seguridad en la web 2.0
TRANSCRIPT
![Page 1: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/1.jpg)
Vulnerabilidades de Seguridad en los Servicios “Web 2.0”
Juan José Lurbe EscrihuelaArnau Sardà Forcadell
![Page 2: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/2.jpg)
Vulnerabilidades de Seguridad Tipos de Ataques
◦ De autenticación.◦ De autorización◦ Client-Side.◦ Command Execution.◦ De revelación de información.◦ Lógicos.◦ Ingeniería Social
Inconvenientes de las Redes Sociales◦ Pérdida del criterio de referencia.◦ Exceso de operatividad sin intervención directa o consciente del usuario.◦ Funciones demasiado potentes y de efectos desconocidos a priori.◦ Concentración del grupo de relaciones de manera intensiva.◦ Guardan, explícitamente o no, información muy precisa.◦ Presentan al usuario las opciones de manera demasiado interesada.
Posibles Situaciones de Riesgo contra nuestra Privacidad Protección de los Derechos de los usuarios
![Page 3: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/3.jpg)
LA VULNERABILIDAD DE UN SISTEMA ES SU INCAPACIDAD DE RESISTENCIA FRENTE A UN FENÓMENO AMENAZANTE
LOS FENÓMENOS AMENAZANTES MÁS COMUNES EN LA WEB SON LOS ATAQUES INTENCIONADOS
![Page 4: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/4.jpg)
DE AUTENTICACIÓN DE AUTORIZACIÓN CLIENT-SIDE COMMAND EXECUTION DE REVELACIÓN DE INFORMACIÓN LÓGICOS INGENIERÍA SOCIAL
![Page 5: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/5.jpg)
SE TRATA DE AVERIGUAR LOS DATOS DE AUTENTICACIÓN DE UNA PERSONA:
USUARIO/PASSWORD TARJETA DE CRÉDITO LLAVE CRIPTOGRÀFICA
MÉTODOS FUERZA BRUTA AUTENTICACIÓN INSUFICIENTE RECUPERACIÓN/MODIFICACIÓN DE PASSWORD
INSEGURA
![Page 6: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/6.jpg)
EL ATACANTE INTENTA DESHABILITAR EL SISTEMA DE GESTIÓN DE PERMISOS, PUDIENDO OBTENER PRIVILEGIOS DE ADMINISTRADOR.
MÉTODOSPREDICCIÓN USUARIO/PASSWORDAUTORIZACIÓN INSUFICIENTEFIJACIÓN DE LA ID DE LA SESIÓNTIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE
![Page 7: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/7.jpg)
TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE
APROVECHAN EL HECHO DE QUE UNA PÁGINA WEB NO
CIERRA LA SESIÓN DE UN USUARIO CUANDO ESTE CANVIA DE
PÁGINA WEB O CIERRA EL NAVEGADOR.
SE PUEDE ACCEDER A LA CUENTA DEL USUARIO
HACIENDO CLIC EN EL BOTON “IR A LA PÁGINA ANTERIOR”, O
CONECTANDOSE OTRA VEZ A LA WEB DEL SERVICIO
![Page 8: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/8.jpg)
SE BASAN EN EL ABUSO DEL WEBSITE DE UN USUARIO. SE APROVECHAN DE LA CONFIANZA USUARIO-WEB
MÉTODOSCONTENT SPOOFING CROSS-SITE SCRIPTING
![Page 9: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/9.jpg)
SPOOFING
ESTE TIPO DE ATAQUES SE BASAN EN LA SUPLANTACIÓN DE IDENTIDAD. HAY 5 TIPOS:
IP: SE CANVIA LA IP ORÍGEN DE UN PAQUETE IPARP: SE MODIFICA LA TABLA ARP PARA REDIRIGIR
PAQUETESDNS: FALSEAMIENTO DE UNA RELACIÓN NOMBRE DE
DOMINIO-IP O VICERVERSA WEB: ENRUTA LA CONEXIÓN DE UNA VÍCTIMA A TRAVÉS
DE UNA PÁGINA FALSA HACIA OTRAS PÁGINAS WEB PARA OBTENER INFORMACIÓN PRIVADA
MAIL: SUPLANTACIÓN EN EL CORREO ELECTRÓNICO DEL EMAIL DE OTRAS PERSONAS O ENTIDADES
![Page 10: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/10.jpg)
CROSS-SITE SCRIPTING
APROVECHAN UNA VULNERABILIDAD EN LA WEB PARA
HACER QUE ESTA EJECUTE CÓDIGO MALICIOSO EN EL
NAVEGADOR DEL USUARIO
LA VULNERABILIDAD CONSISTE EN QUE LA WEB NO VALIDA
EL CÓDIGO HTML QUE SE VA A EJECUTAR EN EL USUARIO, Y
