Agenda Amenazas Web Aplicaciones Web
Vulnerabilidades: Sql Injection
Vulnerabilidades: Cross-Site Scripting
Vulnerabilidades: RFI
Vulnerabilidades: Phising
Vulnerabilidades: WebTrojan
Vulnerabilidades: Capa 8
Aplicaciones Web
Tipos de Aplicaciones Web Web Site público. Información destinada al público.
Intranet (ERP/CRM/Productividad) Información privada de acceso interno.
Extranet (Productividad/B2B/B2C) Información privada de acceso externo.
Almacén De Datos
Lógica de la Aplicación
Interfaz de Usuario (GUI) Arquitectura Multicapa Browser WebServer DCOM WebService BBDD BBDD WebServer RPC
Amenazas Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2004. Se atacan todas las tecnologías Los ataques se han escalado desde el sistema operativo a la aplicación. Ataques no masivos. Motivos: Económicos Venganza Reto Just For Fun
Cliente – Riesgos Navegador de Internet: Ejecuta código en contexto de usuario. Lenguajes potentes: HTML/DHTML vbScript/JavaScript/Jscript Programas embebidos Applets Java ActiveX Shockwave Flash Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.
Código y poder El código fuente es poder Tanto para defenderse como para atacar Compartir el código es compartir el poder. Con los atacantes y defensores Publicar el código fuente sin hacer nada más degrada la seguridad Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.
Software Seguro El software Fiable es aquel que hace lo que se supone que debe hacer. El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. Son los sorprendentes “algo mas” los que producen inseguridad. Para estar seguro, debes de ejecutar solo software perfecto 🙂 O, hacer algo para mitigar ese “algo mas”
Cliente – Riesgos Ninguna protección en cliente es buena Utilización de técnicas de MITM Achilles BurpSuite Odysseus… Decompiladores Flash Java
Lógica de Aplicación – Riesgos Servidor Web Ejecuta código en contextos privilegiados. Lenguajes potentes Acceden a BBDD Envían programas a clientes Transferir ficheros Ejecutar comandos sobre el sistema. Soporte para herramientas de administración de otro software. Códigos de Ejemplo
Almacén de Datos – Riesgos SGBD Lenguaje de 3ª y 4ª Generación. Soporta múltiples bases de datos. Catálogo global de datos. Ejecuta programas sobre Sistema. LOPD. Transacciones económicas. Información clave de negocio.
Vulnerabilidades: SQL Injection
| Página siguiente |