Escolar Documentos
Profissional Documentos
Cultura Documentos
Autora
NDICE
SANDRA LIZZULLY JACQUEZ FRAIRE
PORTAFOLIO DE EVIDENCIAS
TEMARIO
CRITERIOS DE EVALUACIN
TEMARIO
SANDRA LIZZULLY JACQUEZ FRAIRE
PORTAFOLIO DE EVIDENCIAS
Unidad
1
Temas
Subtemas
Introduccin a la seguridad 1.1. Qu es la seguridad en aplicaciones
de aplicaciones Web.
informticas?
1.2. Necesidad de la seguridad.
1.3. Entorno y objetivos de la seguridad.
1.4. Requisitos funcionales.
1.5. Principios de seguridad.
1.6. Activos.
1.7. Administracin de riesgos.
Validacin de entradas.
Mecanismos
de 3.1. Mtodos de almacenamiento de credenciales.
autentificacin y proteccin 3.2. Complejidad de las contraseas.
3.3. Mtodos de autentificacin.
3.4. Uso de CAPTCHA.
3.5. Manejo de sesiones.
3.6. Autorizacin.
3.7. Manejo de errores y loggin.
3.8. Seguridad en Web Services.
Encriptacin.
2.1.
2.2.
2.3.
2.4.
2.5.
SQL Injection.
LDAP Injection.
XPATH Injection.
Cross-Site-Scripting.
Otros ataques inyeccin
CRITERIOS DE EVALUACIN
Evaluacin
PORTAFOLIO DE EVIDENCIAS
Formativo
Formativo.
Antolog
o Asistir a clase.
Sumativo.
Reporte
10%.
Diagnstico
Pregunt
4%
Diagnstico
o
Llegar
a
tiempo.
.
abiertas
5%.
3%
Gua tc
Sumativo
o
Tener
buena
conducta.
3%
Mapa co
85%.
Diagnstico.
Platafor
o Evaluacin de los
lnea.
conocimientos previos.
Portafol
Pertinencia. 5%
Sumativo.
o Prctica:
Pertinencia.
10%
Ortografa.
5%
Estructura.
5%
Funcin y
fundamento
terico. 30%
o Investigacin de
informacin:
Campo Laboral.
Pertinencia
3%
Ortografa
1%
Y Estructura
1%
Pertinencia. 6%
Ortografa. 2%
Y Estructura. 2%
o Participacin
Pertinencia 10%
o Preguntas abiertas:
Pertinencia. (5%)
o Uso de la plataforma en
lnea:
Evidencia. (5%)
PORTAFOLIO DE EVIDENCIAS
Nota: Con una falta de ortografa se resta 50% al porcentaje correspondiente, con la omisin de
un tema, con la omisin de un reporte y con informacin fuera de contexto de estudio. Los
criterios anteriores se evalan por tema de estudio.
ACTIVIDADES DE APRENDIZAJE
Evaluacin Diagnostico
1. Qu significa y cmo funciona NAT?
Es
un
mecanismo
utilizado
intercambiar paquetes entre
dos redes
por routers IP
que
para
asignan
PORTAFOLIO DE EVIDENCIAS
mutuamente direcciones incompatibles. Consiste en convertir, en tiempo
real, las direcciones utilizadas en los paquetes transportados. Tambin es
necesario
editar
los
paquetes
para
permitir
la
operacin
de protocolos que incluyen informacin de direcciones dentro de la
conversacin del protocolo.
El protocolo TCP/IP tiene la capacidad de generar varias conexiones
simultneas con un dispositivo remoto. Para realizar esto, dentro de la
cabecera de un paquete IP, existen campos en los que se indica la
direccin origen y destino. Esta combinacin de nmeros define una
nica conexin.
La mayora de los NAT asignan varias mquinas (hosts) privadas a una
direccin IP expuesta pblicamente. En una configuracin tpica, una red
local utiliza unas direcciones IP designadas privadas para subredes
(RFC 1918). Un ruteador en esta red tiene una direccin privada en este
espacio de direcciones. El ruteador tambin est conectado a Internet
por medio de una direccin pblica asignada por un proveedor de
servicios de Internet. Como el trfico pasa desde la red local a Internet,
la direccin de origen en cada paquete se traduce sobre la marcha, de
una direccin privada a una direccin pblica. El ruteador sigue la pista
de los datos bsicos de cada conexin activa (en particular, la direccin
de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los
datos de seguimiento de la conexin almacenados en la fase de salida
para determinar la direccin privada de la red interna a la que remitir la
respuesta.
