PowerPoint Presentation

Anti Hacking y Seguridad de RedesMayo 2015

@UPCeduUPCedu Unidad 07Seguridad en Web y correo electrnico1Logro

Al finalizar la unidad, el alumno podr explicar los modos de seguridad en la web y en los correos electrnicos.

Generalidades

Antecedentes

Antecedentes

Antecedentes

Antecedentes

Tipos de Ataque

Inyeccin SQLEste ataque es utilizado por intrusos para comprometer aplicaciones que construyen sentencias SQL utilizando los datos suministrados por el usuario y es posible, debido a falta de validacin y saneamiento de los parmetros suministrados por el usuario.

Tipos de Ataque

Tipos de Ataque

Cross Site Scripting (XSS)XSS ocurre cuando portales web de contenido dinmico muestran variables de entrada suplidas por el usuario sin una propia validacin. Esta vulnerabilidad permite a un atacante la inyeccin de cdigo que ser ejecutado por el navegador Web de la persona que visualiza la pgina, (la vctima)

Tipos de Ataque

Tipos de Ataque

Manipulacin del Path

La manipulacin de path (Path Traversal) afecta a aplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema de archivos. Si el atacante ingresa caracteres especiales que modifican el path, la aplicacin podr permitir el acceso no autorizado a recursos del sistema.

Manipulacin del Path

Remote File Inclusion

Tcnica que permite el enlace de archivos remotos situados en otros servidores a causa de una mala programacin. Los lenguajes de programacin de lado servidor, permiten la inclusin de cdigo desde una ubicacin externa, tanto local como remota.

Remote File Inclusion

Frameworks de Aprendizaje

WebGoatAplicacin Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP.Actualmente existen ms de 30 lecciones que incluyen vulnerabilidades como XSS, Control de Accesos, SQL Injection, Cookies dbiles y Manipulacin de Parmetros.

Frameworks de Aprendizaje

Damn Vulnerable Wep ApplicationEs una aplicacin (PHP/MySQL) de entrenamiento en seguridad Web que se destaca por ser de liviano peso.Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script y Login Brute Force.

Antecedentes

Protocolo Pretty Good Privacy (PGP)

Su finalidad es proteger la informacin distribuida a travs de Internet con llaves pblicas y con firmas digitales.PGP es un hbrido ya que utiliza criptografa simtrica y asimtrica.PGP crea una clave de sesin secreta con criptografa simtrica (3DES) y luego aplica la clave pblica del receptor. (criptografa asimtrica)Permite generar certificados de identidad a travs de webs de confianza.La IETF se ha basado en PGP para crear el estndar de Internet Open PGP (GPG)

Protocolo GPG

GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que reemplaza a PGP y es software libre (OpenPGP)Es utilizado en todas las distribuciones Linux.Si forma de trabajo es similar a PGP.GPG utiliza algoritmos ElGamal, 3DES, AES y Blowfish.

Secure Multipurpose Internet Mail Extensions

Caractersticas de S/MIME

Al igual que SSL y TLS, S/MIME permite autenticacin con claves simtricas, certificados digitales y encriptacin de datos.Para las firmas digitales utiliza algoritmo RSA.Para la encriptacin simtrica utiliza RC2, DES y Triple DESPara las funciones hash emplea MD5 y SHA1.Sus aplicaciones incluyen transmisin de recibos de pagos y estados de cuenta bancarios, pagos en lnea y compras con tarjeta de crdito.

Funcionamiento de S/MIME

Configuracin S/MIME

Anti Hacking y Seguridad de RedesMayo 2015

@UPCeduUPCedu Unidad 07Seguridad en Web y correo electrnico28