In seguridad de aplicaciones web
Transcript of In seguridad de aplicaciones web
{IN} SEGURIDAD WEB
.com
PhpC#
JavaPyton
SQL ServerMy SQLOracle
PostgresqlXMLHTML 5, CSS 3, JavaScript
httphttps
SQLXMLLDap
httphttps
SQLXMLLDap
PhpC#
JavaPyton
SQL ServerMy SQLOracle
PostgresqlXMLHTML 5, CSS 3, JavaScript
La mayoría de los problemas de seguridad en los sistemas web se encuentran a nivel de aplicación y son el resultado de escritura
defectuosa de código. (malas prácticas por parte de los programadores).
Programar aplicaciones web seguras, no es una tarea fácil.
¿Por qué?
¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...
¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...
NO ES CERO!!!
El mundo nos demanda software, pero…
Concordancia del Software Desarrollado con los Requerimientos Funcionales explícitamente establecidos, con los
estándares explícitamente documentados y con toda característica (escalabilidad, robustez,
confiabilidad, seguridad, etc.) implícita que se espera un buen software
NO SOLO SE TRATA DE PROGRAMAR ARTESANALMENTE !!!
Entonces…
No es lo mismo construir, esto…
No es lo mismo construir, esto…
Que…
No es lo mismo construir, esto…
Que…
o…
TENEMOS QUE APLICAR INGENIERIAA NUESTROS PROYECTOS
¿cuál de las ingenierías?
Conjunto de Métodos, Técnicas y Herramientas para Desarrollar y
Mantener Software de Calidad (y su
documentación asociada) de modo Fiable, Rentable y que trabaje en máquinas
reales.
Ingeniería de
Software
Proceso | MetodologíaRUPAUPScrumXPCascada
Notación- UML- BPMN- Leng. Estructurado
Herramientas- Visual Studio, Eclipse, Netbeans- Enterprise Architect, - C#, PHP, Pyton, MySQL, etc.
Pero desarrollar software de calidad… No es una tarea fácil.
Pero no siempre sucede esto….
No existe un manual que te diga como desarrollar aplicaciones web 100% seguras
El software no solo debe cumplir con los requerimientos funcionales,
sino que también deben ser seguros
PrincipalesVulnerabilidadesOwasp TOP 10(errores de pogramación)
https://www.owasp.org
PrincipalesVulnerabilidadesOwasp TOP 10(errores de pogramación)
https://www.owasp.org
ATA
QU
ES D
E
FIN
GER
PRIT
ING
https://w3dt.net/tools/httpreconHTTPRecon
https://www.owasp.org/index.php/Main_Page
http://tools.whois.net/
https://wappalyzer.com
Php
Asp.Net
php.ini
Web.configASP.Net
Top 1 OWASP
https://www.mozilla.org/es-ES/firefox/developer/
http://sourceforge.net/projects/sqlmap/?source=typ_redirect
http://www.sqlpowerinjector.com/download.htm
Inyección SQL:
Inyección SQL:
V y V = V
Inyección SQL:
F y F o V
Inyección SQL:
F y F o V = V
Inyección SQL:
Inyección SQL:
' OR ''='
' or true --
' OR '1'='1' --
Inyección SQL:
No es complicado buscar aplicaciones web con este tipo de errores,
Solamente usando google
http://jcarlosrendon.morelosplaza.com/herramientas/ofuscador.php
http://sourceforge.net/projects/sqlmap/?source=typ_redirect
Inyección XSS:
Inyección XSS:
Inyección XSS:
Inyección XSS:
Asp.Net
Php
Exposición de
Credenciales de ACCESO
y Ataques Semánticos
No es complicado buscar aplicaciones web con este tipo de errores,
Solamente usando google
JavaScripthttp://www.danstools.com/javascript-obfuscate/index.phphttp://www.daftlogic.com/projects-online-javascript-obfuscator.htm
HTMLhttp://encriptarcodigos.blogspot.com/http://www.programasprogramacion.com/encriptar.php
PHPhttp://es.phpencode.org/http://elhappy.net/happy_proyectos/ofuscador/http://php.net/manual/es/function.blenc-encrypt.php
Exposición insegura de
RECURSOS
No es complicado buscar este tipo de errores,
Solamente usando google
.htaccess
Robots.txt
SEGURIDAD DE
BASES DE DATOS
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Replicación de Datos.
Servidores de Base de datos con réplica
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
Las contraseñas nunca se guardan en texto plano.
md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)
Replicación de Datos.
Servidores de Base de datos con réplica
Federación de Datos.
Base de Datos federados(solo estructura)
Usuarios y Privilegios.
Usuarios solo con los privilegios necesarios
USABILIDAD <> SEGURIDAD
Sabemos que nuestros sistemas deben ser seguros,
pero no deben afectar la usabilidad de los usuarios legítimos
La seguridad implementada en las aplicaciones web deben ser transparentes al usuario final
¿Se imaginan como podría ser el mejor sistema de seguridad del mundo?
Entendamos como funcionan las Aplicaciones Web para
conocer que tipo de ataques nos pueden realizar y así saber
cómo defendernos
Mantener actualizados nuestros sistemas
Cambia periódicamente tus credenciales de acceso
Adoptar buenas prácticas de programaciónAplica normas y estándares de seguridad (OWASP, ISO27001, ISO 27002, etc.)
Usabilidad y Seguridad no son proporcionales, llegue a un punto de equilibrio (transparencia)
Personas y Procesos sobre Herramientas
Filtra, valida tus entradas y escapa tus salidas
Propone Soluciones Inteligentes Módulo Administrador (escritorio) – Módulo Cliente (aplicación web)
TODO ESTO SIRVE,PERO….
¿CUÁL ES LA MEJOR HERAMIENTA DEFENSIVA?
Recuerda que la mayoría de los ataques a las aplicaciones web se deben a errores de programación….. La culpa es de programador!!!
TÚ Y TU CEREBRO….
Certificaciones:
• CEH: Certified Ethical Hacking
• CompTIA Security+
• Cisco CCNA Security
• CISSP: Certified Information
System Security Professional
• Owasp
http://8dot8.org/
https://www.owasp.org/index.php/LatamTour2016
http://hacking-bolivia.blogspot.com/http://hackmeeting.org.bo/
http://www.isaca.bo/
MD5(“GRACIAS”);3 e 0 a 5 f 7 e f 3 a e 9 0 2 8 9 a b e 8 8 0 2 3 b 9 8 7 c d 9
“ cebdb288f4f5c43a9219ceab15a7556404675dd3 ”
Muña v0.9
Es una aplicación web vulnerable parapracticar ataques del tipo inyección sql, xss,spam, base de datos, exposición decredenciales, de recursos. etc.
Descargar:
www.somosdas.com/muna