2. Qu significa y para qu sirve la NIC?
Network information center, mantiene todos los datos administrativos
del dominio y genera un archivo de zona que contiene las direcciones de
los servidores de nombres para cada dominio. Cada registro es una
organizacin que gestiona el registro de nombres de dominio dentro de
los dominios de los que es responsable, controla las polticas de
asignacin de nombres de dominio, y tcnicamente opera su dominio.
Tambin puede cumplir la funcin de un nombre de dominio de registro,
o podr delegar esta funcin a otras entidades
3. Cules son los factores tomar en cuenta para verificar la
conectividad en la NIC?
Tener conexin a una aplicacin que tenga salida a internet por
medio del cliente Windows
La configuracin de la NIC en el equipo virtual por medio de
virtual box
Saber configurar la NIC en el sistema Linux CentOS7 (IP ADDR-rol
de administrador, ifup enp0s3 puede variar dependiendo del
nmero de NIC, ifdown enp0s3)
La saturacin de la red a la que este conectado
En otra empresa puede haber control de la salida a internet por
medio de un firewall.
4. Cmo relaciona el equipo virtual con el acceso a internet?
A travs de la configuracin de la red
SANDRA LIZZULLY JACQUEZ FRAIRE
PORTAFOLIO DE EVIDENCIAS
Introduccin
1. Introduccin a la seguridad de aplicaciones Web
En este trabajo se pretende dar una Introduccin a la seguridad en aplicaciones
Web, la importancia que tiene hoy en da la aplicacin de seguridad web en la
informtica, as como tambin se abordaran los entornos y objetivos que
conlleva la seguridad web.
Desarrollo
1. Introduccin a la seguridad de aplicaciones Web
La seguridad es un aspecto crtico de las aplicaciones Web. Las aplicaciones
Web, por definicin, permiten el acceso de usuarios a recursos centrales, el
servidor Web y, a travs de ste, a otros como los servidores de base de datos.
Con los conocimientos y la implementacin correcta de medidas de seguridad,
PORTAFOLIO DE EVIDENCIAS
puede proteger sus propios recursos as como proporcionar un entorno seguro
donde los usuarios trabajen cmodos con su aplicacin.
1.1 Qu es la seguridad en aplicaciones informticas?
Es una disciplina que se encarga de proteger la integridad y la privacidad de la
informacin almacenada en un sistema informtico.
Podemos considerar la seguridad como una caracterstica de cualquier sistema
(aunque no sea informtico) que indica que ese sistema est libre de
peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que
pueda afectar su funcionamiento directo o los resultados que se obtienen del
mismo. El concepto de seguridad en informtica es utpico porque no existe un
sistema 100 % seguro. Para que un sistema se pueda definir como seguro ha
de poseer las siguientes caractersticas:
Integridad
Confidencialidad
Disponibilidad
A pesar de lo til que es internet, hay peligros, con el solo hecho de estar
conectado el usuario est expuesto a riesgos, sobre todo con la ausencia de
cortafuegos (firewall) y el uso de programas no seguros, como por ejemplo los
productos Microsoft (Windows, Word, Internet Explorer, Outlook, ..), de forma
que es fundamental extremar las medidas de seguridad.
1.2 Necesidad de la seguridad
POR QUE ES TAN IMPORTANTE LA SEGURIDAD?
Por la existencia de personas ajenas a la informacin, tambin conocidas como
piratas informticos o hackers, que buscan tener acceso a la red empresarial
para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo o de
sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de
70 por ciento de las Violaciones e intrusiones a los recursos informticos se
realiza por el personal interno, debido a que ste conoce los procesos,
metodologas y tiene acceso a la informacin sensible de su empresa, es decir,
a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de
la organizacin.
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad
con los que cuentan la mayora de las compaas a nivel mundial, y porque no
existe conocimiento relacionado con la planeacin de un esquema de
seguridad eficiente que proteja los recursos informticos de las actuales
amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.
