in seguridad de aplicaciones web
TRANSCRIPT
![Page 1: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/1.jpg)
{IN} SEGURIDAD WEB
.com
![Page 2: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/2.jpg)
![Page 3: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/3.jpg)
![Page 4: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/4.jpg)
![Page 5: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/5.jpg)
![Page 6: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/6.jpg)
![Page 7: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/7.jpg)
PhpC#
JavaPyton
SQL ServerMy SQLOracle
PostgresqlXMLHTML 5, CSS 3, JavaScript
httphttps
SQLXMLLDap
![Page 8: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/8.jpg)
httphttps
SQLXMLLDap
PhpC#
JavaPyton
SQL ServerMy SQLOracle
PostgresqlXMLHTML 5, CSS 3, JavaScript
![Page 9: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/9.jpg)
La mayoría de los problemas de seguridad en los sistemas web se encuentran a nivel de aplicación y son el resultado de escritura
defectuosa de código. (malas prácticas por parte de los programadores).
Programar aplicaciones web seguras, no es una tarea fácil.
![Page 10: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/10.jpg)
¿Por qué?
![Page 11: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/11.jpg)
¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...
![Page 12: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/12.jpg)
¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...
NO ES CERO!!!
![Page 13: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/13.jpg)
![Page 14: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/14.jpg)
El mundo nos demanda software, pero…
![Page 15: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/15.jpg)
Concordancia del Software Desarrollado con los Requerimientos Funcionales explícitamente establecidos, con los
estándares explícitamente documentados y con toda característica (escalabilidad, robustez,
confiabilidad, seguridad, etc.) implícita que se espera un buen software
![Page 16: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/16.jpg)
NO SOLO SE TRATA DE PROGRAMAR ARTESANALMENTE !!!
Entonces…
![Page 17: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/17.jpg)
No es lo mismo construir, esto…
![Page 18: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/18.jpg)
No es lo mismo construir, esto…
Que…
![Page 19: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/19.jpg)
No es lo mismo construir, esto…
Que…
o…
![Page 20: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/20.jpg)
TENEMOS QUE APLICAR INGENIERIAA NUESTROS PROYECTOS
¿cuál de las ingenierías?
![Page 21: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/21.jpg)
Conjunto de Métodos, Técnicas y Herramientas para Desarrollar y
Mantener Software de Calidad (y su
documentación asociada) de modo Fiable, Rentable y que trabaje en máquinas
reales.
![Page 22: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/22.jpg)
Ingeniería de
Software
Proceso | MetodologíaRUPAUPScrumXPCascada
Notación- UML- BPMN- Leng. Estructurado
Herramientas- Visual Studio, Eclipse, Netbeans- Enterprise Architect, - C#, PHP, Pyton, MySQL, etc.
![Page 23: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/23.jpg)
Pero desarrollar software de calidad… No es una tarea fácil.
Pero no siempre sucede esto….
No existe un manual que te diga como desarrollar aplicaciones web 100% seguras
El software no solo debe cumplir con los requerimientos funcionales,
sino que también deben ser seguros
![Page 24: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/24.jpg)
PrincipalesVulnerabilidadesOwasp TOP 10(errores de pogramación)
https://www.owasp.org
![Page 25: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/25.jpg)
PrincipalesVulnerabilidadesOwasp TOP 10(errores de pogramación)
https://www.owasp.org
![Page 26: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/26.jpg)
ATA
QU
ES D
E
FIN
GER
PRIT
ING
![Page 27: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/27.jpg)
https://w3dt.net/tools/httpreconHTTPRecon
https://www.owasp.org/index.php/Main_Page
http://tools.whois.net/
https://wappalyzer.com
![Page 28: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/28.jpg)
Php
Asp.Net
![Page 29: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/29.jpg)
![Page 30: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/30.jpg)
php.ini
Web.configASP.Net
![Page 31: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/31.jpg)
![Page 32: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/32.jpg)
![Page 33: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/33.jpg)
Top 1 OWASP
https://www.mozilla.org/es-ES/firefox/developer/
http://sourceforge.net/projects/sqlmap/?source=typ_redirect
http://www.sqlpowerinjector.com/download.htm
![Page 34: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/34.jpg)
Inyección SQL:
![Page 35: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/35.jpg)
Inyección SQL:
V y V = V
![Page 36: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/36.jpg)
Inyección SQL:
F y F o V
![Page 37: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/37.jpg)
Inyección SQL:
F y F o V = V
![Page 38: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/38.jpg)
Inyección SQL:
![Page 39: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/39.jpg)
Inyección SQL:
' OR ''='
' or true --
' OR '1'='1' --
![Page 40: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/40.jpg)
Inyección SQL:
![Page 41: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/41.jpg)
No es complicado buscar aplicaciones web con este tipo de errores,
