Ingenieria - Analisis de Redes y Sistemas de Comunicaciones (UPC)
UPC - Antihacking y Seguridad de Redes
-
Upload
misael-hbcplam -
Category
Documents
-
view
213 -
download
0
description
Transcript of UPC - Antihacking y Seguridad de Redes
PowerPoint Presentation
Anti Hacking y Seguridad de RedesMayo 2015
@UPCeduUPCedu Unidad 07Seguridad en Web y correo electrnico1Logro
Al finalizar la unidad, el alumno podr explicar los modos de seguridad en la web y en los correos electrnicos.
Generalidades
Antecedentes
Antecedentes
Antecedentes
Antecedentes
Tipos de Ataque
Inyeccin SQLEste ataque es utilizado por intrusos para comprometer aplicaciones que construyen sentencias SQL utilizando los datos suministrados por el usuario y es posible, debido a falta de validacin y saneamiento de los parmetros suministrados por el usuario.
Tipos de Ataque
Tipos de Ataque
Cross Site Scripting (XSS)XSS ocurre cuando portales web de contenido dinmico muestran variables de entrada suplidas por el usuario sin una propia validacin. Esta vulnerabilidad permite a un atacante la inyeccin de cdigo que ser ejecutado por el navegador Web de la persona que visualiza la pgina, (la vctima)
Tipos de Ataque
Tipos de Ataque
Manipulacin del Path
La manipulacin de path (Path Traversal) afecta a aplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema de archivos. Si el atacante ingresa caracteres especiales que modifican el path, la aplicacin podr permitir el acceso no autorizado a recursos del sistema.
Manipulacin del Path
Remote File Inclusion
Tcnica que permite el enlace de archivos remotos situados en otros servidores a causa de una mala programacin. Los lenguajes de programacin de lado servidor, permiten la inclusin de cdigo desde una ubicacin externa, tanto local como remota.
Remote File Inclusion
Frameworks de Aprendizaje
WebGoatAplicacin Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP.Actualmente existen ms de 30 lecciones que incluyen vulnerabilidades como XSS, Control de Accesos, SQL Injection, Cookies dbiles y Manipulacin de Parmetros.
Frameworks de Aprendizaje
Damn Vulnerable Wep ApplicationEs una aplicacin (PHP/MySQL) de entrenamiento en seguridad Web que se destaca por ser de liviano peso.Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script y Login Brute Force.
Antecedentes
Protocolo Pretty Good Privacy (PGP)
Su finalidad es proteger la informacin distribuida a travs de Internet con llaves pblicas y con firmas digitales.PGP es un hbrido ya que utiliza criptografa simtrica y asimtrica.PGP crea una clave de sesin secreta con criptografa simtrica (3DES) y luego aplica la clave pblica del receptor. (criptografa asimtrica)Permite generar certificados de identidad a travs de webs de confianza.La IETF se ha basado en PGP para crear el estndar de Internet Open PGP (GPG)
Protocolo GPG
GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que reemplaza a PGP y es software libre (OpenPGP)Es utilizado en todas las distribuciones Linux.Si forma de trabajo es similar a PGP.GPG utiliza algoritmos ElGamal, 3DES, AES y Blowfish.
Secure Multipurpose Internet Mail Extensions
Caractersticas de S/MIME
Al igual que SSL y TLS, S/MIME permite autenticacin con claves simtricas, certificados digitales y encriptacin de datos.Para las firmas digitales utiliza algoritmo RSA.Para la encriptacin simtrica utiliza RC2, DES y Triple DESPara las funciones hash emplea MD5 y SHA1.Sus aplicaciones incluyen transmisin de recibos de pagos y estados de cuenta bancarios, pagos en lnea y compras con tarjeta de crdito.
Funcionamiento de S/MIME
Configuracin S/MIME
Anti Hacking y Seguridad de RedesMayo 2015
@UPCeduUPCedu Unidad 07Seguridad en Web y correo electrnico28