AMENAZAS Y VULNERABILIDADES
Por vulnerabilidad entendemos la exposicin latente a un riesgo. En el rea de
informtica, existen varios riesgos tales como: ataque de virus, cdigos
maliciosos, gusanos, caballos de Troya y hackers; no obstante, con la adopcin
SANDRA LIZZULLY JACQUEZ FRAIRE
PORTAFOLIO DE EVIDENCIAS
de Internet como instrumento de comunicacin y colaboracin, los riesgos han
evolucionado y, ahora, las empresas deben enfrentar ataques de negacin de
servicio y amenazas combinadas; es decir, la integracin de herramientas
automticas de "hackeo", accesos no autorizados a los sistemas y capacidad
de identificar y explotar las vulnerabilidades de los sistemas operativos o
aplicaciones para daar los recursos informticos.
Especficamente, en los ataques de negacin de servicio, el equipo de cmputo
ya no es un blanco, es el medio a travs del cual es posible afectar todo el
entorno de red; es decir, anular los servicios de la red, saturar el ancho de
banda o alterar el Web Site de la compaa. Con ello, es evidente que los
riesgos estn en la red, no en la PC.
Es por la existencia de un nmero importante de amenazas y riesgos, que la
infraestructura de red y recursos informticos de una organizacin deben estar
protegidos bajo un esquema de seguridad que reduzca los niveles de
vulnerabilidad y permita una eficiente administracin del riesgo.
Las polticas debern basarse en los siguientes pasos:
Identificar y seleccionar lo que se debe proteger (informacin sensible)
Establecer niveles de prioridad e importancia sobre esta informacin
Conocer las consecuencias que traera a la compaa, en lo que se
refiere a costos y productividad, la prdida de datos sensibles
Identificar las amenazas, as como los niveles de vulnerabilidad de la red
Realizar un anlisis de costos en la prevencin y recuperacin de la
informacin, en caso de sufrir un ataque y perderla
Implementar respuesta a incidentes y recuperacin para disminuir el
impacto
Este tipo de polticas permitir desplegar una arquitectura de seguridad basada
en soluciones tecnolgicas, as como el desarrollo de un plan de accin para el
manejo de incidentes y recuperacin para disminuir el impacto, ya que
previamente habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideracin, que las amenazas no disminuirn y las
vulnerabilidades no desaparecern en su totalidad, por lo que los niveles de
inversin en el rea de seguridad en cualquier empresa, debern ir acordes a
la importancia de la informacin en riesgo.
1.3 Entorno y objetivos de la seguridad
En el entorno de seguridad:
La descripcin se enfoca principalmente a las necesidades del usuario y
con ello facilita la definicin de requerimientos.
El anlisis considera los diversos factores con los que interacta.
Su anlisis hace explcitas las hiptesis que se plantea al desarrollar el
PP y las expectativas sobre el entorno que no se resolvern en otros
mbitos.
Su anlisis identifica las amenazas a las que est expuesto el objeto de
evaluacin y determina las polticas de seguridad que debern operar
para resguardar el entorno.
SANDRA LIZZULLY JACQUEZ FRAIRE
PORTAFOLIO DE EVIDENCIAS
En una aplicacin web, dividimos la seguridad en los siguientes objetivos:
Disponibilidad: Propiedad o caracterstica de los activos consistentes
en que las entidades o procesos autorizados tienen acceso a los mismos
cuando lo requieren.
Autenticidad: Propiedad o caracterstica consistente en que una
entidad es quien dice ser o bien que garantiza la fuente de la que
proceden los datos
Integridad: Propiedad o caracterstica consistente en que el activo de
informacin no ha sido alterado de manera no autorizada.
Confidencialidad: Propiedad o caracterstica consistente en que la
informacin ni se pone a disposicin, ni se revela a individuos, entidades
o procesos no autorizados.
Trazabilidad: Propiedad o caracterstica consistente en que las
actuaciones de una entidad pueden ser imputadas exclusivamente a
dicha entidad.
1.4 Requisitos funcionales
La redaccin de una especificacin de requisitos requiere una profunda
reflexin sobre los objetivos que pretendemos alcanzar con el sitio web. En
funcin de su naturaleza, podemos identificar diferentes tipos de requisitos:
1. Requisitos funcionales del sitio web: estos requisitos se obtendrn a
partir de los intereses manifestados tanto por el responsable del sitio
web, como de las personas que tendrn que interactuar directamente
con l. Para extraer esta informacin es conveniente entrevistarse con
todas las partes involucradas en la gestin y desarrollo del sitio web.
Algunas de las preguntas que habrn de responderse en esta fase son:
a. Cul es el objetivo del sitio web?
b. Qu tipo de usuarios tendr?
c. Qu tareas llevarn a cabo a los distintos tipos de usuarios?
