La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

“Seguridad en Aplicaciones Web”

Publicada porEduardo Lozano Rojas Modificado hace 6 años

Presentaciones similares

Presentación del tema: "“Seguridad en Aplicaciones Web”"— Transcripción de la presentación:

1 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Consultor: JUAN DAVID BERRIO LOPEZ - Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam

2 “Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones-
“Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones-

3 “Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones-
“Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones- Son muchos los vectores de ataque actuales a las aplicaciones web, pero algunas técnicas son las mas usadas y conocidas entres los delincuentes informáticos, entre ellas se encuentran: SQL Injection Cross Site Scripting Directory Traversal Attacks CRLF Injection attacks Google hacking File inclusion ( Ver documentos realizados para cada uno de los ataques)

4 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Introducción: PHP es un lenguaje altamente difundido y utilizado en nuestro días, además de que libre, por lo que muchas aplicaciones con diversas orientaciones, se están construyendo en este potente Lenguaje de Programación. Dada la popularidad de este Lenguaje de programación y el alcance que tiene a nivel de desarrolladores y aplicaciones, es imprescindible tener unos criterios de seguridad, para el desarrollo de aplicaciones sobre PHP, además de comprender todos los vectores de ataque.

5 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Principales criterios a tener en cuenta para el desarrollo seguro de PHP: Herramientas tecnológicas y recursos existentes para mejorar la programación segura (Mostrar Presentación Appliance de Seguridad) Libros de desarrollo seguro en PHP OWASP PHP Top 5 Análisis de vulnerabilidades. Planeación de la seguridad a nivel del entorno tecnológico y a nivel del desarrollo del Código.

6 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Herramientas tecnológicas y recursos existentes para mejorar la programación segura (Mostrar Presentación Appliance de Seguridad).

7 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Puntos importantes de Partida:

8 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Consideraciones Iníciales: Considere el uso legitimo de su aplicación. Diseño Seguro: Un diseño seguro es sólo una parte de la solución. Durante el desarrollo, cuando el código se escribe, es importante considerar el uso ilegítimo de su aplicación. Por lo regular, la atención se centra en hacer que la aplicación funcione como se pretende, y si bien esto es necesario para entregar una aplicación funcione correctamente, esto no hace algo necesariamente para la seguridad de la aplicación. Procesos de educación y capacitación con la ayuda de las herramientas tecnológicas disponibles y documentación del tipo que se publica en el proyecto OWASP Aplicar las Directivas sobre PHP, que se encuentran en la “Guía para Construir Aplicaciones y Servicios Web Seguros” de la OWASP

9 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Al respecto de las directivas para PHP, se tiene lo siguiente: Variables Globales Register_Globals Inclusión y Ficheros Remotos Subida de Ficheros Sesiones Cross Site Scripting Inyecciones SQL Inyección de Código Inyecciones de Comando Opciones de Configuración

10 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Otros temas a tener presente son: Validar y desinfectar datos de entrada Protección contra los riesgos que se produce las entradas no validadas de forma adecuada. Mantener los archivos temporales de seguridad Prevenir secuestro de sesiones Seguridad en bases de datos Seguridad en el sistema de archivos

11 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Con el fin de proyectar procesos prácticos en el desarrollo seguro de aplicaciones PHP, se propone tener presente las siguientes herramientas y documentación: Damn Vulnerable Web App (DVWA) es una aplicación escrita en PHP/MYSQL, la cual es vulnerable a ataques informáticos. Su objetivo es totalmente con fines educativos, para que los ingenieros de infraestructura y desarrolladores practiquen y estudien n el tema relacionado con seguridad en aplicaciones web.

12 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Tener presente de descargar la maquina virtual para VMWARE: Damn Vulnerable Web App (DVWA), esta contenida dentro de esta Distro de Linux, de forma pre-configurada, además esta Distro tienen otras herramientas de análisis de vulnerabilidades y de estudio, tales como: OWASP’s WebGoat Hacme Casino

13 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Esta excelente Distro de Linux, es similar a DOJO, solo que tienen un mayor énfasis en llevar de forma metodológica un procesos de Test de penetración o Hacking Ético a un servidor web.

14 “Seguridad en Aplicaciones Web”
“Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Por ultimo se tienen dos versiones de Linux que son especialistas en ataques y auditorias intrusivas a las aplicaciones Web. OWASP LiVe CD es especial para el tema de seguridad en aplicaciones Web. Mientras que BackTrack, es especial en el tema de arquitectura de redes, pero también tiene muchísimas herramientas para evaluar la seguridad de un sitio web.

