300 likes | 412 Views
Seguridad en la Web. Echo por el famoso hacker el japar18. WEBMASTER. Echo por el famoso hacker el japar18. WEBMASTER. Echo por el famoso hacker el japar18. WEBMASTER. Echo por el famoso hacker el japar18. WEBMASTER. Echo por el famoso hacker el japar18. WEBMASTER.
E N D
Seguridad en la Web Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Seguridad en la Web • Ataques a la Web • A la computadora del usuario • Al servidor • A la información en tránsito Echo por el famoso hacker el japar18 WEBMASTER
La seguridad en web tiene 3 etapas primarias: • Seguridad de la computadora del usuario • Seguridad del servidor web y de los datos almacenados ahí. • Seguridad de la información que viaja entre el servidor web y el usuario Echo por el famoso hacker el japar18 WEBMASTER
Seguridad de la computadora del usuario Los usuarios deben contar con navegadores y plataformas seguras, libres de virus y vulnerabilidades. También debe garantizarse la privacidad de los datos del usuario. Echo por el famoso hacker el japar18 WEBMASTER
Seguridad del servidor web y de los datos almacenados Se debe garantizar la operación continua del servidor, que los datos no sean modificados sin autorización (integridad) y que la información sólo sea distribuida a las personas autorizadas (control de acceso). Echo por el famoso hacker el japar18 WEBMASTER
Seguridad de la información que viaja entre el servidor web y el usuario Garantizar que la información en tránsito no sea leída (confidencialidad), modificada o destruida por terceros. También es importante asegurar que el enlace entre cliente y servidor no pueda interrumpirse fácilmente (disponibilidad). Echo por el famoso hacker el japar18 WEBMASTER
Introducción a los Ataques Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque. Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño. Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos. Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y tomar medidas preventivas. WEBMASTER Echo por el famoso hacker el japar18
Los ataques pueden ejecutarse por diversos motivos: • para obtener acceso al sistema; • para robar información, como secretos industriales o propiedad intelectual; • para recopilar información personal acerca de un usuario; • para obtener información de cuentas bancarias; • para obtener información acerca de una organización (la compañía del usuario, etc.); • para afectar el funcionamiento normal de un servicio; • para utilizar el sistema de un usuario como un "rebote" para un ataque; • para usar los recursos del sistema del usuario, en particular cuando la red en la que está ubicado tiene un ancho de banda considerable. Echo por el famoso hacker el japar18 WEBMASTER
Echo por el famoso hacker el japar18 WEBMASTER
Los riesgos se pueden clasificar de la siguiente manera: • Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos: • Interrupción del suministro eléctrico. • Apagado manual del equipo. • Vandalismo. • Apertura de la carcasa del equipo y robo del disco duro. • Monitoreo del tráfico de red. • Intercepción de comunicaciones: • Secuestro de sesión. • Falsificación de identidad. • Redireccionamiento o alteración de mensajes. • Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio se dividen de la siguiente manera: • Explotación de las debilidades del protocolo TCP/IP. • Explotación de las vulnerabilidades del software del servidor. Echo por el famoso hacker el japar18 WEBMASTER
Intrusiones: • Análisis de puertos. • Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador). En ciertos casos, esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio. • Ataques malintencionados (virus, gusanos, troyanos). • Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño, genera una vulnerabilidad en el sistema al brindar información (la contraseña, por ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede, ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común, la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores. • Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento. Echo por el famoso hacker el japar18 WEBMASTER
Un virus es un pequeño programa informático que se encuentra dentro de otro programa que, una vez ejecutado, se carga solo en la memoria y cumple instrucciones programadas por su creador. La definición de un virus podría ser la siguiente: "Cualquier programa de informática que puede infectar a otro programaalterándolo gravemente y que puede reproducirse". Un gusano es un programa que se reproduce por sí mismo, que puede viajar a través de redes utilizando los mecanismos de éstas y que no requiere respaldo de software o hardware (como un disco duro, un programa host, un archivo, etc.) para difundirse. Por lo tanto, un gusano es un virus de red. Un Troyano es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario. El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya. Las "bombas lógicas" son piezas de código de programa que se activan en un momento predeterminado, como por ejemplo, al llegar una fecha en particular, al ejecutar un comando o con cualquier otro evento del sistema. Echo por el famoso hacker el japar18 WEBMASTER
Tipos de Ataques en aplicaciones web Autenticación 1. Fuerza brutaUn ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar un nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica. 2. Autenticación insuficienteLa autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente. 3. Débil Validación en la recuperación de contraseñasLa débil validación en la recuperación de contraseñas se produce cuando un sitio web permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contraseña de otro usuario. Echo por el famoso hacker el japar18 WEBMASTER