2. Requisitos tcnicos: son aquellos requisitos que garantizan la calidad del
desarrollo informtico del sitio web. Concretamente tendremos que
supervisar:
a. Administracin y mantenimiento del sitio web: atendiendo a los
requisitos funcionales habr que decidir qu gestor de contenidos
vamos a utilizar. En estos momentos los dos gestores de
contenido (de cdigo no propietario) ms utilizados son Joomla
(caracterizado por su sencillez) y Drupal (caracterizado por la
potencia de sus herramientas de comunicacin). Es muy
importante que el gestor de contenidos tenga definidos los tipos
de usuarios (con sus correspondientes permisos) que se hayan
decidido (en la especificacin de requisitos funcionales), y que
permita el desarrollo del flujo de trabajo que se ha previsto.
Tambin es esencial que permita la realizacin de copias de
seguridad de los contenidos.
b. Codificacin y formato de los contenidos del sitio web: se har
diferenciando
contenidos
y
formato,
y
respetando
escrupulosamente los estndares que existen a tal efecto, en este
SANDRA LIZZULLY JACQUEZ FRAIRE
10
PORTAFOLIO DE EVIDENCIAS
c.
d.
e.
f.
g.
11
PORTAFOLIO DE EVIDENCIAS
12
PORTAFOLIO DE EVIDENCIAS
Los principios bsicos de seguridad que cualquier aplicacin o servicio web
debe cumplir:
13
PORTAFOLIO DE EVIDENCIAS
1.6 Activos
Son aquellos recursos (hardware/software), que tiene explota una empresa.
Dice ser, por ejemplo, las BBDDs que tienen las empresas en sus ERPs para
guardar la informacin de sus clientes/proveedores/productos.
Tambin son los elementos hardware, como los PCs que tiene y que pone a
disposicin de sus usuarios para poder realizar el trabajo diario.
Agentes que interaccionan
Usuarios, son el 70% de agentes que interaccionan con los sistemas IT, 30%
sistemas automatizados en los ERPs para generar informacin (valor de
negocio).
Amenazas
La mayor amenaza, es la destruccin de los activos, por esto, en los activos
software, se realizan Backup para poder volver a "reconstruir"/restaurar estos
activos.
En los activos Hardware, normalmente, tienen un proveedor de hardware para
aprovisionar la reparacin/actualizacin de estos para que estn disponibles
para su uso.
1.7 Administracin de riesgos.
Mientras se ejecuta el plan de seguridad, se llevan a cabo dos tipos de
actividades de administracin de riesgo durante el ciclo de vida del proyecto.
La primera es administrar el riesgo inherente al propio proyecto y la segunda
es administrar el riesgo asociado a los componentes de seguridad. Los riesgos
del proyecto se evalan slo durante el ciclo de vida del proyecto, mientras
que los riesgos de seguridad se deben evaluar durante el ciclo de vida
completo de la solucin o el sistema. La disciplina de administracin de riesgo
MSF sirve como base para la administracin de riesgos de las evaluaciones de
los proyectos y de la seguridad. Los procesos de DAR y DARS recomiendan un
enfoque preventivo, una evaluacin continua del riesgo y una integracin en la
toma de decisiones durante todo el proyecto y funcionamiento del entorno.
La seguridad del sistema informtico se debe realizar de forma preventiva y
continua para garantizar la seguridad de los activos de informacin y
supervisar nuevas amenazas y vulnerabilidades. Siempre que se agreguen
funcionalidades nuevas a la infraestructura de tecnologa de la organizacin
deber tomarse en cuenta la seguridad de la informacin. Adems, es posible
que algunos procesos y procedimientos empresariales deban alterarse para
operar en el entorno modificado y proporcionar proteccin a los activos de
informacin nuevos.
SANDRA LIZZULLY JACQUEZ FRAIRE
14
PORTAFOLIO DE EVIDENCIAS
Los nueve pasos de la Disciplina de administracin de riesgos de seguridad
son:
Evaluacin
1 Evaluacin y valoracin del activo
.
2 Identificacin de los riesgos de seguridad
.
3 Anlisis y ordenacin segn prioridad de los riesgos de seguridad
.
4 Seguimiento, planeamiento y programacin de los riesgos de seguridad
. Desarrollo e implementacin
5 Desarrollo de las soluciones de seguridad
.
