SlideShare uma empresa Scribd logo

Auditoria en aplicaciones web

Transferir como PPTX, PDF
Juan Carlos Pérez Pardo
Juan Carlos Pérez Pardo

El documento propone una metodología para la auditoría de seguridad de aplicaciones web que identifique las características y funcionalidades más comunes de las aplicaciones web y determine las vulnerabilidades y amenazas a las que están expuestas. La metodología verificará las características de las aplicaciones web para identificar vulnerabilidades y amenazas y recomendar medidas de seguridad.

Tecnologia
1 de 37
Seguridad en el Desarrollo de Software Metodología para la auditoría de seguridad de aplicaciones web. Universidad Pontificia de Salamanca Máster en Ingeniería del Software curso 2011/12
¿Quién Soy? Juan Carlos Pérez perezpardojc@gmail.com twitter.com/perezpardojc www.linkedin.com/in/jcperezdoteu
Agenda.  Introducción y la Propuesta.  Introducción a las aplicaciones web y la seguridad.  Amenazas y vulnerabilidades.  Medidas de seguridad y buenas prácticas.  Características principales de las aplicaciones web.  Metodología.  Caso de estudio. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 3 Software Salamanca en Madrid
Introducción y la Propuesta.  Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas.  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 4 Software Salamanca en Madrid
Propuesta (I).  Identificar las características y funcionalidades más comunes presentes en aplicaciones web.  Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas  Determinar las medidas de seguridad y controles respectivos  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web  Aplicar la metodología en diferentes aplicaciones web  Implementar medidas de seguridad en las aplicaciones web estudiadas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 5 Software Salamanca en Madrid
Propuesta (II). Elaborar una metodología para la auditoría de seguridad en aplicaciones web Aplicar la metodología para Determinar vulnerabilidades y identificar vulnerabilidades y amenazas de las características amenazas en aplicaciones web de las aplicaciones web Recomendar medidas y Identificar características controles de seguridad en las principales de las aplicaciones web aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 6 Software Salamanca en Madrid
Alcance. • Gran número de vulnerabilidades, amenazas y características. • …está en constante aume nto. • Se consideran las más importantes y comunes. • Todos los aspectos de las aplicaciones web… • Los conceptos y principios comprendidos son generales. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 7 Software Salamanca en Madrid
Introducción a las aplicaciones web y la seguridad Capas de una aplicación web: Capas de una aplicación web desde el punto de vista de la seguridad Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 8 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 9 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Capa Física:  Deficiente control de acceso a la sala de servidores  Catástrofes naturales, accidentes y Fallas Capa de Red:  Deficiente protección de los datos en el tránsito  Acceso a recursos sensibles Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 10 Software Salamanca en Madrid
Amenazas y Vulnerabilidades Capa de SO y Servicios: Deficiente definición de permisos (acceso archivos y ejecución) Utilizar versiones viejas e inseguras de los servicios Capa de Aplicación: Ataques de fuerza bruta Inyección de Código SQL Cross Site Scripting Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 11 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 12 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Capa Física: Controles de acceso a la sala de servidores Sistemas de detección y control humedad, temperatura, humo, extintores, etc. Capa de Red: Configurar una DMZ Configurar una VPN Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 13 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Uso de Cortafuegos para crear una DMZ Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 14 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Capa de SO y Servicios: Estricta definición de permisos Antivirus Chequeo de integridad de binarios Capa de Aplicación: Filtrar la entrada de datos (Filter Input) Escapado de salida (escape output) Uso de herramientas para distinguir autómatas de humanos (CAPTCHA) Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 15 Software Salamanca en Madrid
Medidas de seguridad y buenas prácticas Uso de captcha para prevenir automatización Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 16 Software Salamanca en Madrid
Características principales de las aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 17 Software Salamanca en Madrid
Características principales de las aplicaciones web Capa Física: Hardware propio de la empresa Hardware arrendado a terceros (hosting) Capa Red: Equipos de acceso público a través de la red Equipos de acceso privado Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 18 Software Salamanca en Madrid
Características principales de las aplicaciones web Capa Sistema Operativo y Servicios: Sistema Operativo Servidores de Bases de datos Capa Aplicación: Inicio de sesión de usuario vía formulario HTML Recuperación de contraseña Administradores remotos Registro de usuarios en línea Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 19 Software Salamanca en Madrid
