Descargar

Amenazas web

Enviado por Pablo Turmero


Partes: 1, 2

    edu.red

    Agenda Amenazas Web Aplicaciones Web

    Vulnerabilidades: Sql Injection

    Vulnerabilidades: Cross-Site Scripting

    Vulnerabilidades: RFI

    Vulnerabilidades: Phising

    Vulnerabilidades: WebTrojan

    Vulnerabilidades: Capa 8

    edu.red

    Aplicaciones Web

    edu.red

    Tipos de Aplicaciones Web Web Site público. Información destinada al público.

    Intranet (ERP/CRM/Productividad) Información privada de acceso interno.

    Extranet (Productividad/B2B/B2C) Información privada de acceso externo.

    edu.red

    Almacén De Datos

    Lógica de la Aplicación

    Interfaz de Usuario (GUI) Arquitectura Multicapa Browser WebServer DCOM WebService BBDD BBDD WebServer RPC

    edu.red

    Amenazas Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2004. Se atacan todas las tecnologías Los ataques se han escalado desde el sistema operativo a la aplicación. Ataques no masivos. Motivos: Económicos Venganza Reto Just For Fun

    edu.red

    ClienteRiesgos Navegador de Internet: Ejecuta código en contexto de usuario. Lenguajes potentes: HTML/DHTML vbScript/JavaScript/Jscript Programas embebidos Applets Java ActiveX Shockwave Flash Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.

    edu.red

    Código y poder El código fuente es poder Tanto para defenderse como para atacar Compartir el código es compartir el poder. Con los atacantes y defensores Publicar el código fuente sin hacer nada más degrada la seguridad Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

    edu.red

    Software Seguro El software Fiable es aquel que hace lo que se supone que debe hacer. El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. Son los sorprendentes “algo mas” los que producen inseguridad. Para estar seguro, debes de ejecutar solo software perfecto 🙂 O, hacer algo para mitigar ese “algo mas”

    edu.red

    Cliente – Riesgos Ninguna protección en cliente es buena Utilización de técnicas de MITM Achilles BurpSuite Odysseus… Decompiladores Flash Java

    edu.red

    Lógica de Aplicación – Riesgos Servidor Web Ejecuta código en contextos privilegiados. Lenguajes potentes Acceden a BBDD Envían programas a clientes Transferir ficheros Ejecutar comandos sobre el sistema. Soporte para herramientas de administración de otro software. Códigos de Ejemplo

    edu.red

    Almacén de Datos – Riesgos SGBD Lenguaje de 3ª y 4ª Generación. Soporta múltiples bases de datos. Catálogo global de datos. Ejecuta programas sobre Sistema. LOPD. Transacciones económicas. Información clave de negocio.

    edu.red

    Vulnerabilidades: SQL Injection

    Partes: 1, 2
    Página siguiente