SlideShare ist ein Scribd-Unternehmen logo

Sanitizando datos con .Net

Camilo Fernandez
Camilo Fernandez
Technologie
1 von 24
Programación segura con .NET Mario Guzmán Desarrollador Mario.Guzman@gmail.com OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
Aspectos a ser Tratados Como guardar de manera segura Passwords de Usuarios Limpiar la entrada de datos OWASP
Manejar Passwords Ataques Como Guardar Passwords OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
Mecanismos de Ataque Fuerza Bruta Ataques de Diccionario Brechas de Seguridad en el Servidor de Bases de Datos OWASP
Fuerza Bruta y Ataques de Diccionario Fuerza Bruta: consiste en probar con todas las combinaciones posibles de letras, números etc. Ataque de Diccionario: prueba con palabras de diccionario, fechas, etc. Ambos necesitan un programa que mande passwords a una pagina web y verifique su resultado. OWASP
Ayuda de GPUs Herramienta usada ighashgpu NTLM Se compara el resultado del hash del password ATI 5770 9.8 millones de passwords/sec OWASP
GPU Fuerza Bruta 5 caracteres: 4 segundos 6 caracteres: 17 segundos 7 caracteres: 17 minutos 30 segundos. 8 caracteres: 18 horas y 30 minutos 9 caracteres: 48 dias. OWASP
Defensa Pedir Passwords de 8-9 caracteres. Poner Timers: Dejar solo probar 10 logins seguidos Idealmente pedir Passphrases Tener un diccionario de las palabras mas usadas y no dejar que le gente use estos passwords: Mama, Papa, etc. Pedir passwords alfa numéricos. OWASP
BRECHAS DE SEGURIDAD EN UNA DB OWASP
Riesgos Debilidad en el código que permita tener acceso a las tablas de usuarios. SQL Injection DB Admins maliciosos. OWASP
Que queremos lograr Que aunque la base de datos caiga en manos maliciosas los passwords de los usuarios no sean comprometidos Usuarios usan el mismo password para varios sitios OWASP
Hash No guardar como “Clear Text” un password Usar un algoritmo de Hash Hash es un algoritmo de una sola via: cuando se aplica un hash no se puede recuperar el password otra vez. Al momento de login, se le pide al usuario el password, y se aplica el hash al mismo y por ultimo se comparan los hashes, nunca los passwords. OWASP
Hash Ejemplo en código OWASP
Hash + Salt En caso que el atacante tenga acceso a la base de datos entera, puede todavia tratar de adivinar los hashes por metodos de fuerza bruta OWASP
Hash + Salt Salt son bytes/string generado al random Se concatena/xor al password original Se logra tener un password bastante mas largo Tiene la desventaja que se tiene que guardar idealmente en otra base de datos OWASP
Hash + Salt Ejemplo OWASP
Hash + Salt + Iterations Se toma el resultado del hash + salt y se vuelve a pasar por la función de hash + salt n veces. El número de iteraciones debe de ser random y se recomienda que sea de mas de 1000 veces. Tiene que ser guardado junto al salt OWASP
Hash + Salt + Iterations Ejemplo en código OWASP
Limpiar Entradas a DB Riesgos SqlParameters LINQ to SQL OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
Riesgos SQL Injection Cross Site Scripting (XSS) Aunque verifiquemos los strings en el 99.99% de nuestra aplicación solo es necesario que falle una vez para ser vulnerables OWASP
SQL Injection Pasar comandos de SQL como parte de los valores Ejemplo en código para SQL Parameters Linq to SQL OWASP
Cross Site Scripting Pasar valores con comandos de Javascript/html Ejemplo: <b onmouseover=alert('Wufff!')>click me!</b> OWASP
Otros Métodos Nhibernate Fluent Nhibernate Object Relational Mapping OWASP
Preguntas y/o comentarios OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org

Empfohlen

Alessandro Forte - ASP.Net 4.0
Alessandro Forte - ASP.Net 4.0Alessandro Forte - ASP.Net 4.0
Alessandro Forte - ASP.Net 4.0Alessandro Forte
 
Guía de Pruebas OWASP v2.0
Guía de Pruebas OWASP v2.0Guía de Pruebas OWASP v2.0
Guía de Pruebas OWASP v2.0RaGaZoMe
 