Metodología Metodología para la auditoría de seguridad en aplicaciones web  Basada en las principales características de las aplicaciones web METODOLOGÍA Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 20 Software Salamanca en Madrid
Metodología Objetivo principal Verificación y Comprobación Capa Física Característica 1 Característica 2 Capa Red Característica … Característica … Capa SO y Servicios Característica … Característica … Capa Aplicación Característica n-1 Característica n Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 21 Software Salamanca en Madrid
Metodología Confidencialidad GRUPO AUDITOR Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 22 Software Salamanca en Madrid
Metodología Herramientas y conocimientos necesarios:  Conocimientos en el área de aplicaciones web  Un mínimo de comprensión de los tópicos en cada capa  Uso de herramientas y técnicas modelación: ej. Diagramas UML, DFD, Entidad Relación  Herramientas de software:  Sniffers, Escáneres de Vulnerabilidades  Herramientas propias  No se es específico a la inclusión o uso de alguna herramienta Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 23 Software Salamanca en Madrid
Metodología Aspectos fundamentales  Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro.  Los sitios web y sus aplicaciones web relacionadas deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.  Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.  Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.  Ocultar objetos no garantiza su seguridad. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 24 Software Salamanca en Madrid
Metodología Etapas de la metodología  Planificación  Ejecución de la auditoría  Comunicación de resultados  Seguimiento Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 25 Software Salamanca en Madrid
Metodología Planificación: Objetivos y Alcance TODO PARTE Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 26 Software Salamanca en Madrid
Metodología Ejecución de la auditoría: Levantamiento y Verificación Enfoque:  Verificar presencia de Vulnerabilidades  Comprobar existencia o no, y deficiencia de Controles  AMBOS Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 27 Software Salamanca en Madrid
Metodología Ejecución de la auditoría: Levantamiento y Verificación ? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 28 Software Salamanca en Madrid
Metodología Fragmento: ETAPA 2 – Verificación de capa aplicación 13.1. Inicio de Sesión de Usuario. Verificar existencia o no de vulnerabilidades en cuanto a: 13.1.1. Ataques de Fuerza bruta 13.1.2. Abuso de funcionalidad 13.1.3. Revelación de información 13.1.4. Inyección de código o comandos Verificar existencia o no y deficiencia en cuanto a políticas y controles de: 13.1.8. Captcha 13.1.9. Filtrado de entrada 13.1.10. Escapado de salida 13.1.11. Conexiones seguras 13.1.12. Manejo de sesión apropiado 13.1.13. Enmascarado de información sensible Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 29 Software Salamanca en Madrid
Metodología Seguimiento: verificación Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 30 Software Salamanca en Madrid
CONCLUSIONES Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 31 Software Salamanca en Madrid
Conclusiones  Si un aspecto tiene fallas, toda la aplicación esta en riesgo  Una metodología general  Se requiere total colaboración por parte de los diferentes equipos de trabajo  Dificultades para aplicar la metodología  Es un trabajo minucioso y consume gran cantidad de tiempo  El grupo auditor requiere ser multidisciplinario  Importancia de las políticas sobre las prácticas  El trabajo de auditoría es un proceso continuo  Seguridad en las personas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 32 Software Salamanca en Madrid
Consideraciones Es una metodología no comercial Es muy poca o inexistente la información sobre las características comunes de las aplicaciones web No siempre es posible constatar la información sobre la arquitectura física y de red Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma Entender el código de otras personas Se debe aplicar periódicamente Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 33 Software Salamanca en Madrid
Aportes del Trabajo Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web Recopilación de vulnerabilidades y amenazas en las aplicaciones web. Recopilación de medidas de seguridad en las aplicaciones web. Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad Metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 34 Software Salamanca en Madrid
Trabajos a Futuro Extender y ampliar el conjunto de características comunes en las aplicaciones web Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web Recopilar las nuevas medidas de seguridad en las aplicaciones web Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 35 Software Salamanca en Madrid
¿PREGUNTAS? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 36 Software Salamanca en Madrid
Metodología para la auditoría de seguridad de aplicaciones web. Gracias ! Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 37 Software Salamanca en Madrid

