SlideShare uma empresa Scribd logo

Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencias FIST

Internet Security Auditors
Internet Security Auditors

En el marco de las conferencias FIST en 2005, ofrecimos la presentación "Inseguridad de los sistemas de autenticación en Aplicaciones Web", donde se pone al descubierto las deficiencias y ataques más habituales que sufren los sistemas de autenticación, principalmente en aplicaciones web.

Tecnologia
1 de 40
Baixar para ler offline
Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación en aplicaciones web Vicente Aguilera Díaz vaguilera@isecauditors.com
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 2 Contenido 0. Introducción 1. Deficiencias y Ataques al sistema de autenticación 2. Medidas de protección 3. Referencias
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 3 0. Introducción Al hablar de autenticación existen 2 contextos:  autenticación de usuarios proceso mediante el cual alguien prueba su identidad.  autenticación de datos proceso mediante el cual se prueba la integridad de los datos. Nos centraremos en la autenticación de usuarios
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 4 0. Introducción Seleccionar un buen mecanismo de autenticación no es trivial:  basada en usuario/contraseña  basada en tokens  basada en certificados digitales  basada en mecanismos biométricos  ... El mecanimo más extendido: usuario/contraseña.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 5 0. Introducción En adelante, al hablar del sistema de autenticación, nos centraremos en: autenticación de usuarios basada en formularios
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 6 1. Deficiencias y Ataques 1.1 Fugas de información 1.2 Debilidad de los campos del formulario de autenticación 1.3 Deficiencias de las funcionalidades “extras” 1.4 Deficiencias en el sistema de gestión de sesiones 1.5 Validaciones deficientes de los datos de E/S 1.6 Deficiencias en la recogida de datos 1.7 Deficiencias de configuración 1.8 Deficiencias en las relaciones de confianza
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 7 1. Deficiencias y Ataques 1.1 Fugas de información  En el código que recibe el cliente  Mensajes que devuelve la aplicación  Mensajes en foros y grupos de noticias  Información facilitada por la empresa de desarrollo  Webs personales  Etc. Veamos un ejemplo...
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 8 1. Deficiencias y Ataques 1.1 Fugas de información
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 9 1. Deficiencias y Ataques 1.1 Fugas de información
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 10 1. Deficiencias y Ataques 1.1 Fugas de información Posibilita:  Enumeración de usuarios Permite obtener identificadores válidos de usuario ‣ DoS  Password cracking Por fuerza bruta Basado en diccionarios  Obtención de información sensible Usuarios/Contraseñas Paths de la aplicación Plataforma y versión de desarrollo Etc.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 11 1. Deficiencias y Ataques 1.2 Debilidad de los campos del formulario de autenticación Campos débiles:  Longitud excesivamente corta  Rango de caracteres permitido excesivamente limitado  Atributo “autocomplete=on” por defecto  Sin límite de caracteres de entrada Posibilita:  Enumeración de usuarios  Password cracking
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 12 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Debilidades en los procesos de:  Registro Alta de usuarios  Modificación de datos Modificación de password o datos de registro  Recuperación de contraseñas Implementación del sistema ¿Olvidó su contraseña?  Otros
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 13 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Caso de ejemplo – Proceso de recuperación de contraseñas  Identificación en persona Difícil de llevar a cabo  Identificación vía fax No se dispone de información con la que comparar  E-mail Contraseñas que no caducan, correo compartido, envío “no seguro”, ...  Pregunta respuesta Número de preguntas? Dificultad a la hora de seleccionar preguntas  Llamada telefónica / SMS  Métodos híbridos
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 14 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Posibilita:  Enumeración de usuarios  Password Cracking  Creación de cuentas válidas ‣ Fugas de información  Obtención de contraseñas
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 15 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones  Envío de ID de sesión por un canal “inseguro”  Algoritmo débil en la generación de ID  Longitud excesivamente corta del ID  Generación de ID previa a la autenticación  Validaciones deficientes del ID recibido  Tiempo de vida ilimitado para el ID Posibilita ataques de:  Intercepción  Predicción  Fuerza bruta  Fijación de ID  Manipulación de ID
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 16 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Fijación de ID 1. Generación de ID El atacante obtiene un ID (se autentica contra la aplicación) o utiliza uno aleatorio. En algunos casos requiere mantener la sesión “viva” 2. Fijación de ID El atacante necesita introducir el ID generado en el navegador del usuario víctima 3. Robo de sesión El atacante espera a que la víctima inicie sesión con el ID fijado a continuación entra en su sesión
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 17 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Fijación de ID
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 18 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Manipulación de ID Introduciendo un PHPSESSID excesivamente largo...
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 19 1. Deficiencias y Ataques 1.5 Validaciones deficientes de los datos de E/S Filtro inexistente/deficiente de validación de los datos de E/S de la aplicación Posibilita:  Inyección de código SQL (SQLInjection) Evasión de la autenticación. Acceso a la base de datos y al sistema operativo.  Inyección de código script (XSS, XST) Phishing. Web Defacement. Obtención de información sensible.  Manipulación de parámetros Evasión de la autenticación. Escalar privilegios.  ...
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 20 1. Deficiencias y Ataques 1.5 Validaciones deficientes de los datos de E/S Caso de ejemplo – Inyección de código SQL  Evadir la autenticación Hacer que las condiciones especificadas en la cláusula WHERE se cumplan  Obtener información de la base de datos Mediante la provocación de errores (p.e. en la conversión de tipos) Inclusión de sentencias SELECT ... FROM ... WHERE ... LIKE '...%' Si el servidor web no devuelve una página de error... Buscar alternativas que permitan deducir el resultado de la sentencia (p.e. en SQLServer incluir WAITFOR DELAY 'HH:MM:SS')
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 21 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos ● Uso de un canal inseguro ● No redirección tras la autenticación Posibilita:  Sniffing  Phishing  Suplantación de personalidad  Obtención de información sensible
