SlideShare una empresa de Scribd logo

Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

Descargar como PPT, PDF
Cinthia Soca
Cinthia Soca

Generando aplicaciones seguras con GeneXus. Crear un manejo de permisos de usuarios de mi sistema. Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.

Tecnología
1 de 11
Generando Aplicaciones Seguras conGenerando Aplicaciones Seguras con GeneXusGeneXus Diego Rostagnol - PedidosYADiego Rostagnol - PedidosYA
Dos grandes áreas Servidor Aplicación
Autenticación != Autorización  Autenticación: Es el proceso por el cual demostramos que somos quienes decimos ser.  Autorización: Se produce despues de la Autenticación y es el proceso por el cual obtenemos o no permisos para efectuar una determinada acción.
¿ Que implica? • Crear un manejo de permisos de usuarios de mi sistema. • Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. • Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
Errores comunes • No controlar que exista un usuario logueado en todas las pantallas de la aplicación • No validar los roles en cada pantalla • Confiar en que el usuario llega a las pantallas de mi aplicación siguiendo los links en ella. • No usar las Transacciones como parte de mi aplicación pero dejarlas accesibles. • Dejar los prompts automaticos sin seguridad • Poner el código del usuario logueado en el form o pasarlo por parametro • Dejar disponible en producción el archivo DeveloperMenu.xml
Consideraciones • No se puede confiar en las validaciones que ejecutan del lado del cliente. (Browser). •Las validaciones de los datos ingresados se deben hacer del lado del servidor. •Propiedades Visible y Enabled no aseguran que el valor de las variables o atributos no sea modificado.
• Aplicaciones para Smart Devices • Compuesta por una parte nativa en el Dispositivo que se alimenta de servicios REST alojados en un Servidor Web. • Servicios REST: http://.../higueron/servlet/rest/cliente/ Transacción 1 Clave Nuevos Problemas de Seguridad en EVO2
{"Cliente":{"CliId":129,"CliNom":"Rodolfo","CliNac":"1976-08-5"}} • JSON • REST Usa operaciones del protocolo HTTP (GET, PUT, POST, DELETE) • Los servicios se generan cuando la Trn se expone como WS REST en una App SD (Ej: Al aplicar WWSD a una TRN) • Hay que poner reglas que hagan las comprobaciones de autenticación y autorización. Nuevos Problemas de Seguridad en EVO2
¿Como nos ayuda GeneXus? • Encriptación de parametros (SiteKey y SessionKey). • GAM !! • Se encarga de prevenir automáticamente ataques de tipo "SQL Injection".
Buenas practicas • Usar MD5, SHA1 o similar para la encriptación de contraseñas (algoritmos de reducción criptográficos). • NUNCA pasar identificadores de usuario por parámetro • ??????
Gracias!!Gracias!!

Recomendados

0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
 
GAM GeneXus Access Manager
GAM GeneXus Access ManagerGAM GeneXus Access Manager
GAM GeneXus Access ManagerGeneXus
 
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...GeneXus
 
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones? ¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?GeneXus
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombiagoscar
 
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)GeneXus
 
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...GeneXus
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 

Recomendados

0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
 
GAM GeneXus Access Manager
GAM GeneXus Access ManagerGAM GeneXus Access Manager
GAM GeneXus Access ManagerGeneXus
 
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...
Garantizar la seguridad de mis aplicaciones: un desafío que el GAM asume - Sa...GeneXus
 
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones? ¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?
¿Qué hace hoy GeneXus por la seguridad de nuestras Aplicaciones?GeneXus
 
Memorias 3era gug cali colombia
Memorias 3era gug cali colombiaMemorias 3era gug cali colombia
Memorias 3era gug cali colombiagoscar
 
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)
¿Qué es y cómo utilizar el módulo de seguridad integrada (gam)GeneXus
 
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...
0163 autenticacion y_permisos_en_mi_aplicacion_gene_xus_como_autenticar_contr...GeneXus
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 
Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpressjhoanaalfredito
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Alvaro Abbott Bustamante
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Pablo Aviles
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamGeneXus
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xusGeneXus
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction spBrayan Martinez
 
Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Diosa Perez Cañizalez
 
Linea tiempo
Linea tiempoLinea tiempo
Linea tiempoRicardo Lumpaque
 
Clavicula
ClaviculaClavicula
ClaviculaMardomy Gil Lopez
 
La empresa
La empresa La empresa
La empresa JhonasxD
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaSholeh Roehmact
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Rodrigo Jimenez
 
Production design
Production designProduction design
Production designJoshua_Paice
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidyaNidya Vargas
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. BarrenoDavidNieto01
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship rutspremmathan
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Turlough Guerin GAICD FGIA
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectJasmineKSwinburne
 
La Empresa
La EmpresaLa Empresa
La EmpresaJhonasxD
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango Eva Bárcenas
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneandrea flores
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nietoDavidNieto01
 

Más contenido relacionado

La actualidad más candente

Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpressjhoanaalfredito
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Alvaro Abbott Bustamante
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Pablo Aviles
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamGeneXus
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xusGeneXus
 

La actualidad más candente (6)

Diapositivas de wordpress
Diapositivas de wordpressDiapositivas de wordpress
Diapositivas de wordpress
 
Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010Proceso de instalación de Microsoft Exchange 2010
Proceso de instalación de Microsoft Exchange 2010
 
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
Instale PHP y Drupal fácilmente en Windows con Web PI (parte I)
 
Nuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gamNuevos escenarios cubiertos por el gam
Nuevos escenarios cubiertos por el gam
 
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
127 qué hace-y_cómo_se_utiliza_la_seguridad_integrada_a_gene_xus
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction sp
 

Destacado

La empresa
La empresa La empresa
La empresa JhonasxD
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaSholeh Roehmact
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Rodrigo Jimenez
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidyaNidya Vargas
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. BarrenoDavidNieto01
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship rutspremmathan
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Turlough Guerin GAICD FGIA
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectJasmineKSwinburne
 
La Empresa
La EmpresaLa Empresa
La EmpresaJhonasxD
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango Eva Bárcenas
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneandrea flores
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nietoDavidNieto01
 
El corazon humano
El corazon humanoEl corazon humano
El corazon humanoGabo Reigns
 
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Innspub Net
 

Destacado (20)

Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21Mapa conceptual sobre temas 17 al 21
Mapa conceptual sobre temas 17 al 21
 
Linea tiempo
Linea tiempoLinea tiempo
Linea tiempo
 
Clavicula
ClaviculaClavicula
Clavicula
 
La empresa
La empresa La empresa
La empresa
 
Little red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabayaLittle red riding hood from sd muh 18 surabaya
Little red riding hood from sd muh 18 surabaya
 
Evaluacion de historia mestizos.
Evaluacion de historia mestizos.Evaluacion de historia mestizos.
Evaluacion de historia mestizos.
 
Production design
Production designProduction design
Production design
 
Antivirus presentacion nidya
Antivirus presentacion nidyaAntivirus presentacion nidya
Antivirus presentacion nidya
 
D. Nieto A. Barreno
D. Nieto A. BarrenoD. Nieto A. Barreno
D. Nieto A. Barreno
 
Relationship ruts
Relationship rutsRelationship ruts
Relationship ruts
 
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
Gorgon LNG Project - Overarching Approval Document (Ministerial 800)
 
Adv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-projectAdv20001 kwankingpeatleywarburton group-project
Adv20001 kwankingpeatleywarburton group-project
 
La Empresa
La EmpresaLa Empresa
La Empresa
 
Cuestionariomedicoxango
Cuestionariomedicoxango Cuestionariomedicoxango
Cuestionariomedicoxango
 
Las vitaminas y el sistema inmune
Las vitaminas y el sistema inmuneLas vitaminas y el sistema inmune
Las vitaminas y el sistema inmune
 
Exposición A.barreno d.nieto
Exposición A.barreno d.nietoExposición A.barreno d.nieto
Exposición A.barreno d.nieto
 
Porfirio diaz
Porfirio diazPorfirio diaz
Porfirio diaz
 
El corazon humano
El corazon humanoEl corazon humano
El corazon humano
 
Exposición
ExposiciónExposición
Exposición
 
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
Investigation of heavy metals content (Cd , Ni and Pb) in the muscle tissue o...
 

