1. Seguridad enAplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ Semana Internacional de la Seguridad Informtica2008 U.T.N. - F.R. C. del Uruguay

2. Contenidos

Las aplicaciones y su seguridad.

3. Introduccin a las aplicaciones web. 4. Amenazas a las aplicaciones web. 5. Algunos ejemplos. 6. Demostracin en vivo. 7. Recursos y lecturas adicionales. 8. Aplicaciones Web Qu son las aplicaciones web? pginas estticas? pginas dinmicas? pginas activas? CGI? (X)HTML? Webservices? HTTP? XML? DHTML? Javascript? AJAX? 9. Aplicaciones Web Ciclo solicitud-respuesta Solicitud + Datos HTTP (GET - POST), Variables de Sesin Respuesta (X)HTML+CSS, XML+XSLT 10. Componentes Una aplicacin web suele requerir varios componentes, cada uno de los cuales implica diferentes amenazas a la seguridad:

Aplicacin propiamente dicha.

11. Lenguaje(s) / Framework. 12. Servidor web. 13. Servidor de base de datos. 14. Navegador Web. 15. Vulnerabilidades Las amenazas sobre las aplicaciones web se pueden clasificar en tres tipos:

Problemas de validacin de datos.

16. Problemas de autenticacin. 17. Problemas de manejo de sesiones. 18. Vulnerabilidades Algunos problemas de validacin de datos:

SQL Injection.

19. Cross Site Scripting (XSS). 20. Buffer Overflow. 21. Vulnerabilidades Demostracin de algunos problemas de validacin de datos. 22. Validacin de Datos Prevencin:

Nunca confe en las entradas del usuario.

23. Nunca asuma que la informacin proviene de la aplicacin. 24. Sanear las entradas de usuario. 25. Validar en el servidor. 26. Ocultar errores y fallar en seguro. 27. Vulnerabilidades Algunos problemas de autenticacin:

Falta de politica de contraseas.

28. Ataques de fuerza bruta. 29. Buffer Overflow. 30. Abuso del recordar contrasea 31. Vulnerabilidades Algunos problemas de manejo de sesiones:

Manipulacin de cookies y tokens.

32. Variables de sesin expuestas. 33. Cross Site Request Forgery. 34. Cross Site Request Forgery Poltica del mismo origen document, cookies bank.com blog.net JS 35. Cross Site Request Forgery Por ejemplo colocando en blog.com:

Parece una simple pgina con un poco de texto, no?

36. Cross Site Request Forgery Ataque a una red segura 37. Vulnerabilidades Demostracin de unataque de CSRF. 38. Cross Site Request Forgery Prevencin:

Evite usar sesiones persistentes.

39. Usar GET de manera apropiada. 40. Usar tokens y TTLs. 41. Reautenticar en el cliente usando AJAX. 42. Lecturas Adicionales Open Web Application Security Project (OWASP) http://www.owasp.org/

Guide to Building Secure Web Applications .(en espaol).

43. OWASP Code Review Guide. SQL Injection Attacks by Example http://unixwiz.net/techtips/sql-injection.html 44. Gracias ! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/ (2008) Gabriel E. Arellano Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License as applicable to this document can be found at:http://www.gnu.org/copyleft/fdl.html