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 22 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – Uso de un canal inseguro Si la página que contiene el formulario de autenticación se accede por HTTP (aunque el envío se realize posteriormente vía HTTPs): 1. El usuario puede desconfiar (al pensar que su información se transmite en claro) 2. Un phiser puede capturar las credenciales antes de enviarlas a la página de validación
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 23 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – No redirección tras la autenticación Si el usuario cierra la sesión pero no el navegador, otro usuario podría hacer “back” repetidamente y al llegar a la primera página privada refrescarla y se enviarían los datos enviados por POST
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 24 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – Con redirección tras la autenticación En este caso no se enviarían los datos del POST
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 25 1. Deficiencias y Ataques 1.7 Deficiencias de configuración  Instalaciones por defecto  Cuentas por defecto Posibilita:  Conocimiento de credenciales válidas Por ejemplo, usuario/password de la consola de administración de WebSphere: wcsadmin/wcsadmin  Evasión del sistema de autenticación Utilizando recursos instalados por defecto por la plataforma y que son conocidos por el atacante
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 26 1. Deficiencias y Ataques 1.7 Deficiencias de configuración Caso de ejemplo – Creación de credenciales Supongamos una aplicación desarrollada con WebSphere Commerce Suite (WCS) con opciones por defecto, cuyo formulario de autenticación sólo permita introducir ID/password. Un atacante podría realizar una petición al servlet “UserRegistrationAdd” y crear un usuario con el cual acceder a la aplicación: https://victima.com/webapp/wcs/stores/servlet/UserRegistrationAdd?URL =LogonForm&logonId=atacanteID&logonPassword=atacantePWD&logon PasswordVerify=atacantePWD
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 27 1. Deficiencias y Ataques 1.8 Deficiencias en las relaciones de confianza Relaciones:  Aplicación/Base de datos/Servidor Web/Sistema Operativo Una vulnerabilidad en cualquiera de ellos puede afectar al resto  Entre servicios Por ejemplo, la compartición de cuentas de usuario  Usuarios y su entorno Existe la posibilidad de atacar directamente al usuario y/o su entorno (físico/personal) aplicando técnicas de ingeniería social
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 28 1. Deficiencias y Ataques 1.8 Deficiencias en las relaciones de confianza Posibilita:  Reutilización de credenciales Si se dispone de una cuenta en un servidor FTP, puede ser utilizada para acceder a otros servicios (p.e. Correo)  Ataques colaterales Si en la aplicación no se detectan deficiencias, quizás sea factible explotar alguna vulnerabilidad de la máquina en la que reside o en otras en las que confía  Ingeniería social Aprovecharse de la ingenuidad de los usuarios y/o personal relacionado con ellos para obtener sus credenciales Visitar el entorno del usuario
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 29 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 1: Utilizar one-time-logins y/o one-time-passwords Ejemplo: Supongamos que un usuario tiene como password: j2as!OP.4w En lugar de solicitar el password, la aplicación podría preguntar: ¿1º, 4º, 2º, 6º, 3º, 8º, 9º y 10º caracter del password? Y hacer que la posición que solicita fuera aleatoria
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 30 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA Programa que puede generar tests que:  los humanos pueden pasar  las máquinas no pueden pasar Nota: en la Universidad de California (en Berkeley) han desarrollado un programa para romper captcha-gimpy con un 83% de aciertos. Un grupo de Cambridge ha logrado alcanzar el 93%.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 31 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-pix
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 32 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-text
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 33 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-gimpy
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 34 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 3: Bloqueo de cuenta tras un nº de intentos fallidos Por ejemplo, tras 5 intentos fallidos bloquear la cuenta.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 35 2. Medidas de Protección 2.2 Implementación sistema “¿Olvidó su contraseña?” Recomendaciones:  Siempre se ha de resetear la contraseña En caso de que alguién obtuviera nuestra contraseña empleando este proceso lo detectaríamos rápidamente. No podríamos entrar!  Si se envían correos con datos sensibles, han de caducar Por ejemplo, en 24h. El objetivo es evitar que esos datos puedan ser utilizados por alguien que tuviera acceso a nuestro correo. A ser posible, los e-mails deberían enviarse encriptados.  Si se opta por las preguntas y respuestas Utilizar varias preguntas de seguridad. No han de ser predecibles y debe definirlas la aplicación. No dejar la responsabilidad de seleccionar las preguntas en manos del usuario.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 36 2. Medidas de Protección 2.2 Implementación sistema “¿Olvidó su contraseña?” Recomendaciones:  Enviar la contraseña por vía telefónica (voz, SMS) (caso NETCODE en ASB Bank)  Utilizar métodos híbridos Por ejemplo: combinar preguntas/respuestas con llamada telefónica.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 37 2. Medidas de Protección 2.3 Recomendaciones genéricas Utilizar HTTPs para acceder al formulario de autenticación y durante el envío de datos sensibles. Si se utilizan cookies, utilizar la variable SECURE para asegurar que sólo viajaran por un canal encriptado. No permitir que los mensajes de la aplicación posibiliten deducir información (a través de mensajes de error o mensajes “controlados”) No permitir contraseñas débiles en el sistema
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 38 2. Medidas de Protección 2.3 Recomendaciones genéricas No reutilizar cuentas en distintos servicios Realizar validaciones de todos los datos de E/S. El filtro debe ser en negativo “Por defecto rechazo todo. Sólo acepto caracteres dentro del rango ...” Eliminar del servidor web todos aquellos recursos que no sean estrictamente necesarios (manuales, ficheros de ejemplo, etc.) y no realizar instalaciones “por defecto”.
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 39 3. Referencias CAPTCHA - www.captcha.net ESP Game - www.espgame.org PASSMARK - www.passmarksecurity.com NETCODE - www.asbbank.co.nz/netcode/ Sesiones - www.acros.si/papers/session_fixation.pdf OWASP - www.owasp.org
Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 40 Dudas, preguntas, comentarios, ... ?