6 Pruebas de las soluciones de seguridad
.
7 Obtencin de informacin sobre seguridad
. Operacin
8 Reevaluacin de los riesgos de seguridad y los activos nuevos y
. cambiados
9 Estabilizacin e implementacin de contramedidas nuevas o cambiadas
.
Conclusiones
Al momento de desarrollar aplicaciones web se debe tener en cuenta la
seguridad en el manejo d datos de entrada y salida, para as evitar el robo de
informacin de aplicaciones.
La seguridad de las aplicaciones es considerada un importante aspecto de
control interno en las entidades con alto porcentaje de automatizacin de sus
operaciones.
Es importante tener en cuenta los requisitos funcionales y principios bsicos
para el desarrollo de aplicaciones Web.
Referencias
https://msdn.microsoft.com/es-mx/library/cc437552(v=vs.71).aspx
http://definicion.de/seguridad-informatica/
http://www.um.es/docencia/barzana/IACCSS/Seguridad-en-informatica.html
http://seginfouno.blogspot.mx
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/EntornoPerfiles.php
http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/212
http://es.slideshare.net/rpedraza/especificacin-de-requisitos-de-un-sitio-web
http://www.desarrolloweb.com/articulos/996.php
http://www.mastermagazine.info/termino/4544.php
https://www.hard2mano.com/topic/77347-que-son-activos-informaticos/
15
PORTAFOLIO DE EVIDENCIAS
Desarrollo
Introduccin a la Seguridad en Sistemas Web
Un efecto secundario del crecimiento exponencial que ha tenido el Internet es
la privacidad de informacin tanto personal como profesional. Mientras ms se
conecta el mundo, la necesidad de seguridad en los procedimientos usados
para compartir la informacin se vuelve ms importante. Respecto a los
servidores web, es comn escuchar sobre fallas en los sistemas de proteccin
de los servidores ms frecuentemente utilizados (Apache, IIS, etc.), o en los
lenguajes de programacin en los que son escritas las aplicaciones que son
ejecutadas por estos servidores. Pero es un hecho, que la mayora de los
problemas detectados en servicios web no son provocados por fallas
intrnsecas de ninguna de estas partes, ya que una gran cantidad de los
problemas se generan por malos usos por parte de los programadores.
Problemas principales en la Programacin de Sistemas Web
Una gran parte de los problemas de seguridad en las aplicaciones web son
causados por la falta de seguimiento por parte del programador en los
siguientes aspectos:
Entradas al sistema
Salidas del sistema
Quizs uno de los consejos de seguridad en PHP ms conocido en cualquier
foro de Internet es el uso del parmetro register_globals que es considerado a
priori por muchos administradores como un defecto en la configuracin y muy
probablemente sin entender con cabalidad que es lo que implica esta
configuracin.
2.1 Balancear Riesgo y Usabilidad
Si bien la usabilidad y la seguridad en una aplicacin web no son
necesariamente mutuamente excluyentes, algunas medidas tomadas para
incrementar la seguridad con frecuencia afectan la usabilidad. La
recomendacin inicial sera tratar de usar medidas de seguridad que sean
transparentes a los usuarios.
2.2 Rastrear el paso de los Datos
La medida ms importante como desarrollador preocupado por la seguridad
que podemos tomar es mantener conocimiento de los pasos que ha recorrido la
SANDRA LIZZULLY JACQUEZ FRAIRE
16
PORTAFOLIO DE EVIDENCIAS
informacin en todo momento. Conocer de donde vinieron los datos y hacia
dnde van.
En las aplicaciones web, existen maneras de distinguir los orgenes de los
datos y poder as reconocer cuando los datos pueden ser dignos de confianza y
cuando no.
2.3 Filtrar Entradas
El filtrado es una de las piedras angulares de la seguridad en aplicaciones web.
Es el proceso por el cual se prueba la validez de los datos. Si nos aseguramos
que los datos son filtrados apropiadamente al entrar, podemos eliminar el
riesgo de que datos contaminados y que reciben confianza indebida sean
usados para provocar funcionamientos no deseados en la aplicacin.
El proceso de filtrado debe estar conformado por los siguientes pasos:
Identificar la entrada.
Filtrado de la entrada.
Distinguir entre datos que ya han pasado por el filtro y los que no.