Tipos de Ataques en aplicaciones web Autorización 1. Predicción de credenciales/sesiónLa predicción de credenciales/sesión es un método de secuestro o suplantación de un usuario del sitio web. 2. Autorización insuficienteLa autorización insuficiente se produce cuando un sitio web permite acceso a contenido sensible o funcionalidades que deberían requerir un incremento de las restricciones en el control de acceso. 3. Expiración de sesión insuficienteLa expiración de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o IDs de sesión antiguos para llevar a cabo la autorización. 4. Fijación de sesiónLa fijación de sesión es una técnica de ataque que fuerza al ID de sesión de un usuario a adoptar un valor determinado. WEBMASTER Echo por el famoso hacker el japar18
Tipos de Ataques en aplicaciones web Ataques en la parte cliente 1. Suplantación de contenidoLa suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es. 2. Cross-site scriptingCross-site Scripting (XSS) es una técnica de ataque que fuerza a un sitio web a repetir código ejecutable facilitado por el atacante, y que se cargará en el navegador del usuario. Echo por el famoso hacker el japar18 WEBMASTER
Tipos de Ataques en aplicaciones web Ejecución de comandos 1.Desbordamiento de buffer La explotación de un desbordamiento de buffer es un ataque que altera el altera el flujo de una aplicación sobrescribiendo partes de la memoria. 2. Ataques de formato de cadenaLos ataques de formato de cadena alteran el flujo de una aplicación utilizando las capacidades proporcionadas por las librerías de formato de cadenas para acceder a otro espacio de memoria. 3. Inyección LDAPLa inyección LDAP es una técnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario. WEBMASTER Echo por el famoso hacker el japar18
Tipos de Ataques en aplicaciones web Ejecución de comandos 4. Comandos de Sistema OperativoLos comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación. 5. Inyección de código SQLLa inyección de código SQL es una técnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario. 6. Inyección de código SSILa inyección de código SSI (Server-sideInclude) es una técnica de explotación en la parte servidora que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutado localmente por el servidor web. 7. Inyección XPathLa inyección XPath es una técnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario. WEBMASTER Echo por el famoso hacker el japar18
Tipos de Ataques en aplicaciones web Revelación de información 17. Indexación de directorioLa indexación/listado automático de directorio es una función del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual. 18. Fuga de informaciónLa fuga de información se produce cuando un sitio web revela información sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema. 19. Path TraversalLa técnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” del servidor web. 20. Localización de recursos predeciblesLa localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web. WEBMASTER Echo por el famoso hacker el japar18
Tipos de Ataques en aplicaciones web Ataques lógicos 1. Abuso de funcionalidadEl abuso de funcionalidad es una técnica de ataque que usa las propias capacidades y funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control de acceso. 2. Denegación de servicioLa denegación de servicio (Denial of Service, DoS) es una técnica de ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual de los usuarios. 3. Anti-automatización insuficienteLa anti-automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo manualmente. 4. Validación de proceso insuficienteLa validación de proceso insuficiente se produce cuando un sitio web permite a un atacante evadir o engañar el flujo de control esperado por la aplicación. WEBMASTER Echo por el famoso hacker el japar18
Medidas de protección • A nivel de código: • La regla básica es VALIDAR LAS ENTRADAS!!!. • Intentar evitar código que requiera muchas operaciones o • un consumo excesivo de la CPU. • Comprobar el rendimiento de las funciones e intentar • optimizarlas lo máximo posible. Echo por el famoso hacker el japar18 WEBMASTER
A nivel de red: • Implementar soluciones de balanceo de carga y cache si fuese necesario. • Implementar un firewall de aplicación como ModSecurity que ayuda a protegernos de ataques contra las aplicaciones que se nos hayan podido pasar al revisar el código. • Estudiar el retorno de inversión de un sistema comercial de protección contra este tipo de ataques e incluirlo en la red si es necesario. Echo por el famoso hacker el japar18 WEBMASTER
Un firewall es un programa (aunque también los hay de hardware, que por cierto son mejores y carísimos) que controla todo el software que se pone en comunicación con o desde nuestro PC. Es decir, toda comunicación entrante y saliente. Controla tanto programas en concreto como protocolos de comunicación, algunos incluso controlan las cookies, las ventanas emergentes, la salida de contraseñas, banners publicitarios,... De esta forma y dependiendo de la opciones de cada programa, se pueden permitir, bloquear, monitorizar,... todo aquello que se mueva entre nuestro PC y la red. Echo por el famoso hacker el japar18 WEBMASTER
Los Spywares o archivos espías son unas diminutas aplicaciones cuyo objetivo es el envío de datos del sistema donde están instalados, mediante la utilización subrepticia de la conexión a la red, a un lugar exterior, el cual por lo general resulta ser una empresa de publicidad de Internet. Estas acciones son llevadas a cabo sin el conocimiento del usuario. Echo por el famoso hacker el japar18 WEBMASTER
Encriptación La encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas. El texto plano que está encriptado o cifrado se llama criptograma. Echo por el famoso hacker el japar18 WEBMASTER