Recomendados

Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Gestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetGestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetEventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEventos Creativos
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en NavegadoresChema Alonso
 
Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malwareEventos Creativos
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 

Recomendados

Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Gestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetGestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetEventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEventos Creativos
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en NavegadoresChema Alonso
 
Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malwareEventos Creativos
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Noticia 3
Noticia 3 Noticia 3
Noticia 3 AlexisMaafer RuAs
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Mod security
Mod securityMod security
Mod securityManuel Carrasco Moñino
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
INFORMÁTICA
INFORMÁTICAINFORMÁTICA
INFORMÁTICAMyrza & Dulce
 
Integracion sen1
Integracion sen1Integracion sen1
Integracion sen1katherinrestrepo
 
Integracion sen1
Integracion sen1Integracion sen1
Integracion sen1katherinrestrepo
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
as
asas
asJesus Celestino
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Bdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesBdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesFabián Descalzo
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app webPatriciaU
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)vjgarciaq
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Fernando Redondo Ramírez
 

Mais conteúdo relacionado

Mais procurados

Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 

Mais procurados (11)

Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malware
 
Noticia 3
Noticia 3 Noticia 3
Noticia 3
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Mod security
Mod securityMod security
Mod security
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
INFORMÁTICA
INFORMÁTICAINFORMÁTICA
INFORMÁTICA
 