Alessandro Forte - Model View Presenter
Alessandro Forte - Model View PresenterAlessandro Forte - Model View Presenter
Alessandro Forte - Model View PresenterAlessandro Forte
 
Alessandro Forte - Realizzare controlli Ajax in ASP.Net
Alessandro Forte - Realizzare controlli Ajax in ASP.NetAlessandro Forte - Realizzare controlli Ajax in ASP.Net
Alessandro Forte - Realizzare controlli Ajax in ASP.NetAlessandro Forte
 
¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?Enrique Rico Molina
 
Encriptacion mark
Encriptacion markEncriptacion mark
Encriptacion markFACULTAD DE MATHEMATICAS
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicioCamilo Fernandez
 

Empfohlen

Alessandro Forte - ASP.Net 4.0
Alessandro Forte - ASP.Net 4.0Alessandro Forte - ASP.Net 4.0
Alessandro Forte - ASP.Net 4.0Alessandro Forte
 
Guía de Pruebas OWASP v2.0
Guía de Pruebas OWASP v2.0Guía de Pruebas OWASP v2.0
Guía de Pruebas OWASP v2.0RaGaZoMe
 
Alessandro Forte - Model View Presenter
Alessandro Forte - Model View PresenterAlessandro Forte - Model View Presenter
Alessandro Forte - Model View PresenterAlessandro Forte
 
Alessandro Forte - Realizzare controlli Ajax in ASP.Net
Alessandro Forte - Realizzare controlli Ajax in ASP.NetAlessandro Forte - Realizzare controlli Ajax in ASP.Net
Alessandro Forte - Realizzare controlli Ajax in ASP.NetAlessandro Forte
 
¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?Enrique Rico Molina
 
Encriptacion mark
Encriptacion markEncriptacion mark
Encriptacion markFACULTAD DE MATHEMATICAS
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicioCamilo Fernandez
 
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASPMeetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASPTestingUy
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúJohn Vargas
 
ESAPI
ESAPIESAPI
ESAPIDavid Esteban Useche Pelaez
 
Clase1 introduccinalcurso
Clase1 introduccinalcursoClase1 introduccinalcurso
Clase1 introduccinalcursojorg_marq
 
Mi pesentacion pdf
Mi pesentacion pdfMi pesentacion pdf
Mi pesentacion pdfEvelynBueno6
 
My sql
My sqlMy sql
My sqlBrayan04T
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Por qué todo lo que subo a azure esta mal
Por qué todo lo que subo a azure esta malPor qué todo lo que subo a azure esta mal
Por qué todo lo que subo a azure esta malFernando Escolar Martínez-Berganza
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Clase 1
Clase 1 Clase 1
Clase 1 Willy Aguirre
 
Presentacion ute
Presentacion utePresentacion ute
Presentacion utemies
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advancedlimahack
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressRamón Salado Lucena
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñasRafa González Jiménez
 
7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XML7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XMLJuan Carlos Rubio Pineda
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 

Weitere ähnliche Inhalte

Ähnlich wie Sanitizando datos con .Net

Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASPMeetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASPTestingUy
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúJohn Vargas
 
Clase1 introduccinalcurso
Clase1 introduccinalcursoClase1 introduccinalcurso
Clase1 introduccinalcursojorg_marq
 
Mi pesentacion pdf
Mi pesentacion pdfMi pesentacion pdf
Mi pesentacion pdfEvelynBueno6
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Presentacion ute
Presentacion utePresentacion ute
Presentacion utemies
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advancedlimahack
 
7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XML7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XMLJuan Carlos Rubio Pineda
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 

Ähnlich wie Sanitizando datos con .Net (20)

Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASPMeetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
Meetup TestingUy 2017 - Testing de Seguridad con Herramientas de OWASP
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
 
ESAPI
ESAPIESAPI
ESAPI
 
Clase1 introduccinalcurso
Clase1 introduccinalcursoClase1 introduccinalcurso
Clase1 introduccinalcurso
 
Mi pesentacion pdf
Mi pesentacion pdfMi pesentacion pdf
Mi pesentacion pdf
 
My sql
My sqlMy sql
My sql
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Por qué todo lo que subo a azure esta mal
Por qué todo lo que subo a azure esta malPor qué todo lo que subo a azure esta mal
Por qué todo lo que subo a azure esta mal
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Clase 1
Clase 1 Clase 1
Clase 1
 