Similar a Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

Presentación sso con cas
Presentación sso con casPresentación sso con cas
Presentación sso con casEnrique Toledo
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI Informática
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerCloudAppi
 
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...Amazon Web Services LATAM
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"www.encamina.com
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareamaulini
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarAndrés Londoño
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePointwww.encamina.com
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?Rames Sarwat
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)marcwan
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativoGalindo Urzagaste
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Miguel Ángel Sánchez Chordi
 
DNIe en tu Active Directory
DNIe en tu Active DirectoryDNIe en tu Active Directory
DNIe en tu Active DirectoryChema Alonso
 

Similar a Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013 (20)

Presentación sso con cas
Presentación sso con casPresentación sso con cas
Presentación sso con cas
 
GFI - Seguridad en tus APIs
GFI - Seguridad en tus APIsGFI - Seguridad en tus APIs
GFI - Seguridad en tus APIs
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developer
 
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al Codificar
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
 
Sitios blindados de SharePoint
Sitios blindados de SharePointSitios blindados de SharePoint
Sitios blindados de SharePoint
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativo
 
SERVIDOR IIS EN W8
SERVIDOR IIS EN W8SERVIDOR IIS EN W8
SERVIDOR IIS EN W8
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
 
DNIe en tu Active Directory
DNIe en tu Active DirectoryDNIe en tu Active Directory
DNIe en tu Active Directory
 

Último

certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxkimontey
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 

Último (20)

certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 

Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013

  • 1. Generando Aplicaciones Seguras conGenerando Aplicaciones Seguras con GeneXusGeneXus Diego Rostagnol - PedidosYADiego Rostagnol - PedidosYA
  • 3. Autenticación != Autorización  Autenticación: Es el proceso por el cual demostramos que somos quienes decimos ser.  Autorización: Se produce despues de la Autenticación y es el proceso por el cual obtenemos o no permisos para efectuar una determinada acción.
  • 4. ¿ Que implica? • Crear un manejo de permisos de usuarios de mi sistema. • Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. • Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
  • 5. Errores comunes • No controlar que exista un usuario logueado en todas las pantallas de la aplicación • No validar los roles en cada pantalla • Confiar en que el usuario llega a las pantallas de mi aplicación siguiendo los links en ella. • No usar las Transacciones como parte de mi aplicación pero dejarlas accesibles. • Dejar los prompts automaticos sin seguridad • Poner el código del usuario logueado en el form o pasarlo por parametro • Dejar disponible en producción el archivo DeveloperMenu.xml
  • 6. Consideraciones • No se puede confiar en las validaciones que ejecutan del lado del cliente. (Browser). •Las validaciones de los datos ingresados se deben hacer del lado del servidor. •Propiedades Visible y Enabled no aseguran que el valor de las variables o atributos no sea modificado.
  • 7. • Aplicaciones para Smart Devices • Compuesta por una parte nativa en el Dispositivo que se alimenta de servicios REST alojados en un Servidor Web. • Servicios REST: http://.../higueron/servlet/rest/cliente/ Transacción 1 Clave Nuevos Problemas de Seguridad en EVO2
  • 8. {"Cliente":{"CliId":129,"CliNom":"Rodolfo","CliNac":"1976-08-5"}} • JSON • REST Usa operaciones del protocolo HTTP (GET, PUT, POST, DELETE) • Los servicios se generan cuando la Trn se expone como WS REST en una App SD (Ej: Al aplicar WWSD a una TRN) • Hay que poner reglas que hagan las comprobaciones de autenticación y autorización. Nuevos Problemas de Seguridad en EVO2
  • 9. ¿Como nos ayuda GeneXus? • Encriptación de parametros (SiteKey y SessionKey). • GAM !! • Se encarga de prevenir automáticamente ataques de tipo "SQL Injection".
  • 10. Buenas practicas • Usar MD5, SHA1 o similar para la encriptación de contraseñas (algoritmos de reducción criptográficos). • NUNCA pasar identificadores de usuario por parámetro • ??????