Integracion sen1
Integracion sen1Integracion sen1
Integracion sen1
 
Integracion sen1
Integracion sen1Integracion sen1
Integracion sen1
 

Semelhante a Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencias FIST

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Bdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesBdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesFabián Descalzo
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app webPatriciaU
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)vjgarciaq
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Fernando Redondo Ramírez
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security ScanHelpSystems
 
Resci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptResci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptboligoma200
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Seguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webSeguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webLuis Fernando
 
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...EXIN
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerCloudAppi
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 

Semelhante a Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencias FIST (20)

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
as
asas
as
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación Web
 
Bdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesBdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitales
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app web
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuario
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security Scan
 
Resci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptResci2014 certificate pinning con ppt
Resci2014 certificate pinning con ppt
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Seguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques webSeguridad 003 tipologías de ataques web
Seguridad 003 tipologías de ataques web
 
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developer
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 

Mais de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Mais de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 

Último (16)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 

Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencias FIST

  • 1. Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación en aplicaciones web Vicente Aguilera Díaz vaguilera@isecauditors.com
  • 2. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 2 Contenido 0. Introducción 1. Deficiencias y Ataques al sistema de autenticación 2. Medidas de protección 3. Referencias
  • 3. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 3 0. Introducción Al hablar de autenticación existen 2 contextos:  autenticación de usuarios proceso mediante el cual alguien prueba su identidad.  autenticación de datos proceso mediante el cual se prueba la integridad de los datos. Nos centraremos en la autenticación de usuarios
  • 4. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 4 0. Introducción Seleccionar un buen mecanismo de autenticación no es trivial:  basada en usuario/contraseña  basada en tokens  basada en certificados digitales  basada en mecanismos biométricos  ... El mecanimo más extendido: usuario/contraseña.
  • 5. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 5 0. Introducción En adelante, al hablar del sistema de autenticación, nos centraremos en: autenticación de usuarios basada en formularios
  • 6. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 6 1. Deficiencias y Ataques 1.1 Fugas de información 1.2 Debilidad de los campos del formulario de autenticación 1.3 Deficiencias de las funcionalidades “extras” 1.4 Deficiencias en el sistema de gestión de sesiones 1.5 Validaciones deficientes de los datos de E/S 1.6 Deficiencias en la recogida de datos 1.7 Deficiencias de configuración 1.8 Deficiencias en las relaciones de confianza
  • 7. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 7 1. Deficiencias y Ataques 1.1 Fugas de información  En el código que recibe el cliente  Mensajes que devuelve la aplicación  Mensajes en foros y grupos de noticias  Información facilitada por la empresa de desarrollo  Webs personales  Etc. Veamos un ejemplo...
  • 8. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 8 1. Deficiencias y Ataques 1.1 Fugas de información
  • 9. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 9 1. Deficiencias y Ataques 1.1 Fugas de información
  • 10. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 10 1. Deficiencias y Ataques 1.1 Fugas de información Posibilita:  Enumeración de usuarios Permite obtener identificadores válidos de usuario ‣ DoS  Password cracking Por fuerza bruta Basado en diccionarios  Obtención de información sensible Usuarios/Contraseñas Paths de la aplicación Plataforma y versión de desarrollo Etc.
  • 11. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 11 1. Deficiencias y Ataques 1.2 Debilidad de los campos del formulario de autenticación Campos débiles:  Longitud excesivamente corta  Rango de caracteres permitido excesivamente limitado  Atributo “autocomplete=on” por defecto  Sin límite de caracteres de entrada Posibilita:  Enumeración de usuarios  Password cracking
