programaciÓn segura en python³n_segura_python.pdf · ciclo de desarrollo de python y sus...

PROGRAMACIOacuteN SEGURA EN PYTHON

Eliezer Romero

- Ingeniero en Informaacutetica

- Desarrollador

- Sistema Nacional de Gestioacuten de Incidentes Telemaacuteticos

- Comunidad de Canaima GNULINUX

- Activista del software libre

Rodrigo Bravo

- Ingeniero en Informaacutetica

- Desarrollador

- Sistema Nacional de Gestioacuten de Incidentes Telemaacuteticos

- Comunidad de Canaima GNULINUX

- Activista del software libre

Riesgos de seguridad en las aplicaciones

Desarrollo de software seguro

Lista de control geneacuterico en una aplicacioacuten

Metodologiacutea del coacutedigo seguro

Clasificacioacuten de los problemas de seguridad en las aplicaciones

iquestQueacute es Python

Ciclo de desarrollo de Python y sus versiones

Propuestas de Mejoras de Python - PEPs

Pruebas unitarias con Python

Riesgos de seguridad en las aplicaciones01010110 01100101 01101110 01000011 01000101 01010010 01010100

Noticias

Recurso

Recurso

Ataque

Ataque

Ataque

Atacante

s

Vectores de

ataques

Debilidad

Debilidad

Debilidad

Debilidades de

seguridad

Control

Control

Control

Recurso

Impacto

Impacto

Impacto

Controles de

Seguridad

Impactos

teacutecnicos

Impacto

A la institucioacuten

Los atacantes pueden usar diferentes rutas de su aplicacioacuten para causar dantildeo

Se debe evaluar la aplicacioacuten encontrar y explotar midiendo la complejidad de la misma

Defectos Error (Bugs) Fallas (Flaw)

iquestQueacute es el Desarrollo del software seguro

- Disentildeado construido y probado para su seguridad

- Continuacutea ejecutaacutendose correctamente bajo ataque

- Disentildeado con el fallo en mente

- Examinacioacuten sistemaacutetica del coacutedigo fuente de un programa informaacutetico

- Verificar los controles de seguridad

- Fomenta el uso de buenas praacutecticas

- El coacutedigo duplicado debe ser evitado ya que es fuente de incontables errores

Medidas de Seguridad01010110 01100101 01101110 01000011 01000101 01010010 01010100

Introducir

usuario y

contrasentildea

Autenticacioacuten de

usuario

Muestra de

errores geneacutericos

Bloqueo de

cuenta ante

muchos intentos

de inicio de

sesioacuten

Validar la

contrasentildea con

una tamantildeo

miacutenimo y

compleja

Incluir

Incluir

Incluir

Incluir

Autenticacioacuten

Fuerza Bruta

Cosecha de

cuentas

Diccionario de

Ataques

Usuario

Aplicaciones Server

Hacker Usuario Malicioso

Configuracioacuten de Seguridady Criptografiacutea

Metodologiacutea de desarrollo empleando la seguridad

Multi - Propoacutesito (Web GUI Interfaz graacutefica del usuario scripting)

Orientado a Objeto

Interpretado

Tipado dinaacutemico

Multiplataforma

Centrado en la legibilidad y la productividad

Desarrollado en 1989 por Guido van Rossum

Ciclo de desarrollo de Python y sus versiones

Propuestas de mejoras de Python - PEPs

Versiones de Correcciones de

Errores

El Zen de Python por Tim Peters

Guiacutea de Estilo para Escribir

Coacutedigo

Haciendo Versiones de Python

API para Criptografiacutea

PEP 6 PEP 20

PEP 8

PEP 101 PEP 247

Pruebas unitarias con Python01010110 01100101 01101110 01000011 01000101 01010010 01010100

Inspirado por JUnit

Automatiza las pruebas

Verificacioacuten del coacutedigo

Test Fixture Test Case Test Suite Test Runner

python

Ejecucioacuten

UnittestCoacutedigo

Errores comunes en las aplicaciones web

01010110 01100101 01101110 01000011 01000101 01010010 01010100

Preocupaciones de Seguridad en Moacutedulos y

Funciones01010110 01100101 01101110 01000011 01000101 01010010 01010100

Comparacioacuten de tipos de datos

Buffer Overflow

Errores Inesperados Atributos Privados

gtgt print (ldquoMuchas Graciasrdquo)

Eliezerfot123gmailcom

eliezerfot123

httpsgithubcomeliezerfot123

rodribrvgmailcom

4KRodrigoxD

httpsgithubcomgoidor