Seguridad Web

Agenda

1. Introducción2. Aspectos Básicos3. Top Ten4. Ethical Hacking5. Conclusiones6. Preguntas y Respuestas

Lo importante es proteger la información.Comprende Hardware y Software.

Infraestructura Autenticación Aplicativo Exposición

Introducción

Aspectos Básicos

Generalmente observamos

• Autenticación– Conocido (Formulario)– Posesión (Certificado)– Físico (Biométrico)– Multifactor

Aspectos Básicos

Generalmente observamos

• Autorización– Opciones– Recursos– Diferentes capas

El principal Activo es la Información

Infraestructura Autenticación Aplicativo Exposición

Aspectos Básicos

Top Ten

• Open Web Application Security Project (OWASP) es una comunidad abierta dedicada a ayudar a las organizaciones a madurar el nivel de seguridad de sus aplicaciones.

• El proyecto Top Ten pretende identificar los riesgos más críticos– No detenerse en 10– Pensar positivo– No olvidar rentabilidad

Top Ten: 1 Injection

Top Ten: 2 Broken Authentication and Session Managment

Top Ten: 3 Cross-Site Scripting (XSS)

Top Ten: 4 Insecure Direct Object References

Top Ten: 5 Security Missconfiguration

• Se instala por defecto con usuarios por defecto• No se modifica o se elimina

Consola Administración

• No se restringeLista de Directorios

• Demasiada información para el usuario

Trazas de Error

• Se instalan por defecto• Muestran las capas o fallas de seguridadEjemplos

Top Ten: 6 Sensitive Data Exposure

Top Ten: 7 Missing Function Level Access Control

Top Ten: 8 Cross-Site Request Forgery (CSRF)

Top Ten: 9 Using Components with Know Vulnerabilities

Top Ten: 10 Unvalidated Redirects and Forwards

Ethical Hacking

• Experto en informática, redes y seguridad quien ataca un sistema a petición de los dueños/autores.

• ¿Es una carrera?

CEH

Conclusiones

# "Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores."-- Kevin Mitnick

# "El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados.”-- Gene Spafford

# "El ordenador nació para resolver problemas que antes no existían."-- Bill Gates

Gracias por

su Atención» Vladimir Aguirre Piedragil» Arquitectura de Soluciones» www.tattva-it.com» @TattvaIT» @vlad_pax

www.tattva-it.com

Preguntas y Respuestas

Seguridad Web