Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Diapositiva 1
Diapositiva 1
Presentación de la asignatura
+ TEMA 1
Seguridad en aplicaciones online y BD
Contenido asignatura:
Arquitecturas Navegadores
Problemas Arquitecturas web
de
inherentes a las de Almacenes
Aplicaciones Servidores de
aplicaciones de datos
web aplicaciones
web
Servidores de
El protocolo http Bases de datos
El concepto de n-CAPAS SERVICIOS
Comunicación
W EB 2.0 XML LDAP SGBD,s
SANBOX MVC W EB
TEST
POLÍTICA DE
SEGURIDAD
SGSI
ESTÁNDARES DE
SEGURIDAD
8
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Seguridad en aplicaciones online y BD
Tema 2. Seguridad de las aplicaciones online
ACTIVIDADES
TEST
SERVICIOS WEB:
Arquitectura
Dimensiones seguridad
Requisitos de seguridad
Amenazas y riesgos
FUNCIONES DE
SEGURIDAD SEGURIDAD ONLINE:
TEST
Autenticación Monitorización y auditoría
Evaluación de la
Gestión de identidad y relación seguridad SW Disponibilidad Seguridad
de confianza servicio
Autorización y control de descubrimiento
acceso Protección online:
Confidencialidad e integridad GATEWAYS XML
Firewalls XML
ACTIVIDADES
TEST
Amenazas y vulnerabilidades
Elementos de seguridad comunes
Requisitos de seguridad comunes
Seguridad online
Seguridad en LDAP
ELEMENTOS DE REQUISITOS DE
SEGURIDAD COMUNES SEGURIDAD COMUNES
SEGURIDAD ONLINE
Autenticación Diseño de la seguridad y configuración Auditoría
Replicación
Autorización Control de acceso Clustering
Backup y recuperación
Confidencialidad e integridad Seguridad del entorno (capas
aplicación)
Protección Online:
Disponibilidad Seguridad perimetral Firewalls DB
Continuidad
ACTIVIDADES
Trabajo: Instalar y configurar un firewall de base de datos (Re)
TEST (OB)
Ob Foro:Seguridad en SW…
Política de seguridad
SSDLC
• S'tarting •
•
• •
• •
Step 1
RIISK
t MANAGEMENT
+
Step 4
1. Revisión de código
2. Análisis de riesgo arquitectónico
3. Pruebas de penetración
4. Pruebas de seguridad basados en riesgo
5. Casos de abuso
6. Requisitos de Seguridad
7. Operaciones de Seguridad
8. Revisión externa
Autenticar
Proporcionar confidencialidad
Mantener la disponibilidad
No repudio.
Problemas
Arquitecturas Navegadores web
inherentes a Arquitecturas
las de Servidores de
de Almacenes aplicaciones
aplicaciones Aplicaciones
de datos
web web Servidores de
Bases de datos
El protocolo Comunicación
http
n-CAPAS SERVICIOS
W EB 2.0 XML LDAP SGBD,s
El concepto de MVC W EB
SANBOX
Fuente: Graff M.
Cleartext credentials 6%
Poor error messages 6%
Robo de credenciales
Ingeniería social
Vulnerabilidades en el código
Fallos en la configuración
Fallos en los protocolos
Information Leakage
Virus, troyanos, rootkits
Denegación de servicio
Botnets
Hombre en medio: suplantación
• OWASP
• Top 10
• Cheat Sheets
• ZAP Proxy
• SAMM
• Development Guide
• Testing Guide
• ModSecurity Ruleset (FW)
• Benchmark Project
• Appsensor
• WASC
• SANS
• Top 25 vulnerabilidades
https://www.sans.org/top25-software-errors/
• Recursos
• https://www.sans.org/security-resources/
• MITRE
• MITRE CWE
• MITRE CVE
• MITRE CAPEC
• MITRE OVAL
https://oval.mitre.org/repository/data/search/in
dex
• NIST
• Guías seguridad SO, servidores web, …
• Ciclo de vida SSDLC SP 800 53 rev4
• Monitorización contínua SP 800 137
• SAMATE benchmarks evaluación de
herramientas (SRD)
• NVD https://nvd.nist.gov/
• SCAP
• NSA
• Guías de seguridad SGBD,s, LDAP,
navegadores
• https://www.iad.gov/iad/library/ia-
guidance/security-configuration/?page=1
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera 42
Seguridad en aplicaciones online
Estándares de seguridad en aplicaciones online
SCAP (Secure Content Automation Protocol
• Common Vulnerabilities and Exposures (siglas CVE): Es una lista de información de seguridad sobre
vulnerabilidades con el objetivo de proveer una nomenclatura común para el conocimiento público de este
tipo de problemas. Antes de publicar una vulnerabilidad o exposición pasa por ciertas etapas previas por lo
que la lista no contiene vulnerabilidades recién descubiertas.