Solamente usando google
![Page 42: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/42.jpg)
![Page 43: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/43.jpg)
![Page 44: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/44.jpg)
![Page 45: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/45.jpg)
![Page 46: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/46.jpg)
![Page 47: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/47.jpg)
http://jcarlosrendon.morelosplaza.com/herramientas/ofuscador.php
http://sourceforge.net/projects/sqlmap/?source=typ_redirect
![Page 48: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/48.jpg)
Inyección XSS:
![Page 49: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/49.jpg)
Inyección XSS:
![Page 50: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/50.jpg)
Inyección XSS:
![Page 51: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/51.jpg)
Inyección XSS:
![Page 52: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/52.jpg)
Asp.Net
Php
![Page 53: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/53.jpg)
Exposición de
Credenciales de ACCESO
y Ataques Semánticos
![Page 54: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/54.jpg)
No es complicado buscar aplicaciones web con este tipo de errores,
Solamente usando google
![Page 55: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/55.jpg)
JavaScripthttp://www.danstools.com/javascript-obfuscate/index.phphttp://www.daftlogic.com/projects-online-javascript-obfuscator.htm
HTMLhttp://encriptarcodigos.blogspot.com/http://www.programasprogramacion.com/encriptar.php
![Page 56: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/56.jpg)
PHPhttp://es.phpencode.org/http://elhappy.net/happy_proyectos/ofuscador/http://php.net/manual/es/function.blenc-encrypt.php
![Page 57: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/57.jpg)
Exposición insegura de
RECURSOS
![Page 58: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/58.jpg)
No es complicado buscar este tipo de errores,
Solamente usando google
![Page 59: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/59.jpg)
.htaccess
Robots.txt
![Page 60: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/60.jpg)
SEGURIDAD DE
BASES DE DATOS
![Page 61: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/61.jpg)
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
![Page 62: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/62.jpg)
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
![Page 63: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/63.jpg)
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Replicación de Datos.
Servidores de Base de datos con réplica
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
![Page 64: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/64.jpg)
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Replicación de Datos.
Servidores de Base de datos con réplica
Federación de Datos.
Base de Datos federados(solo estructura)
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
![Page 66: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/66.jpg)
USABILIDAD <> SEGURIDAD
Sabemos que nuestros sistemas deben ser seguros,
pero no deben afectar la usabilidad de los usuarios legítimos
La seguridad implementada en las aplicaciones web deben ser transparentes al usuario final
![Page 67: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/67.jpg)
¿Se imaginan como podría ser el mejor sistema de seguridad del mundo?
![Page 68: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/68.jpg)
Entendamos como funcionan las Aplicaciones Web para
conocer que tipo de ataques nos pueden realizar y así saber
cómo defendernos
Mantener actualizados nuestros sistemas
Cambia periódicamente tus credenciales de acceso
Adoptar buenas prácticas de programaciónAplica normas y estándares de seguridad (OWASP, ISO27001, ISO 27002, etc.)
![Page 69: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/69.jpg)
Usabilidad y Seguridad no son proporcionales, llegue a un punto de equilibrio (transparencia)
Personas y Procesos sobre Herramientas
Filtra, valida tus entradas y escapa tus salidas
Propone Soluciones Inteligentes Módulo Administrador (escritorio) – Módulo Cliente (aplicación web)
![Page 70: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/70.jpg)
TODO ESTO SIRVE,PERO….
¿CUÁL ES LA MEJOR HERAMIENTA DEFENSIVA?
Recuerda que la mayoría de los ataques a las aplicaciones web se deben a errores de programación….. La culpa es de programador!!!
![Page 71: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/71.jpg)
TÚ Y TU CEREBRO….
Certificaciones:
• CEH: Certified Ethical Hacking
• CompTIA Security+
• Cisco CCNA Security
• CISSP: Certified Information
System Security Professional
• Owasp
![Page 72: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/72.jpg)
http://8dot8.org/
https://www.owasp.org/index.php/LatamTour2016
http://hacking-bolivia.blogspot.com/http://hackmeeting.org.bo/
http://www.isaca.bo/
![Page 73: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/73.jpg)
MD5(“GRACIAS”);3 e 0 a 5 f 7 e f 3 a e 9 0 2 8 9 a b e 8 8 0 2 3 b 9 8 7 c d 9
![Page 74: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/74.jpg)
“ cebdb288f4f5c43a9219ceab15a7556404675dd3 ”
![Page 75: In seguridad de aplicaciones web](https://reader030.vdocumento.com/reader030/viewer/2022020203/58ed7be61a28abc2698b4645/html5/thumbnails/75.jpg)
Muña v0.9
Es una aplicación web vulnerable parapracticar ataques del tipo inyección sql, xss,spam, base de datos, exposición decredenciales, de recursos. etc.
Descargar:
www.somosdas.com/muna