Recomendados

Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
Magerit
MageritMagerit
MageritKrolina Agui
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 

Recomendados

Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
Magerit
MageritMagerit
MageritKrolina Agui
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Jhon Fredy Salazar
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de accesoElisabeth Escalante
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certificationtschraider
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?manoharparakh
 
Crown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identificationCrown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identificationPriyanka Aash
 
Tecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidadTecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidadGiovani Ramirez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3Oak Systems
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de NegocioRamiro Cid
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules CoverageSunny Neo
 
Calidad de datos
Calidad de datos Calidad de datos
Calidad de datos Software Guru
 
Cuadro comparativo moprosoft_cmmi
Cuadro comparativo moprosoft_cmmiCuadro comparativo moprosoft_cmmi
Cuadro comparativo moprosoft_cmmiRamiro Vazquez Saucedo
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Webeliseo ortiz
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 

Mais conteúdo relacionado

Mais procurados

Norma nist
Norma nistNorma nist
Norma nistcristina
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certificationtschraider
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?manoharparakh
 
Crown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identificationCrown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identificationPriyanka Aash
 
Tecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidadTecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidadGiovani Ramirez
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3Oak Systems
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de NegocioRamiro Cid
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules CoverageSunny Neo
 

Mais procurados (20)

Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005
 
Norma nist
Norma nistNorma nist
Norma nist
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de acceso
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certification
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
 
What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?What is SOC and why do banks need SOC-as-a-Service?
What is SOC and why do banks need SOC-as-a-Service?
 
Crown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identificationCrown jewels risk assessment - Cost-effective risk identification
Crown jewels risk assessment - Cost-effective risk identification
 
Tecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidadTecnicas matriz de trazabilidad
Tecnicas matriz de trazabilidad
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de software
 
V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3V&V Considerations In Implementing IEC61508-3
V&V Considerations In Implementing IEC61508-3
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSF
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de Negocio
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules Coverage
 
Calidad de datos
Calidad de datos Calidad de datos
Calidad de datos
 
Cuadro comparativo moprosoft_cmmi
Cuadro comparativo moprosoft_cmmiCuadro comparativo moprosoft_cmmi
Cuadro comparativo moprosoft_cmmi
 

Destaque

10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Webeliseo ortiz
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacionLorena Nuñez
 
C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]guest642a393
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemasGladys Rodriguez
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaCristian Rivera
 
Presentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionPresentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionGregory Moronta
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Proyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSFProyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSFPon Pons
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
Encuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemasEncuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemasAbhadd Chambilla
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONcarolinanocua
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 

Destaque (20)

10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
AUDITORIA DE APLICACIONES
AUDITORIA DE APLICACIONESAUDITORIA DE APLICACIONES
AUDITORIA DE APLICACIONES
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacion
 
Proyecto de ing. software
Proyecto de ing. softwareProyecto de ing. software
Proyecto de ing. software
 
C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]C:\Documents And Settings\User\Escritorio\Auditoria[1]
C:\Documents And Settings\User\Escritorio\Auditoria[1]
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
 
Presentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionPresentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacion
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Proyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSFProyecto Ingeniería De Software - MSF
Proyecto Ingeniería De Software - MSF
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Encuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemasEncuesta al area de informatica auditoria de sistemas
Encuesta al area de informatica auditoria de sistemas
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimatica
 

Semelhante a Auditoria en aplicaciones web

1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdfKilsareFabian
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Ricardo Suárez
Ricardo SuárezRicardo Suárez
Ricardo SuárezColombia3.0
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1COLOMA22
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaMariMonterr
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 

Semelhante a Auditoria en aplicaciones web (20)

1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf1_ ¿Qué es la seguridad de las aplicaciones_.pdf
1_ ¿Qué es la seguridad de las aplicaciones_.pdf
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Ricardo Suárez
Ricardo SuárezRicardo Suárez
Ricardo Suárez
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Planteamiento del problema
Planteamiento del problemaPlanteamiento del problema
Planteamiento del problema
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de software
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 

Mais de Juan Carlos Pérez Pardo

Installing and deploying ubuntu server box
Installing and deploying ubuntu server boxInstalling and deploying ubuntu server box
Installing and deploying ubuntu server boxJuan Carlos Pérez Pardo
 

Mais de Juan Carlos Pérez Pardo (9)

Building java projects with maven
Building java projects with mavenBuilding java projects with maven
Building java projects with maven
 
Installing netbeans
Installing netbeansInstalling netbeans
Installing netbeans
 
Installing maven on windows
Installing maven on windowsInstalling maven on windows
Installing maven on windows
 
Essential security for linux servers
Essential security for linux serversEssential security for linux servers
Essential security for linux servers
 
Installing and deploying ubuntu server box
Installing and deploying ubuntu server boxInstalling and deploying ubuntu server box
Installing and deploying ubuntu server box
 
Windows Communication Foundation (WCF)
Windows Communication Foundation (WCF) Windows Communication Foundation (WCF)
Windows Communication Foundation (WCF)
 
Como funciona el servicio blackberry ppt
Como funciona el servicio blackberry pptComo funciona el servicio blackberry ppt
Como funciona el servicio blackberry ppt
 
Aplicaciones en red ppt
Aplicaciones en red pptAplicaciones en red ppt
Aplicaciones en red ppt
 
data warehouse
data warehousedata warehouse
data warehouse
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 

