www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Consultor: JUAN DAVID BERRIO LOPEZ - [email protected]
Ingeniero en Informática.
Máster en Seguridad Informática, Universidad Oberta de Catalunya
OSCP-CEH-CCNSP Cyberoam
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Agenda:
• Objetivos del curso en seguridad.
• Riesgos Integrales en una Arquitectura Tecnológica Web
• Demostración práctica de Hacking de un sitio web
• Alcances y responsabilidades en seguridad de la información para
el equipo humano de tecnología.
• Políticas de seguridad de la información
• Principales amenazas en Desarrollo de Software
• Recursos tecnológicos disponibles para el desarrollo seguro de
software en PHP
• Aplicación de procesos de seguridad en los diferentes lenguajes de
programación que usa Tribal (PHP)
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Objetivos del curso de Seguridad de la Información:
• Delimitar las responsabilidades que se tienen en el equipo tecnológico
en que respecta al desarrollo de software y la infraestructura tecnológica.
• Identificar las amenazas a las cuales esta expuesta las aplicaciones Web.
• Realizar un análisis de riesgos sobre las amenazas y sus respectivos
impactos.
• Definir metodologías sobre el tratamiento de vulnerabilidades y la
prevención de ataques informáticos a las aplicaciones web.
• Aplicar las metodologías teóricas y practicas que existen para fortalecer
el tema de desarrollo seguro de aplicaciones.
• Generar un documento de política de seguridad para TRIBAL, en lo que
respecta a desarrollo de software e infraestructura tecnologica.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Metodología:
• Se utiliza como apoyo Software Libre, representado en varias
versiones de Linux y Proyectos especializados en seguridad de la
información orientada a las aplicaciones web y Maquinas Virtuales
que emulan las aplicaciones vistas en el curso.
• El curso se hace de forma conjunta, ya que se dejan procesos de
investigación para los asistentes.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Metodología:
Como apoyo fuera del curso de seguridad, se realizan actividades
externas, en unos laboratorios prácticos llamados DS LABS, y se
disponen de algunos servidores públicos, los cuales los estudiantes
deben de tratar de violar (Retos de Hacking), en lo que respecta a la
seguridad.
http://www.dsteamseguridad.com/dslabs/
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Infraestructura
• Adm. Bases de Datos
• Redes y
telecomunicaciones
• Administración de
Software (tercerosMisionales
• Seguridad
perimetral
• Administración de
Servidores y
Sistemas operativos
Desarrollo de
Software
• Desarrollo de
Aplicaciones
• Ingeniería del
Software
• Código fuente
• Diseño lógico de
Bases de datos
Micro-Computo
• Sistemas operativos
Cliente
• Mantenimiento
Preventivo
• Estaciones de
Trabajo, portátiles,
PDA, entre otros.
• Impresoras
• Software Ofimática y
de misión especifica
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Arquitectura Tecnológica Servidor Web
Servidor Web
www.rxyz.com
Firewall
Switche
Características del Servidor :
• Servidor Web IIS 6.0
• B.D SQL Server 5.0
• PHP 5 .2
• Windows 2003 Server
Software web desarrollado de forma segura
Usuarios Legítimos de
la Aplicación
Pirata
Informático
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Arquitectura Tecnológica Servidor Web
Servidor Web
www.rxyz.com
Firewall
Switche
Características del Servidor :
• Servidor Web IIS 7
• B.D SQL Server 8
• PHP 5 3.6
• Windows 2008 Server
Software web desarrollado de forma no
segura: XSS-SQL Injection
Usuarios Legítimos de
la Aplicación
Pirata
Informático
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Algunos ejemplos de Paginas Web Vulnerables:
Empresa: http://www.ssoftcolombia.com/pagina/Presentacion/Index.aspx
http://www.tuviaje.travel/administrador/presentacion/Default.aspx?idE=0
http://www.unionderepresentaciones.com/administrador/
http://www.circulardeviajes.com/Administrador/presentacion/Default.aspx?idE=0
http://www.e-explora.com/Administrador/presentacion/Default.aspx?idE=0
http://www.irotama.com/administrador/presentacion/Default2.aspx
http://www.seventravels.com/administrador/
http://www.seventravels.com/administrador/
http://www.solcrystal.com/Administrador/
SQL Injection Mínima:
' or '1'='1
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Arquitectura Tecnológica Servidor Web Ideal
Servidor Web
www.riesgoscero.com
Servidor B.D
Firewall-UTMWeb -FW
Balanceadores de
Carga
Aplicación de Buenas Practicas de
seguridad :
• A nivel de desarrollo
• A nivel de Infraestructura
• Mejoramiento Continuo.
Usuarios Legítimos de
la Aplicación
Pirata
Informático
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Demostración práctica de Hacking de un sitio web:
“ENTORNO DE PRUEBAS VIRTUALIZADO”
Servidor Web
www.xyz.com
Windows 2003 Server
SQL Server 2005
IIS 6.0
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Alcances y Responsabilidades en seguridad de la información para el
Equipo humano de tecnología
Infraestructura Tecnológica:
“Ver Política de Seguridad Infraestructura
Tecnológica”
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Alcances y Responsabilidades en seguridad de la información para el
equipo humano de tecnología
Desarrollo de Software:
“Ver Política de Seguridad Desarrollo de
Software”
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Principales Amenazas en Desarrollo de Software:
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Riesgos de Seguridad Integrales.
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Principales Amenazas en Desarrollo de Software:
http://www.xssed.com/mirror/
73625/
Cross Site Scripting
Path Traversal
RFI (Remote File Inclusion)
SQL Injection
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de
software: Existe mucha documentación y programas tantos libres como
de pago, peor la recomendación, es tener como guía lo siguiente:
http://code.google.com/p/owasp-asvs/wiki/ASVS
https://www.owasp.org/index.php/Categ
ory:OWASP_Top_Ten_Project
https://www.owasp.org/index.php/Category:OWASP_Guide_Project
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de
software
https://www.owasp.org/index.php/Categ
ory:OWASP_WebGoat_Project
http://www.mavensecurity.com/web_security_dojo/
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project
http://dvwa.co.uk/
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Recursos tecnológicos disponibles para el Desarrollo seguro de
software
http://www.acunetix.com/cross-site-scripting/scanner.htm
http://w3af.sourceforge.net/
http://www.mcafee.com/us/downloads/freetools/hacme-bank.aspx
www.dsteamseguridad.com
“Seguridad en Aplicaciones Web”
Aplicación de procesos de seguridad en los diferentes
lenguajes de programación que usa Tribal
• Proceso de investigación conjunta al respecto de la aplicación de procesos
de seguridad para controlar las amenazas mas comunes a nivel de
Desarrollo de Software, en lo que respecta a cada uno de los lenguajes de
programación usados en Tribal.
• Descargar y usar la versión Acunetix Free Edition, para identificar
vulnerabilidades XSS en las aplicaciones que a la fecha tengan para salir a
producción.
• Realizar sesiones personalizadas para los recursos disponibles para cada
lenguaje de programación.
Descargar

www.dsteamseguridad.com “Seguridad en Aplicaciones Web”