SlideShare ist ein Scribd-Unternehmen logo

Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.

Internet Security Auditors
Internet Security Auditors

Presentación ofrecida en el II Meeting del Capítulo Español de OWASP que tuvo lugar en2007. En esta conferencia se presentó la problemática de la necesidad del filtrado de los datos que alimentan a las aplicaciones web y que son uno de los puntos de entrada de los ataques más comunes por la deficiencia de este tipo de controles.

Technologie
1 von 18
Downloaden Sie, um offline zu lesen
Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
Su Seguridad es Nuestro Éxito Tratamiento seguro de datos en aplicaciones OWASP Conference 2007 Barcelona, Julio 2007
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 3 Definición de Aplicación: “Una aplicación es un programa informático diseñado para facilitar al usuario un determinado tipo de trabajo.” (Fuente: Wikipedia) Compentes de una Aplicación: • Procesos • Datos Tratamiento seguro de datos en aplicaciones Procesos Datos de salidaDatos de entrada Entrada de usuario Parámetros Fichero Base de datos Conexión de red …
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 4 •Las aplicaciones reciben datos, los procesan y luego muestran los resultados. •Los datos introducidos en una aplicación pueden utilizarse en distintos contextos. • Nombre de fichero • Consultas SQL • Consultas XPATH • En códigos de marcas (XML, HTML, etc) • … Tratamiento seguro de datos en aplicaciones
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 5 Tratamiento seguro de datos en aplicaciones “dato” SELECT * FROM id = ‘dato’ File://usr/info/dato.xml <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>dato</H1> </BODY> </HTML> Las aplicaciones pueden utilizar un mismo dato en distintos contextos. Cada contexto puede tener implicaciones distintas.
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 6 •Un tratamiento incorrecto de los datos puede ocasionar que un cambio de contexto suponga una vulnerabilidad en la aplicación. Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” “../../../file” “<B>BOLD</B>” SELECT * FROM id = ‘’ OR ‘’=‘’ File://usr/info/../../../file.xml <HTML> <TITLE>Página Web</TITLE> <BODY> <H1><B>BOLD</B></H1> </BODY> </HTML> SQL injection Path Traversal Cross Site Scripting
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 7 Cross Site Scriptint (XSS) • Es un error que se produce en contexto de lenguaje de marcas HTML, al generar la presentación de una página web. • Un usuario puede inyectar código malicioso (HTML/Javascript) que se ejecuta en el cliente. • Permite comprometer otros usuarios (ejecutar código, robar cookies). Tratamiento seguro de datos en aplicaciones “<B>BOLD</B>” <HTML> <TITLE>Página Web</TITLE> <BODY> <H1><B>BOLD</B></H1> </BODY> </HTML>
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 8 SQL Injection • Es un error que se produce en contexto de sentencia SQL. • Un usuario es capar de alterar la sentencia SQL y alterar el comportamiento de la aplicación. • Añadir datos • Borrar datos • Extraer datos • Ejecutar comandos del sistema • … • Se puede comprometer datos y servidores. Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” SELECT * FROM id = ‘’ OR ‘’=‘’
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 9 PATH Traversal • Es un error que se produce en contexto de ruta de fichero. • El usuario es capaz de manipular la ruta de un fichero para que se acceda a ficheros de forma no controlada, generalmente escapando del directorio mediante ‘..’ • Se pueden comprometer datos y servidores, dependiendo del uso que se le de los ficheros a los que se accede. Tratamiento seguro de datos en aplicaciones “../../../file” File://usr/info/../../../file.xml
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 10 Buffer overflow • Es un error que se produce en contexto de buffer de memoria. • Se copia de un buffer de memoria a otro sin verificar que el buffer de destino sea mayor o igual que el buffer de origen. • Permite modificar la memoria de la aplicación y tomar el control. Tratamiento seguro de datos en aplicaciones “AAAA….AAAA” “AAAA….AAAA” Buffer origen Buffer destino>
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 11 Validación de datos de entrada ¿Solución? ¡NO! •Se suele decir que una aplicación es segura si valida sus datos de entrada, pero eso no es cierto. •Un dato validado en la entrada de la aplicación puede ‘mutar’. Tratamiento seguro de datos en aplicaciones “dato” Funcion 1 “../dato” Funcion 1 “../<B>dato” Validación de la entrada
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 12 Validación de datos de entrada ¿Solución? ¡NO! •Si se verifican únicamente las entradas de datos se pueden producir ataques ‘de segundo nivel’. •Ejemplo: Un dato se verifica, se introduce en la base de datos pero luego al reutilizarse no se verifica de nuevo. Tratamiento seguro de datos en aplicaciones “dato’” Validación de la entrada “dato’” “dato’”
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 13 Validación de datos de entrada ¿Solución? ¡NO! •No podemos “generalizar” la validación de datos en la entrada, ya que podemos perder la usabilidad. •Ejemplo: Una validación que “generalizada” que elimina (o escapa) todos los caracteres sospechosos (>, <, ‘, etc). Tratamiento seguro de datos en aplicaciones “Eto’o” “Etoo” Validación de la entrada <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>Bienvenido Etoo</H1> </BODY> </HTML> ¡Eh! Que yo me llamo Eto’o, no Etoo.
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 14 Validación de datos en cambios de contexto ¿Solución? ¡SI! •Te garantiza que SIEMPRE estarás tratando con datos de forma segura en todo momento. •En cada cambio de contexto deberían aplicarse únicamente las medidas necesarias para asegurar el dato en ese contexto, de manera se mejora la usabilidad. Tratamiento seguro de datos en aplicaciones
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 15 Tratamiento seguro de datos en aplicaciones Contexto Validaciones Sentencia SQL Escapar caracteres (comillas, contrabarra) Código HTML Codificar los datos en HTML (HTMLencode) Nombre de un fichero Filtrar caráracteres (barra, contrabarra, puntos al inicio de fichero) Buffer de memoria Verificar tamaño de origen y destino. … … SQL Injection Cross site scripting Path traversal Buffer overflow …
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 16 Validación de datos en cambios de contexto ¿Solución? ¡SI! Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” “<B>BOLD</B>” SELECT * FROM id = ‘’ OR ‘’=‘’ <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>&lt;B&gt;BOLD&lt;/B&gt;</H1> </BODY> </HTML>
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 17 ¿Validamos la entrada? Sí, la entrada de datos es un cambio de contexto. •Si el dato de entrada es de un tipo cerrado o debe cumplir una serie de condiciones debemos filtrar y/o verificar que los datos son correctos. • Ejemplo: Dato de entrada en una aplicación web que contiene un identificador numérico. Tratamiento seguro de datos en aplicaciones “12” “12” “12abc” “12” Validación de entrada
© I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 18 <B>’¿Dudas?<B> <B>’¿Dudas?<B> &lt;B&gt;?&#191;Dudas?&lt;B&gt; Tratamiento seguro de datos en aplicaciones