Existen adems muchos puntos de vista diferentes sobre como realizar el
filtrado o proceso de limpieza. Lo que usualmente se recomienda es ver al
filtrado como un proceso de inspeccin, no debemos tratar de corregir los
datos, es mejor forzar a los usuarios a jugar con las reglas vlidas.
2.4 Escapar salidas
Otra piedra angular de la seguridad en aplicaciones web es el proceso de
escapado y su contraparte para codificar o decodificar caracteres especiales de
tal forma que su significado original sea preservado.
Clasificacin de Ataques
3.1 Ataques URL de tipo Semntico
Este tipo de ataques involucran a un usuario modificando la URL a modo de
descubrir acciones a realizar originalmente no planeadas para l.
3.2 Ataques al subir archivos
Existen algunos ataques que aprovechan la posibilidad de la aplicacin de subir
archivos al servidor.
3.3 Ataques de Cross-Site Scripting
XSS es un tipo de vulnerabilidad de seguridad informtica tpicamente
encontrada en aplicaciones web que permiten la inyeccin de cdigo por
usuarios maliciosos en pginas web vistas por otros usuarios.
Tipos de vulnerabilidad XSS
Existen tres diferentes tipos de vulnerabilidades XSS:
Tipo 0
Tambin conocido como basado en el DOM o Local. Con este tipo de
vulnerabilidad, el problema existe en el script del lado del cliente.
Tipo 1
A este tipo de agujero XSS se le conoce tambin como no persistente o
reflejado, y es por mucho el ms comn. Estos agujeros aparecen cuando los
SANDRA LIZZULLY JACQUEZ FRAIRE
17
PORTAFOLIO DE EVIDENCIAS
datos provistos por un cliente web son usados inmediatamente en el lado del
servidor para generar una pgina de resultados para el usuario.
3.4 Cross-Site Request Forgeries
Este tipo de ataque permite al atacante enviar peticiones HTTP a voluntad
desde la mquina de la vctima. Por la naturaleza de este tipo de ataques, es
difcil determinar cuando una peticin HTML se ha originado por un ataque de
este tipo.
3.5 Envo de Formas falsificadas
Falsificar una forma es casi tan fcil como manipular una URL. En el fondo, el
envo de una forma emplea el mismo mecanismo, la peticin HTTP enviada por
el navegador al servidor. El formato con el que va a contar la peticin se
encuentra predeterminado por la forma y algunos de los datos enviados en la
peticin son dados por el usuario.
3.6 Peticiones HTTP Falsificadas
Un ataque ms sofisticado que el anterior es enviar peticiones falsas
empleando herramientas especiales para este propsito. La existencia de este
tipo de ataques es una prueba determinante de que los datos enviados por los
usuarios no son dignos de ninguna confianza.
Seguridad de las Aplicaciones y su relacin con las Bases de Datos
La mayora de las aplicaciones web son usadas como un conducto entre
muchas fuentes de datos y el usuario, esto es, las aplicaciones web son usadas
frecuentemente para interactuar con una base de datos.
4.1 Exposicin de Credenciales de Acceso
Uno de los asuntos principales a ser cuidados cuando se utiliza una base de
datos es el almacenamiento de las credenciales de acceso a ella.
La mejor solucin a este problema es almacenar los archivos a incluir en otro
lugar fuera del directorio raz. No es necesario tenerlos en algn lugar en
particular en el sistema de archivos para ser capaces de incluirlos o requerirlos,
solo es necesario garantizar que el servidor tenga privilegios de lectura.
La inyeccin de cdigo SQL es una de las vulnerabilidades ms comunes en
aplicaciones PHP. Una vulnerabilidad de SQL Injection requiere dos fallas por
parte del programador:
1. Fallas en el filtrado de los datos.
2. Fallas en el escapado de los datos al enviarlos a la base de datos
(escapado de salida).
Ninguno de estos pasos cruciales debe ser omitido, y los dos pasos requieren
especial atencin para poder minimizar los errores.
4.3 Exposicin de datos
Una de las preocupaciones ms comunes relacionadas con las bases de datos
es la exposicin de datos sensibles. Al almacenar nmeros de tarjetas de
crdito, o algo tan delicado, es preferible asegurarse que los datos
almacenados en la base de datos se encuentran seguros e inaccesibles incluso
para los administradores de la base.
