Академический Документы
Профессиональный Документы
Культура Документы
Autor
ndice
Temario:.............................................................................................................. 3
Evaluacin........................................................................................................... 4
Unidad 2.............................................................................................................. 5
Anlisis de informacin:...................................................................................... 5
Campo Laboral:................................................................................................... 8
Mapa conceptual:.............................................................................................. 10
Prctica 1:......................................................................................................... 11
Prctica 2:......................................................................................................... 13
Prctica 3:......................................................................................................... 23
Prctica 4:......................................................................................................... 26
Referencias:...................................................................................................... 30
Temario:
Unidad Temas
1
Subtemas
Introduccin a la seguridad de
aplicaciones Web.
1.1.
Validacin de entradas.
Mecanismos de autentificacin
y proteccin
Encriptacin.
Seguridad en el servidor de
aplicaciones.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
4.1.
4.2.
Qu es la seguridad en aplicaciones
informticas?
Necesidad de la seguridad.
Entorno y objetivos de la seguridad.
Requisitos funcionales.
Principios de seguridad.
Activos.
Administracin de riesgos.
Evaluacin
Excelente (100-95); Notable (94-85); Bueno (84-75); Suficiente (74-65) e
Insuficiente (64-55)
Aspectos de la
Evaluacin
Formativo.
Sumativo.
Diagnstico (Al
principio del curso,
slo una vez).
A. Se adapta a
situaciones y
contextos
complejos.
B. Hace
aportaciones a las
actividades
acadmicas
desarrolladas.
C. Propone y/o
explica soluciones
o procedimientos
no vistos en clase
(creatividad).
D. Introduce
recursos y
experiencias que
promueven un
pensamiento
crtico.
E. Incorpora
conocimientos y
actividades
Interdisciplinarias.
F. Realiza su
trabajo de manera
autnoma y
autorregulada.
Valoraci
n de los
aspectos
Sumativo
100%.
Criterios de la evaluacin
(Formativo, Diagnstico y
Sumativo)
Sumativo.
Investigacin de informacin
(A):
Campo Laboral.
Pertinencia 3%
Ortografa 1%
Y Estructura 1%
Pertinencia. 6%
Ortografa. 2%
Y Estructura. 2%
Pertinencia 2%
Estructura 2%.
Y Ortografa 1%
Proyecto (F)
Pertinencia 5%.
Funcin 10%.
Evidencia. (5%)
Instrumentos de Aprendizaje
Reporte de la investigacin.
Reporte de la Gua tcnica.
Mapa conceptual.
Reporte del proyecto
Plataforma en lnea.
Nota: Con una falta de ortografa se resta 50% al porcentaje correspondiente, con la
omisin de un tema, con la omisin de un reporte y con informacin fuera de contexto de
estudio. Los criterios anteriores se evalan por tema de estudio.
Unidad 2
Competencias a desarrollar: Identificar oportunidades relacionadas a los
aspectos de seguridad en aplicaciones web. Implementar tcnicas confiables para
evitar mtodos de inyeccin
Anlisis de informacin:
2.2 LDAP Injection: LDAP Injection: Las tcnicas de inyeccin de comandos LDAP
en aplicaciones web se basan en los mismos principios que las tcnicas de SQL
Injection. En una aplicacin web el programador, en un determinado punto recoge
datos enviados por el usuario que van a ser utilizados para generar una consulta
LDAP. En un entorno vulnerable el programador no realiza el filtrado de los
parmetros y el atacante aprovecha este fallo de seguridad para poder inyectar
cdigo y cambiar el resultado que se obtiene con el filtro.
inmediatamente por scripts del lado del servidor para generar la pgina de
resultados. Si datos no validados provistos por el cliente son incluidos en la pgina
de resultados sin una codificacin apropiada, es posible insertar cdigo desde el
lado del cliente. Basta con un poco de ingeniera social para llevar a un usuario
desprevenido a seguir un link malicioso que inserte este cdigo en la pgina de
resultados, obtenindose acceso total a su contenido.
