Scribd Logo
Carica

Benvenuto in Scribd!

  • Seguridad en La Web

    Caricato da

    Nerik Mappel
    7 visualizzazioni14 pagine

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PPT, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    7 visualizzazioni14 pagine

    Seguridad en La Web

    Caricato da

    Nerik Mappel

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 14

    Seguridad en la Web

    Seguridad en la Web Introduccin

    La seguridad en web tiene 3 etapas* primarias: Seguridad de la computadora del usuario Seguridad del servidor web y de los datos almacenados ah Seguridad de la informacin que viaja entre el servidor web y el usuario.

    Seguridad en la Web Etapas

    Seguridad de la computadora del usuario Los usuarios deben contar con navegadores y plataformas seguras, libres de virus y vulnerabilidades. Tambin debe garantizarse la privacidad de los datos del usuario.

    Seguridad en la Web Etapas


    Seguridad del servidor web y de los datos almacenados ah Se debe garantizar la operacin continua del servidor, que los datos no sean modificados sin autorizacin (integridad) y que la informacin slo sea distribuida a las personas autorizadas (control de acceso).

    Seguridad en la Web Etapas

    Seguridad de la informacin que viaja entre el servidor web y el usuario.

    Garantizar que la informacin en trnsito no sea leda (confidencialidad), modificada o destruida por terceros. Tambin es importante asegurar que el enlace entre cliente y servidor no pueda interrumpirse fcilmente (disponibilidad).

    Ataques a la Web
    Ataques Navegador Java. En la actualidad es ms o menos seguro. Vulnerable a ataques enfocados al usuario (capa 8?) Javascript. Inseguro, se puede enviar informacin desde formularios html, problemas enfocados a la privacidad. Activex. Tambin vulnerable a ataques enfocados al usuario (applets sin certificado).

    Seguridad en la Web Ataques - Navegador


    XSS Cross site scripting Esta tcnica permite redireccionar informacin del usuario hacia el sitio de un atacante. Esto se logra por medio de la insercin de funciones de javascript que permiten incluir pginas externas dentro de una pgina dinmica. En concreto es de uso comn la funcin: document.location.href

    Seguridad en la Web Ataques - Navegador


    Phishing Suplantacin de identidad que busca apropiarse de datos confidenciales de usuarios de la red, por medio de una pgina que imita a la original Se utiliza el correo electrnico como medio de difusin. El mensaje incluye una liga en la que el usuario debe hacer click para conectarse en apariencia al sitio web autntico.

    Seguridad en la Web Ataques Servidor Web

    Exploits remotos Programa o tcnica que toma ventaja de un hueco de seguridad para comprometer un sistema. Hoy en da una fuente importante de huecos de seguridad es debida a errores de programacin (desbordamientos de buffer, formato de cadena). Puertas traseras Mecanismos que permiten el acceso a un sistema, evadiendo los controles de acceso del servidor. En ocasiones, dejados intencionalmente por los programadores, en otros casos dejados inadvertidamente por el administrador. Ingeniera social Es la tcnica especializada o emprica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no haran.

    Seguridad en la Web Ataques Servidor Web

    DoS (negacin de servicio) Va enfocado a interrumpir la disponibilidad de los recursos de un servidor (web, e-mail, chat). Fuerza bruta Tcnica que consiste en intentos reiterados de accesar por medio de los controles de acceso legtimos, buscando algn password dbil.

    Seguridad en la Web Ataques Servidor Web

    Fuerza bruta Los controles de acceso tradicionales constan de una pareja login/password. Los ataques de fuerza bruta usualmente escogen un login vlido y prueban un sinfn de passwords diferentes intentando adivinar. El mismo servidor web proporciona informacin valiosa al atacante.

    Seguridad en la Web Ataques Servidor Web


    Existen herramientas que automatizan el ataque, forzando el password de un usuario vlido del sistema. Usuario-valido / aaaa Usuario-valido / aaab Usuario-valido / aaac Usuario-valido / aaad Diversas aplicaciones (por ejemplo de la banca en lnea) permiten slo 3 equivocaciones en la password de acceso, despus se bloquean (brillante!).

    Seguridad en la Web Ataques Servidor Web


    Sin embargo existe un ataque an ms peligroso y truculento: Si el sistema bloquea la cuenta al 3er. Intento, porqu no slo intentar 1 sola vez? Esto se hace posible variando el login, en lugar de la password: Usuario-valido1 / aaaa Usuario-valido2 / aaaa Usuario-valido3 / aaaa Usuario-valido4 / aaaa

    Seguridad en la Web Ataques Servidor Web


    Solucin: Insertar cuentas de seuelo, que no estn asignadas a ningn usuario vlido. Al detectarse un intento de acceso a alguna de estas cuentas seuelo se deben tomar medidas anti-intrusivas. (bloqueo de IPs por ejemplo)

    Potrebbero piacerti anche