Académique Documents
Professionnel Documents
Culture Documents
VULNERABILIDES EN
APLICACIONES WEB
AMENAZAS Y ATAQUES
ESTÁNDARES DE
SEGURIDAD
SEGURIDAD ONLINE:
ANÁLISIS Y TEST DE SEGRUIDAD
DE LAS APLICACIONES WEB
CONTROL DE ACCESO: PROTECCIÓN
AUTENTICACIÓN MONITORIZACIÓN
GESTIÓN DE SESIONES ANÁLISIS ESTÁTICO
AUDITORÍA
ANÁLISIS DINÁMICO
AUTORIZACIÓN BACKUPS-RECUPERACIÓN
ANÁLISIS HÍBRIDO
RESPUESTA ANTE INCIDENTES
GESTIÓN DE SESIONES
AUTORIZACIÓN
Autenticación Gestión de
Autorización
sesiones
nc: nonce-count - the count of requests sent by the client. It must be present if qop is
present. The nonce-count avoid reply-attacks
nonce: server string generated each time a 401 response se incluye en el cifrado con el
usuario/contraseña
stale: Bandera establecida cuando el servidor solicita un nuevo valor NONCE, por haber
caducado
The nonce value and the opaque value are sent in hexadecimal notation.
If the qop directive's value is "auth" or "auth-int", then compute the response
is
Server response
HTTP/1.0 200 OK
Server: HTTPd/0.9
Date: Sun, 10 Apr 2005 20:27:03 GMT
Content-Type: text/html
Content-Length: 7984
16
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Autenticación: digest reflexiones de seguridad
http://tools.ietf.org/html/rfc2617#section-4
MITM HTTP-PROXY
Replay attacks
Transparente al usuario
Dominios: INTRANET,s
No es común en INTERNET
20a
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Autenticación:directorio activo
(Windows active directory,Linuxopenldap)
NTLMv2
MITM
22
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Autenticación:SSO OAuth2
22b
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Autenticación: SSO OAuth2
Todo el intercambio de token con el servidor de autorización debe hacerse bajo el protocolo de
comunicaciones TLS.
El ámbito o acceso del token de acceso debe ser lo más limitado posible.
La generación de los tokens por parte del servidor de autorización debe garantizar que no puedan ser
generados, modificados o adivinados por terceras partes.
El tiempo de validez de los tokens o códigos de acceso debe ser de corto y de un solo uso.
Los clientes que se autentiquen con el servidor de autorización deben validar el certificado TLS del servidor,
comprobando la identidad del mismo y evitando posibles ataques MITM que pueda sufrir el protocolo o de
Phishing que intenten suplantar la identidad del centro de autorización para obtener las credenciales del
usuario.
El servidor de autorización debe comprobar que las URIs de redireccionamiento usadas tanto al conseguir el
código de autorización como de acceso deben coincidir y validarse
22c
Seguridad de aplicaciones online y BD- Juan Ramón Bermejo Higuera
Autenticación: SSL (https)
Reneg SSL/TLS iniciada por cliente = DoS Las conexiones SSL/TLS con
reneg requieren de 10-35x más de rendimiento en el servidor Solución: Reverse
ssl (carga en cliente) http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html#putting-more-work-
on-the-client-side - https://eprint.iacr.org/2006/212.pdf
Mitigation techniques
Disabling SSL renegotiation
Rate limiting SSL handshakes
Increasing server-side power processing
Putting more work on the client side
SALT: Pieza de información que se añade a la entrada una función hash para combinarla con la
password y añadir dificultad de ataques contra el almacenamiento de hashes. Se suele almacenar como
prefijo o sufijo a la password. Debido a que la longitud de SALT es conocida, no existe problema en la
verificación de la password suministrada por el usuario.
Pueden ser ataques online / offline (si se tiene acceso al almacen de contraseñas)
Fuerza Bruta*
Diccionario
Replay
MITM
SQLI BD usuarios/contraseñas
http://www.hoobie.net/brutus/
http://freeworld.thc.org/thc-hydra/