Descargar ppt "“Seguridad en Aplicaciones Web”"

Presentaciones similares

“Seguridad en Aplicaciones Web”

“Seguridad en Aplicaciones Web”
WEB VULNERABLE DVWA Universidad de Almería

WEB VULNERABLE DVWA Universidad de Almería
Instituto Tecnológico Superior de Nochistlán División Académica Ingeniería en Sistemas Computacionales “Manejo de Seguridad en PHP: Aplicaciones Seguras”

Instituto Tecnológico Superior de Nochistlán División Académica Ingeniería en Sistemas Computacionales “Manejo de Seguridad en PHP: Aplicaciones Seguras”
Integrantes: Giomara Delgado Miranda Miguel Villao Figueroa Juan Quiroz Asencio.

Integrantes: Giomara Delgado Miranda Miguel Villao Figueroa Juan Quiroz Asencio.
Global Consulteam es un compañía Colombiana dedicada a brindar servicios de consultoría, auditoría y transferencia de conocimiento, operados por un equipo.

Global Consulteam es un compañía Colombiana dedicada a brindar servicios de consultoría, auditoría y transferencia de conocimiento, operados por un equipo.
Introducción a los Ambientes Virtuales de Aprendizaje. Diplomado Alejandro Daniel Martínez Padilla. Web 2.0.

Introducción a los Ambientes Virtuales de Aprendizaje. Diplomado Alejandro Daniel Martínez Padilla. Web 2.0.
Alfa21 Outsourcing S.L. Un ejemplo de modelo de negocio basado en Software Libre 13 de julio de 2006

Alfa21 Outsourcing S.L. Un ejemplo de modelo de negocio basado en Software Libre 13 de julio de 2006
The OWASP Foundation OWASP LATAM TOUR 2012 OWASP Mantra Security Framework Walter Cuestas Agramonte Open-Sec

The OWASP Foundation OWASP LATAM TOUR 2012 OWASP Mantra Security Framework Walter Cuestas Agramonte Open-Sec
Seguridad en Entornos Virtuales de Aprendizaje: Análisis sobre seguridad en actividades colaborativas desarrolladas el Máster de e-learning de la UOC Seguridad.

Seguridad en Entornos Virtuales de Aprendizaje: Análisis sobre seguridad en actividades colaborativas desarrolladas el Máster de e-learning de la UOC Seguridad.
RedIRIS Jornadas Técnicas 2009 Santiago de Compostela Inmaculada Bravo García Reyes Hernández Rodriguez Mº Teresa Calvo Moya Universidad de Salamanca,

RedIRIS Jornadas Técnicas 2009 Santiago de Compostela Inmaculada Bravo García Reyes Hernández Rodriguez Mº Teresa Calvo Moya Universidad de Salamanca,
El Ingeniero de Sistemas puede trabajar como empleado o de forma independiente desempeñando múltiples roles, que van desde lo administrativo, directivo.

El Ingeniero de Sistemas puede trabajar como empleado o de forma independiente desempeñando múltiples roles, que van desde lo administrativo, directivo.
Desarrollo de un Laboratorio remoto-virtual para la enseñanza de cursos de Ingeniería Ing. Angelo Velarde Profesor Auxiliar Ingeniería de las Telecomunicaciones.

Desarrollo de un Laboratorio remoto-virtual para la enseñanza de cursos de Ingeniería Ing. Angelo Velarde Profesor Auxiliar Ingeniería de las Telecomunicaciones.
David Chacón Muñoz. Servidor de Streaming Es la retrasmisión multimedia (audio y video) a través de la red. Actualmente hay dos grandes plataformas de.

David Chacón Muñoz. Servidor de Streaming Es la retrasmisión multimedia (audio y video) a través de la red. Actualmente hay dos grandes plataformas de.
COMUNICACIÓN Y TIC Ángela Espinosa Hayler Peñaranda.

COMUNICACIÓN Y TIC Ángela Espinosa Hayler Peñaranda.
UNIVERSIDAD FERMIN TORO CABUDARE ENSAYO TIPOS DE SOFTWARE E IMPORTANCIA JUNIO 2014.

UNIVERSIDAD FERMIN TORO CABUDARE ENSAYO TIPOS DE SOFTWARE E IMPORTANCIA JUNIO 2014.
Conocida también como informática en la nube, del inglés Cloud Computing, es un modelo o paradigma para la utilización de los recursos informáticos,

Conocida también como informática en la nube, del inglés Cloud Computing, es un modelo o paradigma para la utilización de los recursos informáticos,
Certificado Profesional de Hacking Ético (CPHE)

Certificado Profesional de Hacking Ético (CPHE)
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:

Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
Seguridad en .ES. Evolución de la seguridad del registro

Seguridad en .ES. Evolución de la seguridad del registro
ESPECIALIZACION EN ADMINISTRACION DE LA INFORMATICA EDUCATIVA

ESPECIALIZACION EN ADMINISTRACION DE LA INFORMATICA EDUCATIVA

Presentaciones similares

Anuncios Google