  • 12. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 12 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Debilidades en los procesos de:  Registro Alta de usuarios  Modificación de datos Modificación de password o datos de registro  Recuperación de contraseñas Implementación del sistema ¿Olvidó su contraseña?  Otros
  • 13. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 13 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Caso de ejemplo – Proceso de recuperación de contraseñas  Identificación en persona Difícil de llevar a cabo  Identificación vía fax No se dispone de información con la que comparar  E-mail Contraseñas que no caducan, correo compartido, envío “no seguro”, ...  Pregunta respuesta Número de preguntas? Dificultad a la hora de seleccionar preguntas  Llamada telefónica / SMS  Métodos híbridos
  • 14. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 14 1. Deficiencias y Ataques 1.3 Deficiencias de las funcionalidades “extras” Posibilita:  Enumeración de usuarios  Password Cracking  Creación de cuentas válidas ‣ Fugas de información  Obtención de contraseñas
  • 15. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 15 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones  Envío de ID de sesión por un canal “inseguro”  Algoritmo débil en la generación de ID  Longitud excesivamente corta del ID  Generación de ID previa a la autenticación  Validaciones deficientes del ID recibido  Tiempo de vida ilimitado para el ID Posibilita ataques de:  Intercepción  Predicción  Fuerza bruta  Fijación de ID  Manipulación de ID
  • 16. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 16 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Fijación de ID 1. Generación de ID El atacante obtiene un ID (se autentica contra la aplicación) o utiliza uno aleatorio. En algunos casos requiere mantener la sesión “viva” 2. Fijación de ID El atacante necesita introducir el ID generado en el navegador del usuario víctima 3. Robo de sesión El atacante espera a que la víctima inicie sesión con el ID fijado a continuación entra en su sesión
  • 17. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 17 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Fijación de ID
  • 18. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 18 1. Deficiencias y Ataques 1.4 Deficiencias en el sistema de gestión de sesiones Caso de ejemplo – Manipulación de ID Introduciendo un PHPSESSID excesivamente largo...
  • 19. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 19 1. Deficiencias y Ataques 1.5 Validaciones deficientes de los datos de E/S Filtro inexistente/deficiente de validación de los datos de E/S de la aplicación Posibilita:  Inyección de código SQL (SQLInjection) Evasión de la autenticación. Acceso a la base de datos y al sistema operativo.  Inyección de código script (XSS, XST) Phishing. Web Defacement. Obtención de información sensible.  Manipulación de parámetros Evasión de la autenticación. Escalar privilegios.  ...
  • 20. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 20 1. Deficiencias y Ataques 1.5 Validaciones deficientes de los datos de E/S Caso de ejemplo – Inyección de código SQL  Evadir la autenticación Hacer que las condiciones especificadas en la cláusula WHERE se cumplan  Obtener información de la base de datos Mediante la provocación de errores (p.e. en la conversión de tipos) Inclusión de sentencias SELECT ... FROM ... WHERE ... LIKE '...%' Si el servidor web no devuelve una página de error... Buscar alternativas que permitan deducir el resultado de la sentencia (p.e. en SQLServer incluir WAITFOR DELAY 'HH:MM:SS')
  • 21. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 21 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos ● Uso de un canal inseguro ● No redirección tras la autenticación Posibilita:  Sniffing  Phishing  Suplantación de personalidad  Obtención de información sensible
  • 22. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 22 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – Uso de un canal inseguro Si la página que contiene el formulario de autenticación se accede por HTTP (aunque el envío se realize posteriormente vía HTTPs): 1. El usuario puede desconfiar (al pensar que su información se transmite en claro) 2. Un phiser puede capturar las credenciales antes de enviarlas a la página de validación
  • 23. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 23 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – No redirección tras la autenticación Si el usuario cierra la sesión pero no el navegador, otro usuario podría hacer “back” repetidamente y al llegar a la primera página privada refrescarla y se enviarían los datos enviados por POST
  • 24. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 24 1. Deficiencias y Ataques 1.6 Debilidad en la recogida de datos Caso de ejemplo – Con redirección tras la autenticación En este caso no se enviarían los datos del POST
  • 25. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 25 1. Deficiencias y Ataques 1.7 Deficiencias de configuración  Instalaciones por defecto  Cuentas por defecto Posibilita:  Conocimiento de credenciales válidas Por ejemplo, usuario/password de la consola de administración de WebSphere: wcsadmin/wcsadmin  Evasión del sistema de autenticación Utilizando recursos instalados por defecto por la plataforma y que son conocidos por el atacante