SANDRA LIZZULLY JACQUEZ FRAIRE
18
PORTAFOLIO DE EVIDENCIAS
Pginas Privadas y los Sistemas de Autenticacin
La autenticacin es el proceso por el cual la identidad de un usuario en el
sistema es validada. Comnmente el procedimiento involucra un nombre de
usuario y una contrasea a revisar. Una vez autenticado el usuario es
registrado (logeado) como un usuario que se ha autenticado.
El control de acceso debe encontrarse totalmente integrado al diseo original.
No debe ser algo improvisado sobre una aplicacin ya existente.
5.1 Ataques de Fuerza Bruta
Un ataque de este tipo agota todas las posibilidades sin preocuparse por cuales
opciones son las que tienen mayor probabilidad de funcionar.
Limitar el nmero de intentos que se le permite al usuario tratar de adivinar es
una medida efectiva en contra de estos ataques, pero tiene por desventaja de
poder afectar el uso del sistema a usuarios legtimos.
5.2 Espionaje de Contraseas (Password Sniffing)
Cuando un atacante tiene los medios para analizar el trfico entre los usuarios
y el servidor de la aplicacin, debemos preocuparnos por la exposicin que
pueden tener los datos en el trayecto, sobretodo cuando se trata de
credenciales de acceso.
Una manera efectiva de prevenir este tipo de problemas es usar SSL para
proteger los contenidos enviados en las peticiones y respuestas en HTTP.
5.3 Registros persistentes
Cuando un usuario permanece en el estado de registrado despus de un
tiempo no razonable (cuando la sesin expir por ejemplo), tenemos un
problema de registros persistentes.
Este tipo de problemas disminuyen la seguridad de nuestro mecanismo de
autenticacin.
Conclusiones
Para que una aplicacin web sea segura es muy importante protegerse contra
las amenazas y darles seguimiento a las entradas y salidas del sistema ya que
si no se les da el debido alcance pueden presentarse varios problemas. Se
deben seguir una serie de prcticas y medidas de seguridad.
Existen diferentes tipos de ataques en las aplicaciones web pueden ir desde un
ataque URL de tipo semntico hasta peticiones HTTP falsificadas, donde el
atacante puede confeccionar a gusto su peticiones HTTP.
Un mal seguimiento puede ocasionar la perdida de informacin confidencial de
los usuarios del sistema.
19
PORTAFOLIO DE EVIDENCIAS
PRACTICAS
Autor
20
PORTAFOLIO DE EVIDENCIAS
PRCTICA 1: INSTALACIN
EQUIPOS VIRTUALES
DEL
PROGRAMA
EMULADOR
DE
Introduccin
Este documento pretende mostrar la manera de instalar un programa emulador
de equipos virtuales llamado virtual box.
Desarrollo
1. Iniciar el instalador de Virtual Box y seguir las instrucciones del
asistente.
21
PORTAFOLIO DE EVIDENCIAS
4. Dar clic en si
22
PORTAFOLIO DE EVIDENCIAS
Conclusiones
El uso de las mquinas virtuales nos permite evitar errores que podran daar
nuestro sistema operativo real.
Antes de instalar un sistema operativo en una mquina virtual debemos hacer
las configuraciones correctas de disco duro y memoria RAM.
Es muy importante que al asignar memoria RAM a una mquina virtual se tome
en cuenta la memoria que se tiene fsicamente disponible en la maquina real.
UNA
23
PORTAFOLIO DE EVIDENCIAS
Introduccin
Este documento pretende mostrar la manera de instalar la distribucin de
Linux conocida como Centos 7.
CentOs es un sistema operativo de clase empresarial basado en la comunidad.
Est disponible de forma gratuita, y como un derivado totalmente de Red Hat
Enterprise Linux representa el primer sistema operativo de la eleccin para las
organizaciones, empresas, profesionales y usuarios domsticos de todo el
mundo que tiene la intencin de ejecutar un servidor.
Desarrollo
1. Como primer paso crear un equipo virtual con 512 Mb de memoria RAM y
un disco duro de 20 GB.
2. Asociar la imagen ISO del sistema operativo Centos 7 con el equipo
virtual del paso anterior
3. Se elegirn las opciones de configurar las particiones manualmente y
Cifrar mis datos.
24
PORTAFOLIO DE EVIDENCIAS
25
PORTAFOLIO DE EVIDENCIAS
26
PORTAFOLIO DE EVIDENCIAS
27
PORTAFOLIO DE EVIDENCIAS
Conclusiones
En est practica me fue necesario instalar dos veces Centos ya que la primera
vez no haba particionado de manera cifrada por lo que aprend que es
importante especificar muy bien cada una de las particiones, verificar que haya
espacio suficiente en ellas y hacerlo de manera cifrada todo esto para una
mejor seguridad.
