Seguridad en la Web WEBMASTER Echo por el famoso hacker el japar18.

Seguridad en la Web

WEBMASTEREcho por el famoso hacker

el japar18

WEBMASTEREcho por el famoso hacker el japar18


el japar18

WEBMASTEREcho por el famoso hacker el japar18


el japar18

Seguridad en la Web

Ataques a la Web

• A la computadora del usuario• Al servidor• A la información en tránsito


el japar18

La seguridad en web tiene 3 etapas primarias:

• Seguridad de la computadora del usuario• Seguridad del servidor web y de los datos almacenados ahí.• Seguridad de la información que viaja entre el servidor web y el usuario


el japar18

Seguridad de la computadora del usuario

Los usuarios deben contar con navegadores yplataformas seguras, libres de virus yvulnerabilidades.

También debe garantizarse la privacidad de los datos del usuario.


el japar18

Seguridad del servidor web y de los datos almacenados

Se debe garantizar la operación continua delservidor, que los datos no sean modificados sinautorización (integridad) y que la informaciónsólo sea distribuida a las personas autorizadas(control de acceso).


el japar18

Seguridad de la información que viaja entre el servidor web y el usuario

Garantizar que la información en tránsito no sea leída (confidencialidad), modificada o destruida por terceros. También es importante asegurar que el enlace entre cliente y servidor no pueda interrumpirse fácilmente (disponibilidad).


el japar18

WEBMASTER

Introducción a los Ataques

Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque.

Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño.

Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos. Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y tomar medidas preventivas.

Echo por el famoso hacker el japar18

http://es.kioskea.net/contents/systemes/sysintro.php3

http://es.kioskea.net/contents/virus/virus.php3

http://es.kioskea.net/contents/virus/trojan.php3

http://es.kioskea.net/contents/virus/worms.php3

WEBMASTER

Los ataques pueden ejecutarse por diversos motivos:

•para obtener acceso al sistema; •para robar información, como secretos industriales o propiedad intelectual; •para recopilar información personal acerca de un usuario; •para obtener información de cuentas bancarias; •para obtener información acerca de una organización (la compañía del usuario, etc.); •para afectar el funcionamiento normal de un servicio; •para utilizar el sistema de un usuario como un "rebote" para un ataque; •para usar los recursos del sistema del usuario, en particular cuando la red en la que está ubicado tiene un ancho de banda considerable.



el japar18

WEBMASTER

Los riesgos se pueden clasificar de la siguiente manera:

Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos:

Interrupción del suministro eléctrico. Apagado manual del equipo. Vandalismo. Apertura de la carcasa del equipo y robo del disco duro. Monitoreo del tráfico de red.

Intercepción de comunicaciones: Secuestro de sesión. Falsificación de identidad. Redireccionamiento o alteración de mensajes.

Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio se dividen de la siguiente manera:

Explotación de las debilidades del protocolo TCP/IP. Explotación de las vulnerabilidades del software del servidor.


WEBMASTER

Intrusiones: Análisis de puertos. Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador). En ciertos casos, esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio. Ataques malintencionados (virus, gusanos, troyanos).

Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño, genera una vulnerabilidad en el sistema al brindar información (la contraseña, por ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede, ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común, la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores. Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento.


WEBMASTER

Un virus es un pequeño programa informático que se encuentra dentro de otro programa que, una vez ejecutado, se carga solo en la memoria y cumple instrucciones programadas por su creador. La definición de un virus podría ser la siguiente: "Cualquier programa de informática que puede infectar a otro programaalterándolo gravemente y que puede reproducirse".

Un gusano es un programa que se reproduce por sí mismo, que puede viajar a través de redes utilizando los mecanismos de éstas y que no requiere respaldo de software o hardware (como un disco duro, un programa host, un archivo, etc.) para difundirse. Por lo tanto, un gusano es un virus de red.

Un Troyano es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario. El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya.

Las "bombas lógicas" son piezas de código de programa que se activan en un momento predeterminado, como por ejemplo, al llegar una fecha en particular, al ejecutar un comando o con cualquier otro evento del sistema.


http://es.kioskea.net/contents/informatique/informatique.php3

http://es.kioskea.net/contents/pc/disque.php3

WEBMASTER

Tipos de Ataques en aplicaciones web

Autenticación

1. Fuerza brutaUn ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar un nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica.2. Autenticación insuficienteLa autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente.3. Débil Validación en la recuperación de contraseñasLa débil validación en la recuperación de contraseñas se produce cuando un sitio web permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contraseña de otro usuario.