POR NORMA GENERAL, LOS USUARIOS TIENDEN A CONFIAR EN
LOS SERVIDORES WEB
![Page 11: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/11.jpg)
EL ATACANTE APROVECHA EL HECHO DE QUE LAS WEBS REQUIEREN INFORMACIÓN PROPORCIONADA POR LOS USUARIOS PARA INTRODUCIR CÓDIGO MALICIOSO EN LA PROPIA WEB
MÉTODOSBUFFER OVERFLOWFORMAT STRINGEJECUCION DE COMANDOS DE SOLDAP, SQL, SSI, XPATH, XML, JSON INJECTIONS
![Page 12: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/12.jpg)
INYECCIONES
LAS INYECCIONES DE CÓDIGO EN SISTEMAS PERMITEN AL
ATACANTE MÚLTIPLES ACCIONES, POR EJEMPLO, DESFIGURAR
UNA PÁGINA WEB, MODIFICAR VALORES DE BASES DE DATOS,
EJECUTAR CÓDIGO MALICIOSO,…
![Page 13: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/13.jpg)
DISENYADOS ESPECIFICAMENTE PARA OBTENER CIERTA INFORMACIÓN DE UN SISTEMA, COMO LA DISTRIBUCIÓN DE SOFTWARE, SU VERSIÓN, ARCHIVOS TEMPORALES,…
MÉTODOS INDEXADO DE DIRECTORIOSESCAPE DE INFORMACIÓNPATH TRAVERSALLOCALIZACIÓN DE RECURSOS PREDECIBLE
![Page 14: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/14.jpg)
SE CENTRAN EN EL ABUSO O EXPLOTACIÓN DEL FLUJO LÓGICO DE UNA APLICACIÓN WEB
MÉTODOSABUSO DE FUNCIONALIDADVALIDACIÓN DE PROCESO INSUFICIENTENEGACIÓN DE SERVICIO (DOS)ANTI-AUTOMATIZAZCIÓN INSUFICIENTE
![Page 15: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/15.jpg)
NEGACIÓN DE SERVICO
EL OBJETIVO DE ESTE TIPO DE ATAQUES ES HACER CAER O VOLVER INESTABLE EL SERVIDOR PARA QUE ESTE NO PUEDA OFRECER EL SERVICIO.
PARA ELLO, SE UTILIZAN MUCHOS USUARIOS QUE HACEN MÚLTIPLES PETICIONES DE SERVICIO, SATURANDO EL SERVIDOR
![Page 16: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/16.jpg)
INSUFICIENTE ANTI-AUTOMATIZACIÓN
UN SISTEMA ES VULNERABLE A UN ATAQUE AUTOMATIZADO CUANDO EL ATACANTE PUEDE EJECUTAR UN PROGRAMA RECURRENTE PARA, POR EJEMPLO, DESCUBRIR UNA CONTRASEÑA
UN EJEMPLO DE ANTI-AUTOMATIZACIÓN SON LAS IMÁGENES CON PALABRAS DESDIBUJADAS QUE HAY QUE INTRODUCIR EN ALGUNAS WEBS
![Page 17: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/17.jpg)
EL ATACANTE INTENTA OBTENER INFORMACIÓN CONFIDENCIAL A TRAVÉS DE LA MANIPULACIÓN PSICOLÓGICA DE LOS USUARIOS LEGÍTIMOS
EL MÉTODO MÁS CONOCIDO ES EL “PHISHING”, DONDE EL CRACKER SE HACE PASAR POR ADMINISTRADOR DEL SISTEMA
![Page 18: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/18.jpg)
Inconvenientes de las Redes Sociales◦ Pérdida del criterio de referencia.◦ Exceso de operatividad sin intervención directa o
consciente del usuario.◦ Funciones demasiado potentes y de efectos
desconocidos a priori.◦ Concentran el universo de relaciones de manera
intensiva.◦ Guardan, explícitamente o no, información muy
precisa.◦ Presentan al usuario las opciones de manera
demasiado interesada.
![Page 19: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/19.jpg)
Pérdida del criterio de Referencia◦ Promueven más las relaciones entre personas a
través de otras personas, por lo que se pierde el control directo de la referencia y el criterio de selección o confianza usado se diluye según los nodos se distancian.
![Page 20: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/20.jpg)
Exceso de operatividad sin intervención directa o consciente del usuario ◦ Disponen de demasiadas funciones automáticas
que el usuario novato desconoce. Ayudan a crecer a la Red, y en teoría a la función relacional de la misma buscada por los propios usuarios, pero también a potenciar la propia plataforma.
