In seguridad de aplicaciones web

{IN} SEGURIDAD WEB

.com

PhpC#

JavaPyton

SQL ServerMy SQLOracle

PostgresqlXMLHTML 5, CSS 3, JavaScript

httphttps

SQLXMLLDap

httphttps

SQLXMLLDap

PhpC#

JavaPyton

SQL ServerMy SQLOracle

PostgresqlXMLHTML 5, CSS 3, JavaScript

La mayoría de los problemas de seguridad en los sistemas web se encuentran a nivel de aplicación y son el resultado de escritura

defectuosa de código. (malas prácticas por parte de los programadores).

Programar aplicaciones web seguras, no es una tarea fácil.

¿Por qué?

¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...

¿Cuál es la probabilidad que un mono se siente delante de una máquina y escriba una poesía? ...

NO ES CERO!!!

El mundo nos demanda software, pero…

Concordancia del Software Desarrollado con los Requerimientos Funcionales explícitamente establecidos, con los

estándares explícitamente documentados y con toda característica (escalabilidad, robustez,

confiabilidad, seguridad, etc.) implícita que se espera un buen software

NO SOLO SE TRATA DE PROGRAMAR ARTESANALMENTE !!!

Entonces…

No es lo mismo construir, esto…


Que…


Que…

o…

TENEMOS QUE APLICAR INGENIERIAA NUESTROS PROYECTOS

¿cuál de las ingenierías?

Conjunto de Métodos, Técnicas y Herramientas para Desarrollar y

Mantener Software de Calidad (y su

documentación asociada) de modo Fiable, Rentable y que trabaje en máquinas

reales.

Ingeniería de

Software

Proceso | MetodologíaRUPAUPScrumXPCascada

Notación- UML- BPMN- Leng. Estructurado

Herramientas- Visual Studio, Eclipse, Netbeans- Enterprise Architect, - C#, PHP, Pyton, MySQL, etc.

Pero desarrollar software de calidad… No es una tarea fácil.

Pero no siempre sucede esto….

No existe un manual que te diga como desarrollar aplicaciones web 100% seguras

El software no solo debe cumplir con los requerimientos funcionales,

sino que también deben ser seguros

PrincipalesVulnerabilidadesOwasp TOP 10(errores de pogramación)

https://www.owasp.org

ATA

QU

ES D

E

FIN

GER

PRIT

ING

https://w3dt.net/tools/httpreconHTTPRecon

https://www.owasp.org/index.php/Main_Page

http://tools.whois.net/

https://wappalyzer.com

Php

Asp.Net

php.ini

Web.configASP.Net

Top 1 OWASP

https://www.mozilla.org/es-ES/firefox/developer/

http://sourceforge.net/projects/sqlmap/?source=typ_redirect

http://www.sqlpowerinjector.com/download.htm

Inyección SQL:

Inyección SQL:

V y V = V

Inyección SQL:

F y F o V

Inyección SQL:

F y F o V = V

Inyección SQL:

Inyección SQL:

' OR ''='

' or true --

' OR '1'='1' --

Inyección SQL:

No es complicado buscar aplicaciones web con este tipo de errores,

Solamente usando google

http://jcarlosrendon.morelosplaza.com/herramientas/ofuscador.php

http://sourceforge.net/projects/sqlmap/?source=typ_redirect

Inyección XSS:

Asp.Net

Php

Exposición de

Credenciales de ACCESO

y Ataques Semánticos

No es complicado buscar aplicaciones web con este tipo de errores,


JavaScripthttp://www.danstools.com/javascript-obfuscate/index.phphttp://www.daftlogic.com/projects-online-javascript-obfuscator.htm

HTMLhttp://encriptarcodigos.blogspot.com/http://www.programasprogramacion.com/encriptar.php

PHPhttp://es.phpencode.org/http://elhappy.net/happy_proyectos/ofuscador/http://php.net/manual/es/function.blenc-encrypt.php

Exposición insegura de

RECURSOS

No es complicado buscar este tipo de errores,


.htaccess

Robots.txt

SEGURIDAD DE

BASES DE DATOS

Las contraseñas nunca se guardan en texto plano.

md5(“miclave”)Sha1(“miclave”) …(encriptación solo de ida)



Usuarios y Privilegios.

Usuarios solo con los privilegios necesarios



Replicación de Datos.

Servidores de Base de datos con réplica





Replicación de Datos.

Servidores de Base de datos con réplica

Federación de Datos.

Base de Datos federados(solo estructura)



W A FWeb Application Firewall

https://www.modsecurity.org/

https://www.modsecurity.org/

USABILIDAD <> SEGURIDAD

Sabemos que nuestros sistemas deben ser seguros,

pero no deben afectar la usabilidad de los usuarios legítimos

La seguridad implementada en las aplicaciones web deben ser transparentes al usuario final

¿Se imaginan como podría ser el mejor sistema de seguridad del mundo?

Entendamos como funcionan las Aplicaciones Web para

conocer que tipo de ataques nos pueden realizar y así saber

cómo defendernos

Mantener actualizados nuestros sistemas

Cambia periódicamente tus credenciales de acceso

Adoptar buenas prácticas de programaciónAplica normas y estándares de seguridad (OWASP, ISO27001, ISO 27002, etc.)

Usabilidad y Seguridad no son proporcionales, llegue a un punto de equilibrio (transparencia)

Personas y Procesos sobre Herramientas

Filtra, valida tus entradas y escapa tus salidas

Propone Soluciones Inteligentes Módulo Administrador (escritorio) – Módulo Cliente (aplicación web)

TODO ESTO SIRVE,PERO….

¿CUÁL ES LA MEJOR HERAMIENTA DEFENSIVA?

Recuerda que la mayoría de los ataques a las aplicaciones web se deben a errores de programación….. La culpa es de programador!!!

TÚ Y TU CEREBRO….

Certificaciones:

• CEH: Certified Ethical Hacking

• CompTIA Security+

• Cisco CCNA Security

• CISSP: Certified Information

System Security Professional

• Owasp

http://8dot8.org/

https://www.owasp.org/index.php/LatamTour2016

http://hacking-bolivia.blogspot.com/http://hackmeeting.org.bo/

http://www.isaca.bo/

MD5(“GRACIAS”);3 e 0 a 5 f 7 e f 3 a e 9 0 2 8 9 a b e 8 8 0 2 3 b 9 8 7 c d 9

“ cebdb288f4f5c43a9219ceab15a7556404675dd3 ”

Muña v0.9

Es una aplicación web vulnerable parapracticar ataques del tipo inyección sql, xss,spam, base de datos, exposición decredenciales, de recursos. etc.

Descargar:

www.somosdas.com/muna

In seguridad de aplicaciones web

Software

Transcript of In seguridad de aplicaciones web