Empfohlen

Un estado seguro para los datos
Un estado seguro para los datosUn estado seguro para los datos
Un estado seguro para los datosPowerData
 
Data Masking
Data MaskingData Masking
Data MaskingPowerData
 
Ciclo Contable
Ciclo ContableCiclo Contable
Ciclo Contablejohanna20
 
Activo, Pasivo y Patrimonio
Activo, Pasivo y PatrimonioActivo, Pasivo y Patrimonio
Activo, Pasivo y Patrimonioaroncalm
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosInternet Security Auditors
 
Tratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesayreonmx
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
153. pwd migracion-datos_1
153. pwd migracion-datos_1153. pwd migracion-datos_1
153. pwd migracion-datos_1Jabes Rivera
 

Empfohlen

Un estado seguro para los datos
Un estado seguro para los datosUn estado seguro para los datos
Un estado seguro para los datosPowerData
 
Data Masking
Data MaskingData Masking
Data MaskingPowerData
 
Ciclo Contable
Ciclo ContableCiclo Contable
Ciclo Contablejohanna20
 
Activo, Pasivo y Patrimonio
Activo, Pasivo y PatrimonioActivo, Pasivo y Patrimonio
Activo, Pasivo y Patrimonioaroncalm
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosInternet Security Auditors
 
Tratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesayreonmx
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
153. pwd migracion-datos_1
153. pwd migracion-datos_1153. pwd migracion-datos_1
153. pwd migracion-datos_1Jabes Rivera
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Big data, Big Objects
Big data, Big ObjectsBig data, Big Objects
Big data, Big ObjectsNimacloud
 
Industrializacionde la IA Maria Borbones
Industrializacionde la IA Maria BorbonesIndustrializacionde la IA Maria Borbones
Industrializacionde la IA Maria BorbonesWiMLDS_Madrid
 
S8-DAW-2022S1.pptx
S8-DAW-2022S1.pptxS8-DAW-2022S1.pptx
S8-DAW-2022S1.pptxLuis Fernando Aguas Bucheli
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónYaskelly Yedra
 
Capítulo 3 todo genera datos
Capítulo 3 todo genera datosCapítulo 3 todo genera datos
Capítulo 3 todo genera datosUNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos AdquisiciónDavid Narváez
 
Base de datos pdf
Base de datos pdfBase de datos pdf
Base de datos pdfMadeXitap PexioZzita
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosjosecuartas
 
Eje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionEje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionJulian Uasapud
 
¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?Denodo
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.PowerData
 
AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.PowerData
 
Exposición Grupo 3
Exposición Grupo 3Exposición Grupo 3
Exposición Grupo 3CAROLINA
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
Integración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12cIntegración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12cEdelweiss Kammermann
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
vision general base de datos.pdf
vision general base de datos.pdfvision general base de datos.pdf
vision general base de datos.pdfssuser948499
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Weitere ähnliche Inhalte

Ähnlich wie Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.

Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Big data, Big Objects
Big data, Big ObjectsBig data, Big Objects
Big data, Big ObjectsNimacloud
 
Industrializacionde la IA Maria Borbones
Industrializacionde la IA Maria BorbonesIndustrializacionde la IA Maria Borbones
Industrializacionde la IA Maria BorbonesWiMLDS_Madrid
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónYaskelly Yedra
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos AdquisiciónDavid Narváez
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosjosecuartas
 
Eje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionEje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionJulian Uasapud
 
¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?Denodo
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.PowerData
 
AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.PowerData
 
Exposición Grupo 3
Exposición Grupo 3Exposición Grupo 3
Exposición Grupo 3CAROLINA
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
Integración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12cIntegración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12cEdelweiss Kammermann
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
vision general base de datos.pdf
vision general base de datos.pdfvision general base de datos.pdf
vision general base de datos.pdfssuser948499
 

Ähnlich wie Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007. (20)

Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
 
Big data, Big Objects
Big data, Big ObjectsBig data, Big Objects
Big data, Big Objects
 
Industrializacionde la IA Maria Borbones
Industrializacionde la IA Maria BorbonesIndustrializacionde la IA Maria Borbones
Industrializacionde la IA Maria Borbones
 
S8-DAW-2022S1.pptx
S8-DAW-2022S1.pptxS8-DAW-2022S1.pptx
S8-DAW-2022S1.pptx
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
 
Capítulo 3 todo genera datos
Capítulo 3 todo genera datosCapítulo 3 todo genera datos
Capítulo 3 todo genera datos
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos Adquisición
 
Base de datos pdf
Base de datos pdfBase de datos pdf
Base de datos pdf
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datos
 
Eje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionEje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacion
 
¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?¿Cuál es el futuro de la estrategia de datos?
¿Cuál es el futuro de la estrategia de datos?
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bd
 
AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.AR-Proyecto enmascaramiento de datos.
AR-Proyecto enmascaramiento de datos.
 
AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.AR-Proyecto enmascaramiento de Datos.
AR-Proyecto enmascaramiento de Datos.
 
Exposición Grupo 3
Exposición Grupo 3Exposición Grupo 3
Exposición Grupo 3
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemas
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemas
 
Integración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12cIntegración de Oracle Data Integrator con Oracle GoldenGate 12c
Integración de Oracle Data Integrator con Oracle GoldenGate 12c
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemas
 
vision general base de datos.pdf
vision general base de datos.pdfvision general base de datos.pdf
vision general base de datos.pdf
 

Mehr von Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Mehr von Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Kürzlich hochgeladen

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Kürzlich hochgeladen (16)

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.