![Page 21: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/21.jpg)
Funciones demasiado potentes y de efectos desconocidos a priori.
◦ Existen posibilidades en exceso avanzadas para compartir todo tipo de cosas. Estas ‘gracias’ que el programa nos prepara pueden ser un grave problema, sobre todo para quien desconoce su funcionamiento.
![Page 22: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/22.jpg)
Concentran el universo de relaciones de manera intensiva.
◦ De sobra es conocida la escasa perspectiva que tienen los menores de la repercusión y alcance de lo que publican .
![Page 23: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/23.jpg)
Guardan, explícitamente o no, información muy precisa.
◦ Basan las relaciones en el perfil, intereses y actividad de los usuarios por lo que les requieren muchos datos y les registran sus acciones dentro de la propia Red. Incluso a la hora de la eliminación del usuario.
![Page 24: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/24.jpg)
Presentan al usuario las opciones de manera demasiado interesada.
◦ Tras una supuesta intención de ayudar y agilizar, suele ser política común de las plataformas de Redes Sociales ayudarse a sí mismas.
![Page 25: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/25.jpg)
Derecho al honor.
Derecho a la intimidad.
Derecho a la Imagen
![Page 26: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/26.jpg)
Derecho al honor◦ El derecho al honor es aquel que tiene toda
persona a su buena imagen, nombre y reputación, de tal forma que toda persona puede exigir que se respete su esfera personal, con independencia de las circunstancias particulares, siendo un derecho irrenunciable.
![Page 27: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/27.jpg)
Derecho a la intimidad◦ El derecho a la intimidad tiene por objeto la
protección de la esfera más íntima de la persona, y se encuentra íntimamente ligado a la protección de la dignidad del individuo
![Page 28: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/28.jpg)
Derecho a la propia imagen◦ El derecho a la propia imagen pretende
salvaguardar un ámbito propio y reservado del individuo, aunque no íntimo, frente a la acción y conocimiento de los demás.
![Page 29: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/29.jpg)
Momento del registro de alta de usuario.
Momento de participación en la red como
usuario.
Momento de darse de baja de la plataforma.
![Page 30: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/30.jpg)
Momento del registro de alta de usuario.
◦ Hay que configurar correctamente el perfil del usuario, definiendo el nivel de privacidad y teniendo en cuenta la posible publicación de información sensible desde un principio.
![Page 31: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/31.jpg)
Momento de participación en la red como usuario.◦ Hay que tener en cuenta que el volumen de
información, datos e imágenes publicados pueden ser excesivos y afectar a la privacidad, tanto personal como de terceros.
![Page 32: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/32.jpg)
Momento de participación en la red como usuario.◦ Por lo que respecta a la privacidad personal: a pesar
de que sean los usuarios los que voluntariamente publican sus datos, los efectos sobre la privacidad pueden tener un alcance mayor al que consideran en un primer momento ya que estas plataformas disponen de potentes herramientas de intercambio de información, la capacidad de procesamiento y el análisis de la información facilitada por los usuarios.
![Page 33: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/33.jpg)
Momento de participación en la red como usuario.◦ Por lo que respecta a la privacidad de terceros: es
esencial que los usuarios tengan en cuenta que la publicación de contenidos con información y datos respecto a terceros no puede ser realizada si éstos no han autorizado expresamente su publicación, pudiendo solicitar su retirada de forma inmediata.
![Page 34: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/34.jpg)
Momento de participación en la red como usuario.◦ Por último, es importante tener en cuenta que en la
gran mayoría de ocasiones, las redes sociales permiten a los motores de búsqueda de Internet indexar en sus búsquedas los perfiles de los usuarios, junto con información de contacto y de perfiles amigos, lo que puede suponer otro riesgo para la protección de la privacidad, además de dificultar el proceso de eliminación de su información en Internet.
![Page 35: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/35.jpg)
Momento de darse de baja de la plataforma.
◦ Cuando el usuario solicite dar de baja su perfil, pero aún así continúen datos publicados por éste, o información personal e imágenes propias publicadas en los perfiles de otros usuarios.
![Page 36: Seguridad en la Web 2.0](https://reader033.vdocuments.co/reader033/viewer/2022052900/5560c14bd8b42af43b8b544e/html5/thumbnails/36.jpg)
http://www.webappsec.org http://www.owasp.org/index.php/Injection_
Flaws http://es.wikipedia.org http://www.segu-info.com.ar/ http://www.unblogenred.es Estudio INTECO-APED sobre Redes Sociales http://entre-teclas.blogspot.com