If you can't read please download the document
Upload
gabriel-arellano
View
6.187
Download
0
Embed Size (px)
DESCRIPTION
Presentación en el marco de la Semana Internacional de la Seguridad Informática 2008 brindada en Concepción del Uruguay el 27/11/2008
Citation preview
2. Contenidos
3. Introduccin a las aplicaciones web. 4. Amenazas a las aplicaciones web. 5. Algunos ejemplos. 6. Demostracin en vivo. 7. Recursos y lecturas adicionales. 8. Aplicaciones Web Qu son las aplicaciones web? pginas estticas? pginas dinmicas? pginas activas? CGI? (X)HTML? Webservices? HTTP? XML? DHTML? Javascript? AJAX? 9. Aplicaciones Web Ciclo solicitud-respuesta Solicitud + Datos HTTP (GET - POST), Variables de Sesin Respuesta (X)HTML+CSS, XML+XSLT 10. Componentes Una aplicacin web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la seguridad:
11. Lenguaje(s) / Framework. 12. Servidor web. 13. Servidor de base de datos. 14. Navegador Web. 15. Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos:
16. Problemas de autenticacin. 17. Problemas de manejo de sesiones. 18. Vulnerabilidades Algunos problemas de validacin de datos:
19. Cross Site Scripting (XSS). 20. Buffer Overflow. 21. Vulnerabilidades Demostracin de algunos problemas de validacin de datos. 22. Validacin de Datos Prevencin:
23. Nunca asuma que la informacin proviene de la aplicacin. 24. Sanear las entradas de usuario. 25. Validar en el servidor. 26. Ocultar errores y fallar en seguro. 27. Vulnerabilidades Algunos problemas de autenticacin:
28. Ataques de fuerza bruta. 29. Buffer Overflow. 30. Abuso del recordar contrasea 31. Vulnerabilidades Algunos problemas de manejo de sesiones:
32. Variables de sesin expuestas. 33. Cross Site Request Forgery. 34. Cross Site Request Forgery Poltica del mismo origen document, cookies bank.com blog.net JS 35. Cross Site Request Forgery Por ejemplo colocando en blog.com:
Parece una simple pgina con un poco de texto, no?
36. Cross Site Request Forgery Ataque a una red segura 37. Vulnerabilidades Demostracin de unataque de CSRF. 38. Cross Site Request Forgery Prevencin:
39. Usar GET de manera apropiada. 40. Usar tokens y TTLs. 41. Reautenticar en el cliente usando AJAX. 42. Lecturas Adicionales Open Web Application Security Project (OWASP) http://www.owasp.org/
43. OWASP Code Review Guide. SQL Injection Attacks by Example http://unixwiz.net/techtips/sql-injection.html 44. Gracias ! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ (2008) Gabriel E. Arellano Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as applicable to this document can be found at:http://www.gnu.org/copyleft/fdl.html