Download
1 / 20
240 likes | 416 Views
www.dsteamseguridad.com. “Seguridad en Aplicaciones Web”. Consultor: JUAN DAVID BERRIO LOPEZ - judabe2003@gmail.com Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam. www.dsteamseguridad.com. “Seguridad en Aplicaciones Web”.
E N D
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Consultor: JUAN DAVID BERRIO LOPEZ - judabe2003@gmail.com Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Agenda: • Objetivos del curso en seguridad. • Riesgos Integrales en una Arquitectura Tecnológica Web • Demostración práctica de Hacking de un sitio web • Alcances y responsabilidades en seguridad de la información para el equipo humano de tecnología. • Políticas de seguridad de la información • Principales amenazas en Desarrollo de Software • Recursos tecnológicos disponibles para el desarrollo seguro de software en PHP • Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal (PHP)
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Objetivos del curso de Seguridad de la Información: • Delimitar las responsabilidades que se tienen en el equipo tecnológico en que respecta al desarrollo de software y la infraestructura tecnológica. • Identificar las amenazas a las cuales esta expuesta las aplicaciones Web. • Realizar un análisis de riesgos sobre las amenazas y sus respectivos impactos. • Definir metodologías sobre el tratamiento de vulnerabilidades y la prevención de ataques informáticos a las aplicaciones web. • Aplicar las metodologías teóricas y practicas que existen para fortalecer el tema de desarrollo seguro de aplicaciones. • Generar un documento de política de seguridad para TRIBAL, en lo que respecta a desarrollo de software e infraestructura tecnologica.
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Metodología: • Se utiliza como apoyo Software Libre, representado en varias versiones de Linux y Proyectos especializados en seguridad de la información orientada a las aplicaciones web y Maquinas Virtuales que emulan las aplicaciones vistas en el curso. • El curso se hace de forma conjunta, ya que se dejan procesos de investigación para los asistentes.
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Metodología: Como apoyo fuera del curso de seguridad, se realizan actividades externas, en unos laboratorios prácticos llamados DS LABS, y se disponen de algunos servidores públicos, los cuales los estudiantes deben de tratar de violar (Retos de Hacking), en lo que respecta a la seguridad. http://www.dsteamseguridad.com/dslabs/
www.dsteamseguridad.com “Seguridad en Aplicaciones Web”
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Servidor Web www.rxyz.com Firewall Switche • Características del Servidor : • Servidor Web IIS 6.0 • B.D SQL Server 5.0 • PHP 5 .2 • Windows 2003 Server • Software web desarrollado de forma segura Usuarios Legítimos de la Aplicación Pirata Informático
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Servidor Web www.rxyz.com Firewall Switche • Características del Servidor : • Servidor Web IIS 7 • B.D SQL Server 8 • PHP 5 3.6 • Windows 2008 Server • Software web desarrollado de forma no segura: XSS-SQL Injection Usuarios Legítimos de la Aplicación Pirata Informático
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” • Algunos ejemplos de Paginas Web Vulnerables: Empresa: http://www.ssoftcolombia.com/pagina/Presentacion/Index.aspx http://www.tuviaje.travel/administrador/presentacion/Default.aspx?idE=0 http://www.unionderepresentaciones.com/administrador/ http://www.circulardeviajes.com/Administrador/presentacion/Default.aspx?idE=0 http://www.e-explora.com/Administrador/presentacion/Default.aspx?idE=0 http://www.irotama.com/administrador/presentacion/Default2.aspx http://www.seventravels.com/administrador/ http://www.seventravels.com/administrador/ http://www.solcrystal.com/Administrador/ SQL Injection Mínima: ' or '1'='1
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Arquitectura Tecnológica Servidor Web Ideal Servidor Web www.riesgoscero.com Firewall-UTM-Web -FW Balanceadores de Carga Servidor B.D • Aplicación de Buenas Practicas de seguridad : • A nivel de desarrollo • A nivel de Infraestructura • Mejoramiento Continuo. Usuarios Legítimos de la Aplicación Pirata Informático
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Demostración práctica de Hacking de un sitio web: “ENTORNO DE PRUEBAS VIRTUALIZADO” Servidor Web www.xyz.com Windows 2003 Server SQL Server 2005 IIS 6.0
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Alcances y Responsabilidades en seguridad de la información para el Equipo humano de tecnología Infraestructura Tecnológica: “Ver Política de Seguridad Infraestructura Tecnológica”
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Alcances y Responsabilidades en seguridad de la información para el equipo humano de tecnología Desarrollo de Software: “Ver Política de Seguridad Desarrollo de Software”
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Principales Amenazas en Desarrollo de Software:
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Riesgos de Seguridad Integrales.
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Principales Amenazas en Desarrollo de Software: http://www.xssed.com/mirror/73625/ Cross Site Scripting SQL Injection PathTraversal RFI (Remote FileInclusion)
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software: Existe mucha documentación y programas tantos libres como de pago, peor la recomendación, es tener como guía lo siguiente: • Proteger • Detectar • Ciclo de Vida http://code.google.com/p/owasp-asvs/wiki/ASVS https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project https://www.owasp.org/index.php/Category:OWASP_Guide_Project
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project http://www.mavensecurity.com/web_security_dojo/ https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project http://dvwa.co.uk/
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Recursos tecnológicos disponibles para el Desarrollo seguro de software http://www.acunetix.com/cross-site-scripting/scanner.htm http://w3af.sourceforge.net/ http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
www.dsteamseguridad.com “Seguridad en Aplicaciones Web” Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal • Proceso de investigación conjunta al respecto de la aplicación de procesos de seguridad para controlar las amenazas mas comunes a nivel de Desarrollo de Software, en lo que respecta a cada uno de los lenguajes de programación usados en Tribal. • Descargar y usar la versión Acunetix Free Edition, para identificar vulnerabilidades XSS en las aplicaciones que a la fecha tengan para salir a producción. • Realizar sesiones personalizadas para los recursos disponibles para cada lenguaje de programación.