Último (15)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 

Auditoria en aplicaciones web

  • 1. Seguridad en el Desarrollo de Software Metodología para la auditoría de seguridad de aplicaciones web. Universidad Pontificia de Salamanca Máster en Ingeniería del Software curso 2011/12
  • 2. ¿Quién Soy? Juan Carlos Pérez perezpardojc@gmail.com twitter.com/perezpardojc www.linkedin.com/in/jcperezdoteu
  • 3. Agenda.  Introducción y la Propuesta.  Introducción a las aplicaciones web y la seguridad.  Amenazas y vulnerabilidades.  Medidas de seguridad y buenas prácticas.  Características principales de las aplicaciones web.  Metodología.  Caso de estudio. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 3 Software Salamanca en Madrid
  • 4. Introducción y la Propuesta.  Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas.  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 4 Software Salamanca en Madrid
  • 5. Propuesta (I).  Identificar las características y funcionalidades más comunes presentes en aplicaciones web.  Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas  Determinar las medidas de seguridad y controles respectivos  Elaborar una metodología para la auditoría de seguridad en las aplicaciones web  Aplicar la metodología en diferentes aplicaciones web  Implementar medidas de seguridad en las aplicaciones web estudiadas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 5 Software Salamanca en Madrid
  • 6. Propuesta (II). Elaborar una metodología para la auditoría de seguridad en aplicaciones web Aplicar la metodología para Determinar vulnerabilidades y identificar vulnerabilidades y amenazas de las características amenazas en aplicaciones web de las aplicaciones web Recomendar medidas y Identificar características controles de seguridad en las principales de las aplicaciones web aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 6 Software Salamanca en Madrid
  • 7. Alcance. • Gran número de vulnerabilidades, amenazas y características. • …está en constante aume nto. • Se consideran las más importantes y comunes. • Todos los aspectos de las aplicaciones web… • Los conceptos y principios comprendidos son generales. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 7 Software Salamanca en Madrid
  • 8. Introducción a las aplicaciones web y la seguridad Capas de una aplicación web: Capas de una aplicación web desde el punto de vista de la seguridad Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 8 Software Salamanca en Madrid
  • 9. Amenazas y Vulnerabilidades Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 9 Software Salamanca en Madrid
  • 10. Amenazas y Vulnerabilidades Capa Física:  Deficiente control de acceso a la sala de servidores  Catástrofes naturales, accidentes y Fallas Capa de Red:  Deficiente protección de los datos en el tránsito  Acceso a recursos sensibles Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 10 Software Salamanca en Madrid
  • 11. Amenazas y Vulnerabilidades Capa de SO y Servicios: Deficiente definición de permisos (acceso archivos y ejecución) Utilizar versiones viejas e inseguras de los servicios Capa de Aplicación: Ataques de fuerza bruta Inyección de Código SQL Cross Site Scripting Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 11 Software Salamanca en Madrid
  • 12. Medidas de seguridad y buenas prácticas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 12 Software Salamanca en Madrid
  • 13. Medidas de seguridad y buenas prácticas Capa Física: Controles de acceso a la sala de servidores Sistemas de detección y control humedad, temperatura, humo, extintores, etc. Capa de Red: Configurar una DMZ Configurar una VPN Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 13 Software Salamanca en Madrid
  • 14. Medidas de seguridad y buenas prácticas Uso de Cortafuegos para crear una DMZ Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 14 Software Salamanca en Madrid
  • 15. Medidas de seguridad y buenas prácticas Capa de SO y Servicios: Estricta definición de permisos Antivirus Chequeo de integridad de binarios Capa de Aplicación: Filtrar la entrada de datos (Filter Input) Escapado de salida (escape output) Uso de herramientas para distinguir autómatas de humanos (CAPTCHA) Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 15 Software Salamanca en Madrid
  • 16. Medidas de seguridad y buenas prácticas Uso de captcha para prevenir automatización Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 16 Software Salamanca en Madrid
  • 17. Características principales de las aplicaciones web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 17 Software Salamanca en Madrid
  • 18. Características principales de las aplicaciones web Capa Física: Hardware propio de la empresa Hardware arrendado a terceros (hosting) Capa Red: Equipos de acceso público a través de la red Equipos de acceso privado Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 18 Software Salamanca en Madrid
  • 19. Características principales de las aplicaciones web Capa Sistema Operativo y Servicios: Sistema Operativo Servidores de Bases de datos Capa Aplicación: Inicio de sesión de usuario vía formulario HTML Recuperación de contraseña Administradores remotos Registro de usuarios en línea Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 19 Software Salamanca en Madrid