Tipo 3 XSS persistente
Este tipo incluye los ataques ms poderosos. La vulnerabilidad existe cuando los
datos provistos por el cliente a la aplicacin es almacenada persistentemente en el
servidor, y accesible a varios usuarios del sitio sin codificacin de entidades HTML
por ejemplo message boards. El atacante puede insertar un script una nica vez,
y con esto le basta para alcanzar a un gran nmero de usuarios, sin requerir
mucho esfuerzo de ingeniera social. Los mtodos de insercin son variados y no
es necesario utilizar la aplicacin misma para explotar la vulnerabilidad.
2.4 XSS, del ingls Cross-site scripting es un tipo de inseguridad informtica o
agujero de seguridad tpico de las aplicaciones Web, que permite a una tercera
persona inyectar en pginas web visitadas por el usuario cdigo JavaScript o en
otro lenguaje similar (ej: VBScript), evitando medidas de control como la Poltica
del mismo origen. Este tipo de vulnerabilidad se conoce en espaol con el nombre
de Secuencias de rdenes en sitios cruzados.
Es posible encontrar una vulnerabilidad XSSSO en aplicaciones que tengan entre
sus funciones presentar la informacin en un navegador web u otro contenedor de
pginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya
que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador
en s.
como
XSS,
Cache-Poisoning,
Cache-based
Campo Laboral:
2.- En dnde?
C. Santander, 101. Edificio A. 2
E-08030 Barcelona (Spain)
3.- En Internet por medio del correo electrnico, de las redes sociales o del acceso
al sitio Web de una compaa que se dedica al establecimiento o regulacin de la
seguridad informtica en las empresas.
http://www.tgnsystems.com/sistemas/seguridad-informatica/
TGN Systems pone a su disposicin una amplia gama de servicios especializados
en materia de seguridad informtica, con la finalidad de garantizar y adaptarse a
cualquier tipo de cliente final. En nuestras soluciones de seguridad utilizamos
productos de ltima generacin de de distintas categoras: cortafuegos (firewalls),
cortafuegos de aplicaciones, prevencin de intrusiones IPS, proteccin antivirus,
antispyware, antimalware, seguridad de correo electrnico y anti spam, controles
Mapa conceptual:
Prctica 1:
Introduccin: En la prctica, se realizar la instalacin de la tecnologa LAMP en
un equipo virtual con el sistema operativo CentOs7.
5 Fin.
Desarrollo:
Prctica 2:
Introduccin: En esta prctica, se realizar la instalacin y configuracin del
servicio dhcp, adems se realizara un ejemplo de ataque SQL Inyection.
Desarrollo:
1
Verificar desde los clientes que el servicio php est instalado y se est
ejecutando:
Verificar desde los clientes que el servicio mySQL se est ejecutando por
medio de un script:
Crear la base de datos usuario, con las tablas: id_usuario int, nombre
varchar(50), clave varchar(10), datos varchar(60), correo varchar(40) e
insertar 3 ejemplos:
Fin.
conexin entre los equipos, pero el servidor dhcp no asignaba las direcciones ip a
los equipos, solamente las asign cuando realizamos la prueba conectados en la
red Servidores.
Prctica 3:
Introduccin: En la prctica se realizar un ejemplo ms de SQL Injection
Desarrollo:
1
Iniciar y autentificarse como usuario administrador en el servidor con el
sistema operativo CentOs7 con la tecnologa L.A.M.P previamente
instalada.
2
Conectar al servidor desde los dems equipos con el software putty y crear
los archivos baja.html y baja.php
Armando: baja.html
Ana: baja.php
Fin.
Conclusin:
Al agregar la secuencia codificada ' OR '1'='1 se elimin toda la informacin de la
base de datos, es importante verificar la seguridad de las aplicaciones que
desarrollamos para prevenir este tipo de ataques que podran traer como
consecuencia la prdida de informacin importante.
Prctica 4:
Introduccin: Se realizar la instalacin y configuracin del servidor LDAP.
Desarrollo:
1
Iniciar y autentificarse como usuario administrador en el servidor con el
sistema operativo CentOs7, instalar el servidor LDAP
10
11
12
13
Fin.
Referencias:
https://prezi.com/vrbi3pe9jtgj/tipos-de-ataques-informaticos/
https://es.wikipedia.org/wiki/Cross-site_scripting
https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1
https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=2
https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=3