Presentacion ute
Presentacion utePresentacion ute
Presentacion ute
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñas
 
7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XML7/9 Curso JEE5, Soa, Web Services, ESB y XML
7/9 Curso JEE5, Soa, Web Services, ESB y XML
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 

Kürzlich hochgeladen

Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaElizabethLpezSoto
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskbydaniela5
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfJoseAlejandroPerezBa
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdflauralizcano0319
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 

Kürzlich hochgeladen (20)

Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestría
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 

Sanitizando datos con .Net

  • 1. Programación segura con .NET Mario Guzmán Desarrollador Mario.Guzman@gmail.com OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. Aspectos a ser Tratados Como guardar de manera segura Passwords de Usuarios Limpiar la entrada de datos OWASP
  • 3. Manejar Passwords Ataques Como Guardar Passwords OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 4. Mecanismos de Ataque Fuerza Bruta Ataques de Diccionario Brechas de Seguridad en el Servidor de Bases de Datos OWASP
  • 5. Fuerza Bruta y Ataques de Diccionario Fuerza Bruta: consiste en probar con todas las combinaciones posibles de letras, números etc. Ataque de Diccionario: prueba con palabras de diccionario, fechas, etc. Ambos necesitan un programa que mande passwords a una pagina web y verifique su resultado. OWASP
  • 6. Ayuda de GPUs Herramienta usada ighashgpu NTLM Se compara el resultado del hash del password ATI 5770 9.8 millones de passwords/sec OWASP
  • 7. GPU Fuerza Bruta 5 caracteres: 4 segundos 6 caracteres: 17 segundos 7 caracteres: 17 minutos 30 segundos. 8 caracteres: 18 horas y 30 minutos 9 caracteres: 48 dias. OWASP
  • 8. Defensa Pedir Passwords de 8-9 caracteres. Poner Timers: Dejar solo probar 10 logins seguidos Idealmente pedir Passphrases Tener un diccionario de las palabras mas usadas y no dejar que le gente use estos passwords: Mama, Papa, etc. Pedir passwords alfa numéricos. OWASP
  • 9. BRECHAS DE SEGURIDAD EN UNA DB OWASP
  • 10. Riesgos Debilidad en el código que permita tener acceso a las tablas de usuarios. SQL Injection DB Admins maliciosos. OWASP
  • 11. Que queremos lograr Que aunque la base de datos caiga en manos maliciosas los passwords de los usuarios no sean comprometidos Usuarios usan el mismo password para varios sitios OWASP
  • 12. Hash No guardar como “Clear Text” un password Usar un algoritmo de Hash Hash es un algoritmo de una sola via: cuando se aplica un hash no se puede recuperar el password otra vez. Al momento de login, se le pide al usuario el password, y se aplica el hash al mismo y por ultimo se comparan los hashes, nunca los passwords. OWASP
  • 14. Hash + Salt En caso que el atacante tenga acceso a la base de datos entera, puede todavia tratar de adivinar los hashes por metodos de fuerza bruta OWASP
  • 15. Hash + Salt Salt son bytes/string generado al random Se concatena/xor al password original Se logra tener un password bastante mas largo Tiene la desventaja que se tiene que guardar idealmente en otra base de datos OWASP
  • 17. Hash + Salt + Iterations Se toma el resultado del hash + salt y se vuelve a pasar por la función de hash + salt n veces. El número de iteraciones debe de ser random y se recomienda que sea de mas de 1000 veces. Tiene que ser guardado junto al salt OWASP
  • 18. Hash + Salt + Iterations Ejemplo en código OWASP
  • 19. Limpiar Entradas a DB Riesgos SqlParameters LINQ to SQL OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 20. Riesgos SQL Injection Cross Site Scripting (XSS) Aunque verifiquemos los strings en el 99.99% de nuestra aplicación solo es necesario que falle una vez para ser vulnerables OWASP
  • 21. SQL Injection Pasar comandos de SQL como parte de los valores Ejemplo en código para SQL Parameters Linq to SQL OWASP
  • 22. Cross Site Scripting Pasar valores con comandos de Javascript/html Ejemplo: <b onmouseover=alert('Wufff!')>click me!</b> OWASP
  • 24. Preguntas y/o comentarios OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org