WEBMASTER


Autorización

1. Predicción de credenciales/sesiónLa predicción de credenciales/sesión es un método de secuestro o suplantación de un usuario del sitio web.2. Autorización insuficienteLa autorización insuficiente se produce cuando un sitio web permite acceso a contenido sensible o funcionalidades que deberían requerir un incremento de las restricciones en el control de acceso.3. Expiración de sesión insuficienteLa expiración de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o IDs de sesión antiguos para llevar a cabo la autorización.4. Fijación de sesiónLa fijación de sesión es una técnica de ataque que fuerza al ID de sesión de un usuario a adoptar un valor determinado.


WEBMASTER


Ataques en la parte cliente

1. Suplantación de contenidoLa suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es.2. Cross-site scriptingCross-site Scripting (XSS) es una técnica de ataque que fuerza a un sitio web a repetir código ejecutable facilitado por el atacante, y que se cargará en el navegador del usuario.


WEBMASTER

Tipos de Ataques en aplicaciones webEjecución de comandos

1.Desbordamiento de bufferLa explotación de un desbordamiento de buffer es un ataque que altera

el altera el flujo de una aplicación sobrescribiendo partes de la memoria.

2. Ataques de formato de cadenaLos ataques de formato de cadena alteran el flujo de una aplicación utilizando las capacidades proporcionadas por las librerías de formato de cadenas para acceder a otro espacio de memoria.

3. Inyección LDAPLa inyección LDAP es una técnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario.


WEBMASTER

Tipos de Ataques en aplicaciones webEjecución de comandos

4. Comandos de Sistema OperativoLos comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación.5. Inyección de código SQLLa inyección de código SQL es una técnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario.6. Inyección de código SSILa inyección de código SSI (Server-side Include) es una técnica de explotación en la parte servidora que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutado localmente por el servidor web.7. Inyección XPathLa inyección XPath es una técnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.


WEBMASTER


Revelación de información

17. Indexación de directorioLa indexación/listado automático de directorio es una función del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual.18. Fuga de informaciónLa fuga de información se produce cuando un sitio web revela información sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema.19. Path TraversalLa técnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” del servidor web.20. Localización de recursos predeciblesLa localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.


WEBMASTER


Ataques lógicos1. Abuso de funcionalidadEl abuso de funcionalidad es una técnica de ataque que usa las propias capacidades y funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control de acceso.2. Denegación de servicioLa denegación de servicio (Denial of Service, DoS) es una técnica de ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual de los usuarios.3. Anti-automatización insuficienteLa anti-automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo manualmente.4. Validación de proceso insuficienteLa validación de proceso insuficiente se produce cuando un sitio web permite a un atacante evadir o engañar el flujo de control esperado por la aplicación.


WEBMASTER

Medidas de protección

A nivel de código:

o La regla básica es VALIDAR LAS ENTRADAS!!!.

o Intentar evitar código que requiera muchas operaciones o un consumo excesivo de la CPU.

oComprobar el rendimiento de las funciones e intentar optimizarlas lo máximo posible.


WEBMASTER

A nivel de red:

o Implementar soluciones de balanceo de carga y cache si fuese necesario.

o Implementar un firewall de aplicación como ModSecurity que ayuda a protegernos de ataques contra las aplicaciones que se nos hayan podido pasar al revisar el código.

o Estudiar el retorno de inversión de un sistema comercial de protección contra este tipo de ataques e incluirlo en la red si es necesario.


WEBMASTER

Un firewall es un programa (aunque también los hay de hardware, que por cierto son mejores y carísimos) que controla todo el software que se pone en comunicación con o desde nuestro PC. Es decir, toda comunicación entrante y saliente. Controla tanto programas en concreto como protocolos de comunicación, algunos incluso controlan las cookies, las ventanas emergentes, la salida de contraseñas, banners publicitarios,... De esta forma y dependiendo de la opciones de cada programa, se pueden permitir, bloquear, monitorizar,... todo aquello que se mueva entre nuestro PC y la red.


WEBMASTER

Los Spywares o archivos espías son unas diminutas aplicaciones cuyo objetivo es el envío de datos del sistema donde están instalados, mediante la utilización subrepticia de la conexión a la red, a un lugar exterior, el cual por lo general resulta ser una empresa de publicidad de Internet. Estas acciones son llevadas a cabo sin el conocimiento del usuario.


WEBMASTER

Encriptación

La encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave.

Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.

El texto plano que está encriptado o cifrado se llama criptograma.


http://www.alegsa.com.ar/Dic/clave.php

Seguridad en la Web WEBMASTER Echo por el famoso hacker el japar18.

Documents

Transcript of Seguridad en la Web WEBMASTER Echo por el famoso hacker el japar18.