Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Seguridad Aplicaciones Web

    Cargado por

    Pablo Vargas
    12 vistas16 páginas
    exposicion

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    exposicion

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas16 páginas

    Seguridad Aplicaciones Web

    Cargado por

    Pablo Vargas
    exposicion

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 16

    SEGURIDAD EN APLICACIONES

    WEB

    TEC.PROFESIONAL EN SOLUCIONES WEB:


    LUIS R. RAMÍREZ LIÉVANO
    ALEJANDRA ROMERO RUIZ
    JOSÉ A. TAFUR SUÁREZ
    INTRODUCCIÓN A LA SEGURIDAD WEB

    *
    Herramientas que interactúan de forma
    directa con los usuarios

    *
    Sistemas de protección en los
    servidores web más usados en la
    actualidad

    *
    Problemas causados por fallos de
    seguridad en los lenguajes de
    programación usados por el
    desarrollador.
    Problemas principales en la programación de sistemas web

    Entradas al Es la información
    obtenida a partir de
    sistema alguna entrada o
    proceso interno de la
    Datos de entrada, aplicación
    ingresados por el
    usuario, serán
    procesados por la
    aplicación para
    realizar tareas en Salidas del
    especificación
    sistema
    PRINCIPALES FALLOS DE SEGURIDAD SEGÚN OWASP
    DATOS SENSIBLES
    1 INYECCIÓN 6 EXPUESTOS
    PÉRDIDA DE
    2 7 PROTECCION INSUFICIENTE
    AUTENTICACIÓN
    Y GESTION DE EN LA CAPA DE
    SESIONES TRANSPORTE
    FALSIFICACIÓN DE
    3 SECUENCIA DE COMANDOS 8 PETICIONES
    EN SITIOS CRUZADOS EN SITIOS CRUZADOS
    XSS (CSRF)
    4 REFERENCIA DIRECTA 9 USAR COMPONENTES CON
    INSEGURA A VULNERABILIDADES
    OBJETOS CONOCIDAS
    DEFECTUOSA 1 REDIRECCIONES Y
    5 CONFIGURACION
    DE 0 REENVIOS
    NO
    SEGURIDAD VALIDOS
    VOLVER

    a10
    REDIRECCIONES Y REENVÍOS
    NO VÁLIDOS
    VOLVER

    Los componentes vulnerables, como librerías,


    frameworks, plugins y otros módulos de software
    casi siempre se ejecutan con privilegios

    a9
    usar componentes con
    completos. Por lo tanto, si se aprovecha un fallo
    en ellos puede causar la perdida de datos
    importantes o toma de control del servidor.

    vulnerabilidades conocidas
    VOLVER

    a8
    FALSIFICACIÓN DE PETICIONES
    EN SITIOS CRUZADOS (CSRF)
    VOLVER

    a7
    PROTECCION INSUFICIENTEEN
    LA CAPA DE TRANSPORTE
    VOLVER

    Contraseñas

    Backups

    A6
    DATOS SENSIBLES
    Archivos de configuración

    EXPUESTOS
    VOLVER

    Dejar la configuración por defecto

    Paginas sin

    A5
    uso

    Parche que no corresponde


    DEFECTUOSA CONFIGURACION
    DE SEGURIDAD
    Archivos sin protección

    Directorios sin protección


    VOLVER

    a4
    Referencia directa insegura a
    objetos
    VOLVER

    a3
    Secuencia de comandos en
    sitios cruzados
    VOLVER

    a2
    Perdida de autenticación y
    gestión de sesiones
    VOLVER

    a1
    Inyección
    reconocimientos y créditos

    Documento original Adaptación y traducción al espa


    Dave Wichers Miguel Guiaro, MGTI, LINUX
    COO, Aspect Security OWASP capítulo México
    OWASP Board Member mguiaro@gusly.org
    dave.wichers@aspectsecurity.com
    dave.wichers@owasp.org
    referencias
    Aguilar, A. & Hernández, A. (25 de Abril de 2014). Obtenido de Sugerencias de
    Seguridad para Sitios Web: http://www.seguridad.unam.mx/documento-
    id=1143
    OWASP. (3 de Febrero de 2014). Obtenido de Top 10 2013-A3-Cross-Site
    Scripting (XSS): https://www.owasp.org/index.php/Top_10_2013-A3-Cross-
    Site_Scripting_(XSS)
    OWASP. (21 de Agosto de 2015). Obtenido de Top 10 2013-Top 10:
    https://www.owasp.org/index.php/Top_10_2013-Top_10

    OWASP. (27 de Enero de 2016). Obtenido de Transport Layer Protection Cheat


    Sheet:
    https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
    Built With. (26 de Enero de 2016). Web Server Usage Statistics. Obtenido de
    http://trends.builtwith.com/Web-Server

    También podría gustarte