  • 26. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 26 1. Deficiencias y Ataques 1.7 Deficiencias de configuración Caso de ejemplo – Creación de credenciales Supongamos una aplicación desarrollada con WebSphere Commerce Suite (WCS) con opciones por defecto, cuyo formulario de autenticación sólo permita introducir ID/password. Un atacante podría realizar una petición al servlet “UserRegistrationAdd” y crear un usuario con el cual acceder a la aplicación: https://victima.com/webapp/wcs/stores/servlet/UserRegistrationAdd?URL =LogonForm&logonId=atacanteID&logonPassword=atacantePWD&logon PasswordVerify=atacantePWD
  • 27. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 27 1. Deficiencias y Ataques 1.8 Deficiencias en las relaciones de confianza Relaciones:  Aplicación/Base de datos/Servidor Web/Sistema Operativo Una vulnerabilidad en cualquiera de ellos puede afectar al resto  Entre servicios Por ejemplo, la compartición de cuentas de usuario  Usuarios y su entorno Existe la posibilidad de atacar directamente al usuario y/o su entorno (físico/personal) aplicando técnicas de ingeniería social
  • 28. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 28 1. Deficiencias y Ataques 1.8 Deficiencias en las relaciones de confianza Posibilita:  Reutilización de credenciales Si se dispone de una cuenta en un servidor FTP, puede ser utilizada para acceder a otros servicios (p.e. Correo)  Ataques colaterales Si en la aplicación no se detectan deficiencias, quizás sea factible explotar alguna vulnerabilidad de la máquina en la que reside o en otras en las que confía  Ingeniería social Aprovecharse de la ingenuidad de los usuarios y/o personal relacionado con ellos para obtener sus credenciales Visitar el entorno del usuario
  • 29. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 29 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 1: Utilizar one-time-logins y/o one-time-passwords Ejemplo: Supongamos que un usuario tiene como password: j2as!OP.4w En lugar de solicitar el password, la aplicación podría preguntar: ¿1º, 4º, 2º, 6º, 3º, 8º, 9º y 10º caracter del password? Y hacer que la posición que solicita fuera aleatoria
  • 30. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 30 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA Programa que puede generar tests que:  los humanos pueden pasar  las máquinas no pueden pasar Nota: en la Universidad de California (en Berkeley) han desarrollado un programa para romper captcha-gimpy con un 83% de aciertos. Un grupo de Cambridge ha logrado alcanzar el 93%.
  • 31. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 31 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-pix
  • 32. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 32 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-text
  • 33. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 33 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 2: Utilizar CAPTCHA-gimpy
  • 34. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 34 2. Medidas de Protección 2.1 Impedir ataques automáticos (enumeración usuarios, password cracking, etc.) Solución 3: Bloqueo de cuenta tras un nº de intentos fallidos Por ejemplo, tras 5 intentos fallidos bloquear la cuenta.
  • 35. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 35 2. Medidas de Protección 2.2 Implementación sistema “¿Olvidó su contraseña?” Recomendaciones:  Siempre se ha de resetear la contraseña En caso de que alguién obtuviera nuestra contraseña empleando este proceso lo detectaríamos rápidamente. No podríamos entrar!  Si se envían correos con datos sensibles, han de caducar Por ejemplo, en 24h. El objetivo es evitar que esos datos puedan ser utilizados por alguien que tuviera acceso a nuestro correo. A ser posible, los e-mails deberían enviarse encriptados.  Si se opta por las preguntas y respuestas Utilizar varias preguntas de seguridad. No han de ser predecibles y debe definirlas la aplicación. No dejar la responsabilidad de seleccionar las preguntas en manos del usuario.
  • 36. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 36 2. Medidas de Protección 2.2 Implementación sistema “¿Olvidó su contraseña?” Recomendaciones:  Enviar la contraseña por vía telefónica (voz, SMS) (caso NETCODE en ASB Bank)  Utilizar métodos híbridos Por ejemplo: combinar preguntas/respuestas con llamada telefónica.
  • 37. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 37 2. Medidas de Protección 2.3 Recomendaciones genéricas Utilizar HTTPs para acceder al formulario de autenticación y durante el envío de datos sensibles. Si se utilizan cookies, utilizar la variable SECURE para asegurar que sólo viajaran por un canal encriptado. No permitir que los mensajes de la aplicación posibiliten deducir información (a través de mensajes de error o mensajes “controlados”) No permitir contraseñas débiles en el sistema
  • 38. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 38 2. Medidas de Protección 2.3 Recomendaciones genéricas No reutilizar cuentas en distintos servicios Realizar validaciones de todos los datos de E/S. El filtro debe ser en negativo “Por defecto rechazo todo. Sólo acepto caracteres dentro del rango ...” Eliminar del servidor web todos aquellos recursos que no sean estrictamente necesarios (manuales, ficheros de ejemplo, etc.) y no realizar instalaciones “por defecto”.
  • 39. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 39 3. Referencias CAPTCHA - www.captcha.net ESP Game - www.espgame.org PASSMARK - www.passmarksecurity.com NETCODE - www.asbbank.co.nz/netcode/ Sesiones - www.acros.si/papers/session_fixation.pdf OWASP - www.owasp.org
  • 40. Inseguridad de los sistemas de autenticación en aplicaciones web 18/3/2005 Slide 40 Dudas, preguntas, comentarios, ... ?