01 - Sesión 09 - Fallos de Seguridad.pptx

01 - Sesión 09 - Fallos de Seguridad.pptx

• 1.
  Programación Segura Tema 09:Reconocimiento de Fallos de Seguridad Facultad de Ingeniería y Arquitectura Escuela Profesional de Ingeniería de Sistemas
• 2.
  Contenido. 1. Vulnerabilidades enaplicaciones WEB. 2. Matriz de riesgos.
• 3.
  1. Vulnerabilidades enaplicaciones WEB. Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa. Las vulnerabilidades pueden ser debidas tanto a fallos de diseños, errores en la configuración o a procedimientos no robustos. Las vulnerabilidades más peligrosas son las que permiten a un atacante ejecutar código dañino en el sistema comprometido. una amenaza es cualquier acción que explota una vulnerabilidad informática para comprometer un sistema de información. Una amenaza puede ser tanto interna como externa y concretarse en un ciberataque, un malware (como el ransomware WannaCry), en un desastre físico o en negligencias en la gestión.
• 4.
  Fallas de inyección: Cuandohablamos de ataques de inyección SQL nos hacemos referencia a un método que se aprovecha de errores que existen en aplicaciones web. Son básicamente vulnerabilidades que permiten a un posible intruso inyectar código malicioso para llevar a cabo sus ataques y comprometer la seguridad y privacidad de los usuarios. Un ataque de inyección SQL podría estar orientado en comprometer páginas web o bases de datos. Un pirata informático podría manipular, robar o eliminar información y datos que hay en esas web comprometidas o bases de datos. 1. Vulnerabilidades en aplicaciones WEB https://repository.unad.edu.co/bitstream/handle/10596/31471/nschalabej.pdf?sequence=1&isAllowed=y
• 5.
  Autenticación rota: La autenticaciónrota es cuando usted (Aplicación web) permite que sus usuarios ingresen a su sitio web creando una nueva cuenta y manejándola por razones específicas. En la autenticación rota, cada vez que un usuario inicia sesión en su cuenta, se crea una identificación de sesión, y esa identificación de sesión solo se permite para esa cuenta en particular. Ahora bien, si la aplicación web está diseñada de forma segura en términos de autenticación, entonces está muy bien, pero en caso de que no lo esté, el atacante puede usar varias técnicas dadas. 1. Vulnerabilidades en aplicaciones WEB Relleno de credenciales: en Relleno de credenciales, un atacante tiene una lista estándar de contraseñas y nombres de usuario predeterminados. Con esta lista, pueden aplicar la fuerza bruta a las cuentas y pueden iniciar sesión en cuentas legítimas. Apenas se recomienda que los usuarios cambien sus nombres de usuario y contraseñas predeterminados para protegerse de tales ataques. Contraseñas sin cifrar: el cambio de contraseñas de texto sin cifrar en palabras codificadas a través de las cuales se puede engañar a un atacante se denomina cifrado de contraseñas. Lo que hace un atacante es que un atacante puede interceptar la solicitud del usuario ya que ambos están en la misma red. Al usar la solicitud interceptada, pueden ver claramente el envío de texto sin cifrar de las contraseñas que los usuarios envían en el sitio web. Al utilizar esta técnica, el usuario puede perder la autorización y la confidencialidad de su cuenta. Tiempos de espera de sesión mal configurados: el escenario en el que un usuario había cerrado la sesión de la cuenta y un atacante tiene la cookie de ese usuario. Con la cookie, un atacante aún puede tener acceso a esa cuenta. https://es.acervolima.com/vulnerabilidad-de-autenticacion-rota/
• 6.
  Secuencias de comandosentre sitios: Cross Site Scripting (XSS) es el proceso de adición de código malicioso a un sitio web genuino para recopilar información del usuario con una intención maliciosa. Los ataques XSS son posibles a través de vulnerabilidades de seguridad que se encuentran en las aplicaciones web y comúnmente se explotan mediante la inyección de un script en el lado del cliente. Aunque normalmente se emplea JavaScript, algunos atacantes también utilizan VBScript, ActiveX o Flash. 1. Vulnerabilidades en aplicaciones WEB https://pressroom.hostalia.com/contents/ui/theme/images/cross-site-scripting-wp-hostalia.pdf
• 7.
  Configuración incorrecta: La arquitecturade una aplicación web se sustenta sobre una gran cantidad de elementos, los cuales presentan diversas opciones de configuración. Servidores, frameworks, sistemas gestores de datos, CMS, plugins, APIs… Todos estos elementos pueden formar parte de la arquitectura que soporta a la aplicación. Y dar lugar a vulnerabilidades de seguridad si cuentan con una configuración incorrecta, o con una configuración por defecto que no cumple con los estándares de seguridad adecuados.. 1. Vulnerabilidades en aplicaciones WEB
• 8.
  Exposición de datosconfidenciales: Toda datos o información debe enviarse de forma cifrada. 1. Vulnerabilidades en aplicaciones WEB
• 9.
  2. Análisis deriesgos. PROBABILIDAD DE OCURRENCIA IMPACTO ANÁLISIS DE RIESGOS