dsteamseguridad
DESCRIPTION
www.dsteamseguridad.com. “Seguridad en Aplicaciones Web”. Consultor: JUAN DAVID BERRIO LOPEZ - [email protected] Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam. www.dsteamseguridad.com. “Seguridad en Aplicaciones Web”. - PowerPoint PPT PresentationTRANSCRIPT
www.dsteamseguridad.com
Consultor: JUAN DAVID BERRIO LOPEZ - [email protected] en Informática.Máster en Seguridad Informática, Universidad Oberta de CatalunyaOSCP-CEH-CCNSP Cyberoam
“Seguridad en Aplicaciones Web”
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Agenda:
• Objetivos del curso en seguridad.• Riesgos Integrales en una Arquitectura Tecnológica Web• Demostración práctica de Hacking de un sitio web• Alcances y responsabilidades en seguridad de la información para el equipo humano de tecnología.• Políticas de seguridad de la información• Principales amenazas en Desarrollo de Software• Recursos tecnológicos disponibles para el desarrollo seguro de software en PHP• Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal (PHP)
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Objetivos del curso de Seguridad de la Información:
• Delimitar las responsabilidades que se tienen en el equipo tecnológico en que respecta al desarrollo de software y la infraestructura tecnológica.• Identificar las amenazas a las cuales esta expuesta las aplicaciones Web.• Realizar un análisis de riesgos sobre las amenazas y sus respectivos impactos.• Definir metodologías sobre el tratamiento de vulnerabilidades y la prevención de ataques informáticos a las aplicaciones web.• Aplicar las metodologías teóricas y practicas que existen para fortalecer el tema de desarrollo seguro de aplicaciones.• Generar un documento de política de seguridad para TRIBAL, en lo que respecta a desarrollo de software e infraestructura tecnologica.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Metodología:
• Se utiliza como apoyo Software Libre, representado en varias versiones de Linux y Proyectos especializados en seguridad de la información orientada a las aplicaciones web y Maquinas Virtuales que emulan las aplicaciones vistas en el curso.• El curso se hace de forma conjunta, ya que se dejan procesos de investigación para los asistentes.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Metodología:Como apoyo fuera del curso de seguridad, se realizan actividades externas, en unos laboratorios prácticos llamados DS LABS, y se disponen de algunos servidores públicos, los cuales los estudiantes deben de tratar de violar (Retos de Hacking), en lo que respecta a la seguridad.
http://www.dsteamseguridad.com/dslabs/
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Infraestructura
•Adm. Bases de Datos•Redes y telecomunicaciones• Administración de Software (terceros-Misionales• Seguridad perimetral• Administración de Servidores y Sistemas operativos
Desarrollo de Software•Desarrollo de Aplicaciones•Ingeniería del Software•Código fuente•Diseño lógico de Bases de datos
Micro-Computo
•Sistemas operativos Cliente•Mantenimiento Preventivo•Estaciones de Trabajo, portátiles, PDA, entre otros.•Impresoras•Software Ofimática y de misión especifica
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”Arquitectura Tecnológica Servidor Web
Pirata Informático
Usuarios Legítimos de la Aplicación
Firewall
Switche
Servidor Webwww.rxyz.com
Características del Servidor :• Servidor Web IIS 6.0• B.D SQL Server 5.0• PHP 5 .2• Windows 2003 Server Software web desarrollado de forma segura
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”Arquitectura Tecnológica Servidor Web
Pirata Informático
Usuarios Legítimos de la Aplicación
Firewall
Switche
Servidor Webwww.rxyz.com
Características del Servidor :• Servidor Web IIS 7• B.D SQL Server 8• PHP 5 3.6• Windows 2008 Server Software web desarrollado de forma no segura: XSS-SQL Injection
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Algunos ejemplos de Paginas Web Vulnerables:
http://www.tuviaje.travel/administrador/presentacion/Default.aspx?idE=0http://www.unionderepresentaciones.com/administrador/http://www.circulardeviajes.com/Administrador/presentacion/Default.aspx?idE=0http://www.e-explora.com/Administrador/presentacion/Default.aspx?idE=0http://www.irotama.com/administrador/presentacion/Default2.aspxhttp://www.seventravels.com/administrador/http://www.seventravels.com/administrador/http://www.solcrystal.com/Administrador/
Empresa: http://www.ssoftcolombia.com/pagina/Presentacion/Index.aspx
SQL Injection Mínima:' or '1'='1
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”Arquitectura Tecnológica Servidor Web Ideal
Pirata Informático
Usuarios Legítimos de la Aplicación
Firewall-UTM-Web -FW
Balanceadores de Carga
Servidor Webwww.riesgoscero.com
Aplicación de Buenas Practicas de seguridad :
• A nivel de desarrollo• A nivel de Infraestructura• Mejoramiento Continuo.
Servidor B.D
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Demostración práctica de Hacking de un sitio web: “ENTORNO DE PRUEBAS VIRTUALIZADO”
Servidor Webwww.xyz.com
Windows 2003 ServerSQL Server 2005IIS 6.0
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Alcances y Responsabilidades en seguridad de la información para el Equipo humano de tecnología
Infraestructura Tecnológica:
“Ver Política de Seguridad Infraestructura Tecnológica”
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Alcances y Responsabilidades en seguridad de la información para el equipo humano de tecnología
Desarrollo de Software:
“Ver Política de Seguridad Desarrollo de Software”
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”Principales Amenazas en Desarrollo de Software:
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Riesgos de Seguridad Integrales.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Principales Amenazas en Desarrollo de Software:
Cross Site Scripting
SQL InjectionRFI (Remote File Inclusion)Path Traversal
http://www.xssed.com/mirror/73625/
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de software: Existe mucha documentación y programas tantos libres como de pago, peor la recomendación, es tener como guía lo siguiente:
http://code.google.com/p/owasp-asvs/wiki/ASVS
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://www.owasp.org/index.php/Category:OWASP_Guide_Project
• Proteger• Detectar• Ciclo de Vida
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de software
http://www.mavensecurity.com/web_security_dojo/
https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
http://dvwa.co.uk/
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de software
http://www.acunetix.com/cross-site-scripting/scanner.htm
http://w3af.sourceforge.net/
http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Aplicación de procesos de seguridad en los diferentes lenguajes de programación que usa Tribal
• Proceso de investigación conjunta al respecto de la aplicación de procesos de seguridad para controlar las amenazas mas comunes a nivel de Desarrollo de Software, en lo que respecta a cada uno de los lenguajes de programación usados en Tribal.• Descargar y usar la versión Acunetix Free Edition, para identificar vulnerabilidades XSS en las aplicaciones que a la fecha tengan para salir a producción.• Realizar sesiones personalizadas para los recursos disponibles para cada lenguaje de programación.