Presentacion Ontología de Seguridad para la securización de sistemas
Seguridadappswebfrcu2008 1227940522216168-8 (1)
1. Seguridad en Aplicaciones Web
Seguridad en
Aplicaciones Web
Prof. Ing. Gabriel E. Arellano
http://www.gabriel-arellano.com.ar/charlas/
Semana Internacional de la Seguridad Informática 2008
U.T.N. - F.R. C. del Uruguay
Prof. Ing. Gabriel Arellano
2. Seguridad en Aplicaciones Web
Contenidos
Las aplicaciones y su seguridad.
Introducción a las aplicaciones web.
Amenazas a las aplicaciones web.
Algunos ejemplos.
Demostración en vivo.
Recursos y lecturas adicionales.
Prof. Ing. Gabriel Arellano
3. Seguridad en Aplicaciones Web
Aplicaciones Web
Qué son las aplicaciones web?
páginas estáticas?
páginas activas?
páginas dinámicas?
HTTP? Webservices?
CGI?
DHTML?
(X)HTML? Javascript? AJAX?
XML?
Prof. Ing. Gabriel Arellano
4. Seguridad en Aplicaciones Web
Aplicaciones Web
Solicitud + Datos
HTTP (GET - POST),
Variables de Sesión
Respuesta
(X)HTML+CSS, XML+XSLT
Ciclo solicitud-respuesta
Prof. Ing. Gabriel Arellano
5. Seguridad en Aplicaciones Web
Componentes
Una aplicación web suele requerir varios
componentes, cada uno de los cuales
implica diferentes amenazas a la seguridad:
Aplicación propiamente dicha.
Lenguaje(s) / Framework.
Servidor web.
Servidor de base de datos.
Navegador Web.
Prof. Ing. Gabriel Arellano
6. Seguridad en Aplicaciones Web
Vulnerabilidades
Las amenazas sobre las aplicaciones web se
pueden clasificar en tres tipos:
Problemas de validación de datos.
Problemas de autenticación.
Problemas de manejo de sesiones.
Prof. Ing. Gabriel Arellano
7. Seguridad en Aplicaciones Web
Vulnerabilidades
Algunos problemas de validación de datos:
SQL Injection.
Cross Site Scripting (XSS).
Buffer Overflow.
Prof. Ing. Gabriel Arellano
8. Seguridad en Aplicaciones Web
Vulnerabilidades
Demostración de algunos
problemas de validación
de datos.
Prof. Ing. Gabriel Arellano
9. Seguridad en Aplicaciones Web
Validación de Datos
Prevención:
Nunca confíe en las entradas del usuario.
Nunca asuma que la información proviene
de la aplicación.
“Sanear” las entradas de usuario.
Validar en el servidor.
Ocultar errores y fallar en seguro.
Prof. Ing. Gabriel Arellano
10. Seguridad en Aplicaciones Web
Vulnerabilidades
Algunos problemas de autenticación:
Falta de politica de contraseñas.
Ataques de fuerza bruta.
Buffer Overflow.
Abuso del “recordar contraseña”
Prof. Ing. Gabriel Arellano
11. Seguridad en Aplicaciones Web
Vulnerabilidades
Algunos problemas de manejo de sesiones:
Manipulación de cookies y tokens.
Variables de sesión expuestas.
Cross Site Request Forgery.
Prof. Ing. Gabriel Arellano
12. Seguridad en Aplicaciones Web
Cross Site Request Forgery
bank.com
blog.net
JS
document, cookies
Política del “mismo origen”
Prof. Ing. Gabriel Arellano
13. Seguridad en Aplicaciones Web
Cross Site Request Forgery
Por ejemplo colocando en blog.com:
<p>
Parece una simple página con un poco de texto,
no?
<img src="http://bank.com/transfer.php?
monto=9000&dest=123" width="0" height="0"/>
</p>
Prof. Ing. Gabriel Arellano
14. Seguridad en Aplicaciones Web
Cross Site Request Forgery
Ataque a una red “segura”
Prof. Ing. Gabriel Arellano
15. Seguridad en Aplicaciones Web
Vulnerabilidades
Demostración de un
ataque de CSRF.
Prof. Ing. Gabriel Arellano
16. Seguridad en Aplicaciones Web
Cross Site Request Forgery
Prevención:
Evite usar sesiones persistentes.
Usar GET de manera apropiada.
Usar tokens y TTLs.
Reautenticar en el cliente usando AJAX.
Prof. Ing. Gabriel Arellano
17. Seguridad en Aplicaciones Web
Lecturas Adicionales
Open Web Application Security Project (OWASP)
http://www.owasp.org/
“Guide to Building Secure Web Applications”.
(en español).
“OWASP Code Review Guide”.
“SQL Injection Attacks by Example”
http://unixwiz.net/techtips/sql-injection.html
Prof. Ing. Gabriel Arellano
18. Seguridad en Aplicaciones Web
Gracias!
Prof. Ing. Gabriel E. Arellano
http://www.gabriel-arellano.com.ar/charlas/
(2008) Gabriel E. Arellano
Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.2 or any later version
published by the Free Software Foundation; with no Invariant Sections, no Front-
Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as
applicable to this document can be found at: http://www.gnu.org/copyleft/fdl.html
Prof. Ing. Gabriel Arellano