• Common Configuration Enumeration (siglas CCE).- Es similar a CVE pero contienen vulnerabilidades de
seguridad e incosistencias de interfaces encontradas en configuraciones de sistemas. Provee la información en
forma narrativa y normalmente recomienda soluciones.
• Common Platform Enumeration (siglas CPE).- Se ocupa de la correcta nomenclatura del software y ofrece una
estructura jerárquica. De esta forma se facilita la gestión del nombre del software.
• eXtensible Configuration Checklist Description Format (siglas XCCDF).- Es una plantilla XML que facilita la
preparación estandarizada de documentos guia de seguridad que presentan vulnerabilidades de seguridad del
software
• Open Vulnerability and Assessment Language (siglas OVAL).- Es un lenguaje para representar información de
configuración, evaluación de los estados de la máquina e informes de resultados de la evaluación.
• Common Vulnerability Scoring System (siglas CVSS).- Es un algoritmo que tiene en cuenta distintos parámetros
relativos al software y da una expresión del nivel de seguridad calculado.
• Open Checklist Interactive Language (siglas OCIL) (desde versión 1.1).- Es un lenguaje para representar
controles que recogen información sobre gente o datos existentes almacenados.
• Asset Identification (siglas AI) (desde versión 1.2).- Formato para identificar de forma única activos basados en
conocidos identificadores y/o información sobre los activos
• Asset Reporting Format (siglas ARF) (desde versión 1.2).- Formato para expresar información sobre activos y
las relaciones entre activos e informes.
• Common Configuration Scoring System (siglas CCSS) (desde versión 1.2).- Sistema para medir la importancia
relativa de una configuración de seguridad de un sistema.
• Trust Model for Security Automation Data (siglas TMSAD) (desde versión 1.2).- Especificación para usar firmas
digitales en un modelo de confianza común aplicado a las espeficaciones del SCAP.
1990 2000
Tipos de aplicaciones
No web
Móviles
Non-Web Applications
Client-Server
Web Applications
Native Applications
Web Applications
Hybrid Applications
Especificaciones de desarrollo:
J2EE (Standard, IBM, SUN, HO, AOL, etc. La plataforma J2EE está
controlada por el Java Community Process (http://www.jcp.org) )
Pocas soluciones libres: No existe una correspondencia exacta entre las partes
de la plataforma .NET y soluciones libres. Existen proyectos como Mono[18] o
dotGNU que están portando algunas de sus partes, aún así, no se puede crear una
arquitectura completa utilizando solamente productos basados en software libre.
Revelación de información
-------
WSD
L ....
r
I ->I
,. I
I
~ ' t
.,, ., .i' ~
,.,, , ... ...
. . .,.
>' ~
~
--- ~-
rr-
Agented
SOAP
Aplicaci6
Aplicaci
nde . SOAI
)l,
e
viaje
SOAP
s
cliente
client
. P Servicio
We
b
'\
' \
' l.rea..
WSDL
~'.:ICe>r a
Servicio
Web
Una envoltura.
