedades) ◦ document.referrer ◦ window.location (y demas propiedades)

 Impacto moderado  Posibles resultados de un ataque -Web defasment -Secuestro de navegador -Robo de sesión - Propagación de malware  Utilizado para ataques mas elaborados y de mayor impacto

 Validación de campos y parámetros ingresados por el usuario Que largo debe tener? Que caracteres son adecuados? Que patrón seria valido? Es un capo requerido?  Encoding de la salidas.  Recordar que todas las peticiones HTTP están bajo el control del atacante (Parámetros, POTS, GET, Headers, etc.)

 Filtrar los males conocidos  Requiere mantenimiento ya que la lista deber ser actualizada permanentemente con sets caracteres y nuevos patrones  Puede requerir hasta 90 expresiones regulares.

 Chequear que los datos estén comprendidos entre la lista de valores aceptables.  Los datos deben ser Fuertemente tipados Chequear y minimizar el largo de los campos. Chequear si es un campo numérico. Se debe corroborar la sintaxis antes de ser usados.

 Es altamente recomendable utilizar una biblioteca especialmente diseñada para esta tarea  Algunas bibliotecas: HtmlSanitizer (.NET) - OWASP Java HTML Sanitizer - ojecthttps:// oject -PHP Html Purifier - -JavaScript/Node.JS Bleach - -Python Bleach -

@ dcotelo13

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.