Академический Документы
Профессиональный Документы
Культура Документы
Isabel Gomez
Isabelg@microsoft.com
Miguel Jimenez
miguel@ilitia.com
http://blogs.clearscreen.com/migs
Defensa Contra Ataques
Red
Firewall
Firewall
Servidor
Router Servidor de Servidor
Firewall
Switch
Web Aplicacion de BD
es
Servidor
Puertos
Cuentas
Parches Registro
Ficheros y
Servicios Auditoría y
Directorios
Protocolos Logging
Shares
Securizar la Aplicación
Validación de Datos de Entrada
Autentificación
Autorización
Gestión de Configuración
Datos Sensibles
Gestión de Sesiones
Criptografía
Manipulación de Parámetros
Gestión de Excepciones
Auditoría y Logging
Securizar la Aplicación
Validación de Datos de Entrada
Ataques posibles:
Desbordamiento de buffer
Inyección de código
Inyección SQL
Cross-Site Scripting (xss)
Entrada de datos:
Cookies, cabeceras, campos html, controles
Viewstate,QueryString
Servicios Web/Remoting/DCOM
Datos de base de datos, ficheros o fuentes remotas
Siempre dudar de su contenido!!
Validación de datos en servidor
Validación de la entrada
Buffer overruns
// ...
Validación de la entrada
Inyección SQL
Los
Los malos
Losmalísimos
@*^# VINET’
VINET’;exec
VINET’;
OR DROP
1=1xp_cmdshell
--TABLE ORDERS
‘format
-- C:
SELECT
SELECT
* FROM
* FROM
Orders
Orders
WHERE
WHERE CustomerID=
CustomerID=‘VINET‘OR
CustomerID=‘VINET‘;
‘VINET‘;exec xp_cmdshell
DROP
1=1 --’
TABLE
‘format
ORDERS
C:’--’
Validación de la entrada
Inyección SQL
Utilizar comandos parametrizables
string sqlString="SELECT * FROM Orders
WHERE CustomerID=@custID";
Al menos minimizarlo
Validar entrada en servidor
Usar cuentas SQL restringidas
No volcar mensajes de error
Inyección SQL
Validación de la entrada
Cross-site scripting
¿Que es XSS?
Un agujero de seguridad que permite al hacker
ejecutar código script en un cliente web
Dos entradas principales
Contempladas (foros, emails, librerías…)
Ocultas (querystring, campos HTML…)
Efectos habituales
Modificación del contenido
Envío de información
Robo de sesión
Validación de la entrada
Anatomía de una ataque XSS
Hacker Victima
1. Envia correo al
usuario con link a
un sitio inocente 2. El usuario
visita el
sitio web
3. En el contexto del
usuario, el sitio envia
datos a traves de un Sitio Web
post malformado
Validación de la entrada
Tipos de Cross-site scripting
Tipo 0 – Local ó DOM-based
Un script local accede a parametros request de la URL y
los utiliza para construir código script.
SHA1CryptoServiceProvider.ComputeHash
Hash
Autenticación falseable
Modificación de ticket