Un body o contenido
XML
HTTP-SMTP-JMS
Almacenes de datos:
Repositorios XML
Directorios LDAP
Usuario
s
Nivel
Vist
Vis n
enemo o
-:
a
de V1S10n
Nivel
16gio
Nvel
Tabla Tabla Tabla 3 Tabl n
o
concept
u 1 2 a
Nivel Nive
intemo
o fisi:co
Disc 1 Disco 2 Disco 3 l
o fisic
o
Modelo Entidad-Relación
Entidades: tablas, campos, atributos, claves…
No actualizada frecuentemente
LDAP injection
Based on the permissions with which the query is executed, the addition
of the | (objectclass=*) condition causes the filter to match against all
entries in the directory, and allows the attacker to retrieve information
about the entire pool of users. Depending on the permissions with
which the LDAP query is performed, the breadth of this attack may be
limited, but if the attacker can control the command structure of the query,
such an attack can at least affect all records that the user the LDAP query
is executed as can access.
Imagine that you have user data stored in an XML file, and that XML file
looks something like this:
<users>
<user ID =1>
<username>Admin</username>
<password>MyPassword</password>
<role>admin</role>
</userid>
</users>
Looking at the code the site uses to log in, it dynamically builds an XPath
query in PHP, after a user has given username and password in a form
(with user and pass variables):
The main problem above is that data from the user is not sanitized; the
POST variable is being used to pull data directly from the login form, and
placing it into the XPATH query. At this point, an attacker could try
putting in a special string for username:
Documentación.
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera 95
Seguridad en aplicaciones online y BD
Seguridad en la comunicación:
Clicjacking
Detectivas:
Protección física: Sistemas de vigilancia
Medidas técnicas: Control acceso lógico
Medidas Procedimentales: Monitorización y auditoría
Correctivas:
Protección física: Respaldo de fuente de alimentación
Medidas técnicas: Antivirus, auditorías, respaldo de seguridad
Medidas Procedimentales: Planes de contingencia, respuesta
SIEM:
Sistemas de detección y de prevención de intrusiones que analizan el tráfico de
red buscando patrones que puedan suponer un ataque a la aplicación.
HP ArcSight Enterprise Security Manager IDS http://www8.hp.com/es/es/software-
solutions/arcsight-esm-enterprise-security-management/
Macafee : http://www.mcafee.com/es/products/siem/index.aspx
Siem comparativa: https://www.alienvault.com/marketing/siem-magic-quadrant-
2014?utm_source=Google&utm_medium=CPC&utm_term=%2Barcsight&utm_campaign=MQ-
WW-GGL-SE&gclid=CJiQjp3gtsQCFSXnwgodC4sAbQ
Qualys Guard Continuous monitoring:
https://www.qualys.com/enterprises/qualysguard/continuous-monitoring/
SIEM:
Sistemas de detección y de prevención de intrusiones que analizan el tráfico de
red buscando patrones que puedan suponer un ataque a la aplicación.
HP ArcSight Enterprise Security Manager IDS http://www8.hp.com/es/es/software-
solutions/arcsight-esm-enterprise-security-management/
Macafee : http://www.mcafee.com/es/products/siem/index.aspx
Siem comparativa: https://www.alienvault.com/marketing/siem-magic-quadrant-
2014?utm_source=Google&utm_medium=CPC&utm_term=%2Barcsight&utm_campaign=MQ-
WW-GGL-SE&gclid=CJiQjp3gtsQCFSXnwgodC4sAbQ
Qualys Guard Continuous monitoring:
https://www.qualys.com/enterprises/qualysguard/continuous-monitoring/
• S'tarting •
•
• •
• •
Step 1
RIISK
t MANAGEMENT
+
Step 4
Subsistema eléctrico
Subsistema de detección y extinción de incendios.
Subsistema de racks, canalización y cableado
estructurado.
Subsistema de seguridad y control de accesos.
Subsistema de monitorización y gestión de
infraestructura
Subsistema de iluminación
Subsistema de infraestructura dedicada