La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Aspectos de Seguridad en paginas Web

Publicada porMariano Robles Modificado hace 5 años

Presentaciones similares

Presentación del tema: "Aspectos de Seguridad en paginas Web"— Transcripción de la presentación:

1 Aspectos de Seguridad en paginas Web
Programación Web Aspectos de Seguridad en paginas Web

2 Puntos importantes a considerar
Conocer la amplia guía de desarrollo OWASP  , que cubre la seguridad de sitios web de forma muy completa. Conocer el fundamento de los ataques de inyección SQL  y cómo prevenirlos. Jamás confiar en los datos introducidos por los usuarios. Evitar el almacenamiento de contraseñas en texto plano utilizando técnicas criptográficas como hashes y salts. No intentes utilizar tu magnífico y elaborado sistema de autenticación; es bastante probable que existan fallos

3 Evitar el secuestro de sesiones (session hijacking ).
impredecibles de los que sólo te darás cuenta después de haber sido hackeado. Usar SSL/HTTPS en las páginas de identificación de usuarios y, en general, en todas aquellas páginas donde sea introducida información sensible, como datos personales o bancarios. Evitar el secuestro de sesiones (session hijacking ). Evitar los ataques XSS (Cross Site Scripting ). Evitar los ataques XSRF (Cross Site Request Forgeries ). Mantener tus sistemas actualizados con los últimos parches disponibles.

4 Asegurarse de que la información de conexión a la base de datos está almacenada en un lugar lo suficientemente seguro. Mantener informado sobre las últimas técnicas de ataque y vulnerabilidades que afecten a la plataforma sobre la que trabajas.  

5 Conceptos Inyección SQL : Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Ejemplillo: consulta := "SELECT * FROM usuarios WHERE nombre = ‘ " + nombreUsuario + “ ‘ ; “ Correcta: “Alicia” SELECT * FROM usuarios WHERE nombre = 'Alicia';

6 Codigo SQL Inyectado: "Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%“ Acción subsecuente: SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%'; Resultado: Se seleccionarán todos los “usuarios” con el nombre Alicia de la tabla “usuarios”, se eliminará la tabla “usuarios”, y por último se seleccionará para su manipulación posterior la tabla “datos”, que no debería (en teoría) estar disponible para los usuarios.

Descargar ppt "Aspectos de Seguridad en paginas Web"

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
Defensa contra ataques web comunes

Defensa contra ataques web comunes
Acceso a bases de datos MySQL en PHP

Acceso a bases de datos MySQL en PHP
Unidad 3 Tema “Transformacion Equivalentes”

Unidad 3 Tema “Transformacion Equivalentes”
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.
WEB VULNERABLE DVWA Universidad de Almería

WEB VULNERABLE DVWA Universidad de Almería
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
ATAQUES POR INYECCION DE CODIGO SQL

ATAQUES POR INYECCION DE CODIGO SQL
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.
XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.

XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.
Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL
PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.

PROCEDIMIENTOS ALMACENADOS Es una consulta almacenada en la base de datos en un servidor. Los P.A. Mejoran el Rendimiento Disminuyen el tráfico. Los P.A.
Secuencia de Comandos en Sitios Cruzados XSS

Secuencia de Comandos en Sitios Cruzados XSS
Alberto Rivera Tavera Microsoft Student Partner

Alberto Rivera Tavera Microsoft Student Partner
Base de Datos Auditoría – Orientación II Cr. Oscar Nielsen

Base de Datos Auditoría – Orientación II Cr. Oscar Nielsen
OWASP Top 10 Web Application Security Web Risks for ASP.NET Erwin Oviedo.

OWASP Top 10 Web Application Security Web Risks for ASP.NET Erwin Oviedo.
Consultas a mysql desde PHP índice 1. Introducción 5. Ejemplo 4. Tratamiento de datos 2. Instrucción SQL 3. Pasos C o n s u l t a s a m y s q l d e s d.

Consultas a mysql desde PHP índice 1. Introducción 5. Ejemplo 4. Tratamiento de datos 2. Instrucción SQL 3. Pasos C o n s u l t a s a m y s q l d e s d.
Ficha técnica Proyecto elaborado por Prof. Maura Lawrence Materia: Ciencias Sociales Expresiones Artística Tema: Gira.

Ficha técnica Proyecto elaborado por Prof. Maura Lawrence Materia: Ciencias Sociales Expresiones Artística Tema: Gira.
COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.

COMANDOS SQL. ¿QUÉ ES SQL? El lenguaje de consulta estructurado es un lenguaje declarativo que permite la creación, acceso e interacción de bases de datos.

Presentaciones similares

Anuncios Google