28
PORTAFOLIO DE EVIDENCIAS
Introduccin
En este documento se pretende dar una explicacin de cmo operar los
comandos de Linux.
Linux es un sitema operativo que usa tres tipos bsicos de cuentas: De tipo
administracin, de tipo regular (usuarios) y de tipo servicio (mail, Apache,
Squid, Samba, etc.). La gestin de los servicios o modificacin de los archivos
de configuracin requiere que el usuario sea el administrador del sistema, as
que, se debe tener cuidado con los cambios que se le hacen al sistema para
evitar perdida de datos o an peor, daar el sistema de tal forma que sea
imposible la recuperacin de este.
La cuenta root se crea automticamente, durante el proceso de instalacin y
permite la administracin del sistema de manera completa. Las cuentas de
usuario son creadas por el administrador del sistema o por el usuario que tiene
permisos de administracin sobre el sistema y no permiten gestionar el
sistema. La cuenta de servicio se usa para especificar un servicio determinado
como: el servicio de correo electrnico, el servicio de servidor Web, el servicio
de servidor proxy, el servicio de comparticin de archivos con el sistema
operativo Windows, etc., para interactuar con el sistema.
Desarrollo
Comando
pwd
Descripcin
Muestra la ubicacin actual. Ejemplo:
clear
more
29
PORTAFOLIO DE EVIDENCIAS
cd
Cambiar de directorio.
md/mkdir
rm
cp
Copia archivos
mv
30
PORTAFOLIO DE EVIDENCIAS
vi
nano
cat
find
history
grep
31
PORTAFOLIO DE EVIDENCIAS
fgrep
tail
who
whereis
32
PORTAFOLIO DE EVIDENCIAS
touch
yum
Instalar paquetes
33
PORTAFOLIO DE EVIDENCIAS
ip addr
ifdown
ifup
34
PORTAFOLIO DE EVIDENCIAS
ps
service
adduser
deluser
ss
35
PORTAFOLIO DE EVIDENCIAS
ping
passwd
36
PORTAFOLIO DE EVIDENCIAS
route
systemctl
systemd
37
PORTAFOLIO DE EVIDENCIAS
Conclusiones
Existen muchos comandos en Linux para administrador y para usuario comn
de los cuales conoca solo algunos pero con esta prctica eh aprendido algunos
ms. Algunos comandos se encuentran obsoletos y otros tiene distintos
nombres que en otras distribuciones de Linux, todo depende de la versin y
distribucin que se este utilizando.
38
PORTAFOLIO DE EVIDENCIAS
Evaluacin Objetiva
1.1.
1.2.
Necesidad de la seguridad.
En la seguridad es necesario que los datos cumplan con trminos de
confidencialidad, integridad y disponibilidad.
1.3.
1.4.
Requisitos funcionales.
Entre los requisitos de la seguridad se encuentran proteger los datos
del usuario, control de acceso y las autodefensas.
1.5.
Principios de seguridad.
Controlar los errores, la integridad, la confidencialidad y la
disponibilidad son los principios de ms importancia en la seguridad
de Aplicaciones Web
1.6.
Activos.
Los activos son todos los recursos de hardware y software con los que
cuenta una empresa por ejemplo: servidores, bases de datos, router,
etc.
1.7.
Administracin de riesgos.
Algunos de los pasos que consider ms importantes para la
administracin de riesgos son: la identificacin de los riesgos, el
desarrollo de las soluciones de seguridad y la estabilizacin e
implementacin de contramedidas nuevas o cambiadas
Mundo Real
Qu compaas ofrecen servicios de seguridad en relacin a las
aplicaciones Web de las compaas actuales?
Softtek: ofrece un servicio maduro y probado que apoya a las empresas
a alinear sus esfuerzos de proteccin de datos y seguridad de
aplicaciones con las estrategias de gestin de riesgo empresarial .
(http://www.softtek.com/es/outsourcing/servicios-seguridad-aplicaciones)
39
PORTAFOLIO DE EVIDENCIAS
acompandolos para que sus inversiones agreguen verdadero valor al
negocio.
(http://www.tsoftlatam.com/noticias/asegurando-aplicaciones-web/).
40
PORTAFOLIO DE EVIDENCIAS
41