  • 20. Metodología Metodología para la auditoría de seguridad en aplicaciones web  Basada en las principales características de las aplicaciones web METODOLOGÍA Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 20 Software Salamanca en Madrid
  • 21. Metodología Objetivo principal Verificación y Comprobación Capa Física Característica 1 Característica 2 Capa Red Característica … Característica … Capa SO y Servicios Característica … Característica … Capa Aplicación Característica n-1 Característica n Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 21 Software Salamanca en Madrid
  • 22. Metodología Confidencialidad GRUPO AUDITOR Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 22 Software Salamanca en Madrid
  • 23. Metodología Herramientas y conocimientos necesarios:  Conocimientos en el área de aplicaciones web  Un mínimo de comprensión de los tópicos en cada capa  Uso de herramientas y técnicas modelación: ej. Diagramas UML, DFD, Entidad Relación  Herramientas de software:  Sniffers, Escáneres de Vulnerabilidades  Herramientas propias  No se es específico a la inclusión o uso de alguna herramienta Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 23 Software Salamanca en Madrid
  • 24. Metodología Aspectos fundamentales  Si la aplicación web no es segura, entonces toda la información sensible esta en grave peligro.  Los sitios web y sus aplicaciones web relacionadas deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.  Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.  Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.  Ocultar objetos no garantiza su seguridad. Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 24 Software Salamanca en Madrid
  • 25. Metodología Etapas de la metodología  Planificación  Ejecución de la auditoría  Comunicación de resultados  Seguimiento Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 25 Software Salamanca en Madrid
  • 26. Metodología Planificación: Objetivos y Alcance TODO PARTE Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 26 Software Salamanca en Madrid
  • 27. Metodología Ejecución de la auditoría: Levantamiento y Verificación Enfoque:  Verificar presencia de Vulnerabilidades  Comprobar existencia o no, y deficiencia de Controles  AMBOS Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 27 Software Salamanca en Madrid
  • 28. Metodología Ejecución de la auditoría: Levantamiento y Verificación ? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 28 Software Salamanca en Madrid
  • 29. Metodología Fragmento: ETAPA 2 – Verificación de capa aplicación 13.1. Inicio de Sesión de Usuario. Verificar existencia o no de vulnerabilidades en cuanto a: 13.1.1. Ataques de Fuerza bruta 13.1.2. Abuso de funcionalidad 13.1.3. Revelación de información 13.1.4. Inyección de código o comandos Verificar existencia o no y deficiencia en cuanto a políticas y controles de: 13.1.8. Captcha 13.1.9. Filtrado de entrada 13.1.10. Escapado de salida 13.1.11. Conexiones seguras 13.1.12. Manejo de sesión apropiado 13.1.13. Enmascarado de información sensible Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 29 Software Salamanca en Madrid
  • 30. Metodología Seguimiento: verificación Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 30 Software Salamanca en Madrid
  • 31. CONCLUSIONES Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 31 Software Salamanca en Madrid
  • 32. Conclusiones  Si un aspecto tiene fallas, toda la aplicación esta en riesgo  Una metodología general  Se requiere total colaboración por parte de los diferentes equipos de trabajo  Dificultades para aplicar la metodología  Es un trabajo minucioso y consume gran cantidad de tiempo  El grupo auditor requiere ser multidisciplinario  Importancia de las políticas sobre las prácticas  El trabajo de auditoría es un proceso continuo  Seguridad en las personas Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 32 Software Salamanca en Madrid
  • 33. Consideraciones Es una metodología no comercial Es muy poca o inexistente la información sobre las características comunes de las aplicaciones web No siempre es posible constatar la información sobre la arquitectura física y de red Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma Entender el código de otras personas Se debe aplicar periódicamente Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 33 Software Salamanca en Madrid
  • 34. Aportes del Trabajo Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web Recopilación de vulnerabilidades y amenazas en las aplicaciones web. Recopilación de medidas de seguridad en las aplicaciones web. Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad Metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 34 Software Salamanca en Madrid
  • 35. Trabajos a Futuro Extender y ampliar el conjunto de características comunes en las aplicaciones web Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web Recopilar las nuevas medidas de seguridad en las aplicaciones web Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones Web Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 35 Software Salamanca en Madrid
  • 36. ¿PREGUNTAS? Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 36 Software Salamanca en Madrid
  • 37. Metodología para la auditoría de seguridad de aplicaciones web. Gracias ! Seguridad en el Desarrollo de 2012, Juan Carlos Pérez , Universidad Pontificia de 37 Software Salamanca en Madrid