La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

REFERENCIA DIRECTA INSEGURA A OBJETOS

Publicada porCarlos Crespo Ayala Modificado hace 9 años

Presentaciones similares

Presentación del tema: "REFERENCIA DIRECTA INSEGURA A OBJETOS"— Transcripción de la presentación:

1 REFERENCIA DIRECTA INSEGURA A OBJETOS

2 DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación, tales como un fichero, directorio, registro de base de datos, o una clave tal como una URL o un parámetro de formulario Web.

3 Un atacante podría manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención.

4 ENTORNOS AFECTADOS: Todos los entornos de desarrollo de aplicaciones de Web son vulnerables presentando referencias a objetos internos de la aplicación.

5 VULNERABILIDAD Muchas aplicaciones presentan a los usuarios referencias a objetos internos. Un atacante podría manipular los parámetros de entrada a la aplicación cambiando estas referencias, saltándose de esta manera un control de accesos incorrectamente desarrollado

6 Con frecuencia, estas referencias apuntan a sistemas de ficheros y bases de datos, si bien cualquier otro elemento de la aplicación podría ser vulnerable por un problema de esta categoría.

7 EJEMPLO: En el ejemplo que se presenta a continuación, un atacante puede cambiar el parámetro "cartID" para obtener la información asociada a cualquier "carrito de la compra" de la aplicación. int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;

8 PROTECCION: La mejor protección es evitar presentar al usuario cualquier referencia directa a un objeto, mediante el uso de un índice, un mapa de referencias indirectas, o cualquier otro método que sea fácil de verificar. Si es necesario utilizar una referencia directa, se deberá comprobar que el usuario está autorizado a usarla antes de hacerlo.

9 En caso de que sea necesario presentar referencias a elementos de base de datos, hay que asegurarse de que las sentencias SQL y otros mecanismos de acceso a base de datos sólo permiten que se obtengan los registros autorizados: int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID();

10 EJEMPLO DE UN ATAQUE

11

12

13

Descargar ppt "REFERENCIA DIRECTA INSEGURA A OBJETOS"

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
Curso de PHP Tema 5: Sesiones.

Curso de PHP Tema 5: Sesiones.
SQL Y BASES DE DATOS A TRAVÉS DE LA WEB

SQL Y BASES DE DATOS A TRAVÉS DE LA WEB
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
integridad referencial

integridad referencial
RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.

RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Ing. Hernán Segismundo Abbamonte

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Ing. Hernán Segismundo Abbamonte
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Acceso a bases de datos MySQL en PHP

Acceso a bases de datos MySQL en PHP
EQUIPO ·# 3 SISTEMAS OPERATIVOS

EQUIPO ·# 3 SISTEMAS OPERATIVOS
Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.

Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
ACCESO A BASES DE DATOS ORACLE CON PHP

ACCESO A BASES DE DATOS ORACLE CON PHP
Curso de PHP Tema 6: Seguridad.

Curso de PHP Tema 6: Seguridad.
Oracle, orientado a objetos

Oracle, orientado a objetos
Enrique Cardenas Parga

Enrique Cardenas Parga
Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano

Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano
REFERENCIA AL OBJETO ACTUAL

REFERENCIA AL OBJETO ACTUAL
Planificación de la Información.

Planificación de la Información.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

Presentaciones similares

Anuncios Google