  • 1. Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
  • 2. Su Seguridad es Nuestro Éxito Tratamiento seguro de datos en aplicaciones OWASP Conference 2007 Barcelona, Julio 2007
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 3 Definición de Aplicación: “Una aplicación es un programa informático diseñado para facilitar al usuario un determinado tipo de trabajo.” (Fuente: Wikipedia) Compentes de una Aplicación: • Procesos • Datos Tratamiento seguro de datos en aplicaciones Procesos Datos de salidaDatos de entrada Entrada de usuario Parámetros Fichero Base de datos Conexión de red …
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 4 •Las aplicaciones reciben datos, los procesan y luego muestran los resultados. •Los datos introducidos en una aplicación pueden utilizarse en distintos contextos. • Nombre de fichero • Consultas SQL • Consultas XPATH • En códigos de marcas (XML, HTML, etc) • … Tratamiento seguro de datos en aplicaciones
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 5 Tratamiento seguro de datos en aplicaciones “dato” SELECT * FROM id = ‘dato’ File://usr/info/dato.xml <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>dato</H1> </BODY> </HTML> Las aplicaciones pueden utilizar un mismo dato en distintos contextos. Cada contexto puede tener implicaciones distintas.
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 6 •Un tratamiento incorrecto de los datos puede ocasionar que un cambio de contexto suponga una vulnerabilidad en la aplicación. Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” “../../../file” “<B>BOLD</B>” SELECT * FROM id = ‘’ OR ‘’=‘’ File://usr/info/../../../file.xml <HTML> <TITLE>Página Web</TITLE> <BODY> <H1><B>BOLD</B></H1> </BODY> </HTML> SQL injection Path Traversal Cross Site Scripting
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 7 Cross Site Scriptint (XSS) • Es un error que se produce en contexto de lenguaje de marcas HTML, al generar la presentación de una página web. • Un usuario puede inyectar código malicioso (HTML/Javascript) que se ejecuta en el cliente. • Permite comprometer otros usuarios (ejecutar código, robar cookies). Tratamiento seguro de datos en aplicaciones “<B>BOLD</B>” <HTML> <TITLE>Página Web</TITLE> <BODY> <H1><B>BOLD</B></H1> </BODY> </HTML>
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 8 SQL Injection • Es un error que se produce en contexto de sentencia SQL. • Un usuario es capar de alterar la sentencia SQL y alterar el comportamiento de la aplicación. • Añadir datos • Borrar datos • Extraer datos • Ejecutar comandos del sistema • … • Se puede comprometer datos y servidores. Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” SELECT * FROM id = ‘’ OR ‘’=‘’
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 9 PATH Traversal • Es un error que se produce en contexto de ruta de fichero. • El usuario es capaz de manipular la ruta de un fichero para que se acceda a ficheros de forma no controlada, generalmente escapando del directorio mediante ‘..’ • Se pueden comprometer datos y servidores, dependiendo del uso que se le de los ficheros a los que se accede. Tratamiento seguro de datos en aplicaciones “../../../file” File://usr/info/../../../file.xml
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 10 Buffer overflow • Es un error que se produce en contexto de buffer de memoria. • Se copia de un buffer de memoria a otro sin verificar que el buffer de destino sea mayor o igual que el buffer de origen. • Permite modificar la memoria de la aplicación y tomar el control. Tratamiento seguro de datos en aplicaciones “AAAA….AAAA” “AAAA….AAAA” Buffer origen Buffer destino>
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 11 Validación de datos de entrada ¿Solución? ¡NO! •Se suele decir que una aplicación es segura si valida sus datos de entrada, pero eso no es cierto. •Un dato validado en la entrada de la aplicación puede ‘mutar’. Tratamiento seguro de datos en aplicaciones “dato” Funcion 1 “../dato” Funcion 1 “../<B>dato” Validación de la entrada
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 12 Validación de datos de entrada ¿Solución? ¡NO! •Si se verifican únicamente las entradas de datos se pueden producir ataques ‘de segundo nivel’. •Ejemplo: Un dato se verifica, se introduce en la base de datos pero luego al reutilizarse no se verifica de nuevo. Tratamiento seguro de datos en aplicaciones “dato’” Validación de la entrada “dato’” “dato’”
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 13 Validación de datos de entrada ¿Solución? ¡NO! •No podemos “generalizar” la validación de datos en la entrada, ya que podemos perder la usabilidad. •Ejemplo: Una validación que “generalizada” que elimina (o escapa) todos los caracteres sospechosos (>, <, ‘, etc). Tratamiento seguro de datos en aplicaciones “Eto’o” “Etoo” Validación de la entrada <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>Bienvenido Etoo</H1> </BODY> </HTML> ¡Eh! Que yo me llamo Eto’o, no Etoo.
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 14 Validación de datos en cambios de contexto ¿Solución? ¡SI! •Te garantiza que SIEMPRE estarás tratando con datos de forma segura en todo momento. •En cada cambio de contexto deberían aplicarse únicamente las medidas necesarias para asegurar el dato en ese contexto, de manera se mejora la usabilidad. Tratamiento seguro de datos en aplicaciones
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 15 Tratamiento seguro de datos en aplicaciones Contexto Validaciones Sentencia SQL Escapar caracteres (comillas, contrabarra) Código HTML Codificar los datos en HTML (HTMLencode) Nombre de un fichero Filtrar caráracteres (barra, contrabarra, puntos al inicio de fichero) Buffer de memoria Verificar tamaño de origen y destino. … … SQL Injection Cross site scripting Path traversal Buffer overflow …
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 16 Validación de datos en cambios de contexto ¿Solución? ¡SI! Tratamiento seguro de datos en aplicaciones “’ OR ‘’=‘” “<B>BOLD</B>” SELECT * FROM id = ‘’ OR ‘’=‘’ <HTML> <TITLE>Página Web</TITLE> <BODY> <H1>&lt;B&gt;BOLD&lt;/B&gt;</H1> </BODY> </HTML>
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 17 ¿Validamos la entrada? Sí, la entrada de datos es un cambio de contexto. •Si el dato de entrada es de un tipo cerrado o debe cumplir una serie de condiciones debemos filtrar y/o verificar que los datos son correctos. • Ejemplo: Dato de entrada en una aplicación web que contiene un identificador numérico. Tratamiento seguro de datos en aplicaciones “12” “12” “12abc” “12” Validación de entrada
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • Ciudad • 01. 01 . 2 0 0 7 • P. 18 <B>’¿Dudas?<B> <B>’¿Dudas?<B> &lt;B&gt;?&#191;Dudas?&lt;B&gt; Tratamiento seguro de datos en aplicaciones