Auditoria en aplicaciones web

Seguridad en el Desarrollo de Software

Metodología para la auditoría de seguridad de aplicaciones web.

Universidad Pontificia de Salamanca

Máster en Ingeniería del Software curso 2011/12

¿Quién Soy?

Juan Carlos Pé[email protected]/perezpardojc

www.linkedin.com/in/jcperezdoteu

mailto:[email protected]

http://www.twitter.com/nubeblog

http://www.twitter.com/nubeblog

http://www.linkedin.com/in/jcperezdoteu

32012, Juan Carlos Pérez , Universidad Pontificia de Salamanca en Madrid

Introducción y la Propuesta. Introducción a las aplicaciones web y la seguridad. Amenazas y vulnerabilidades. Medidas de seguridad y buenas prácticas. Características principales de las aplicaciones web. Metodología. Caso de estudio.

Agenda.


Introducción y la Propuesta.

Se propone un estudio científico que tenga como objetivo identificar las características y funcionalidades más comunes presentes en aplicaciones web y determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas.

Elaborar una metodología para la auditoría de seguridad en las aplicaciones web, que permita identificar las características y funcionalidades que posee una determinada aplicación web, para verificar la existencia o no, de amenazas y vulnerabilidades, y así poder corregirlas. Luego aplicar la metodología en diferentes aplicaciones web, con el fin de identificar sus vulnerabilidades y amenazas e implementar las medidas de seguridad correctivas correspondientes.



Propuesta (I).

Identificar las características y funcionalidades más comunes presentes en aplicaciones web.

Determinar a cuales vulnerabilidades y amenazas de seguridad están expuestas

Determinar las medidas de seguridad y controles respectivos

Elaborar una metodología para la auditoría de seguridad en las aplicaciones web

Aplicar la metodología en diferentes aplicaciones web

Implementar medidas de seguridad en las aplicaciones web estudiadas



Propuesta (II).

Identificar características principales de las aplicaciones web

Determinar vulnerabilidades yamenazas de las características

de las aplicaciones web

Elaborar una metodología parala auditoría de seguridad en

aplicaciones web

Aplicar la metodología para identificar vulnerabilidades y

amenazas en aplicaciones web

Recomendar medidas ycontroles de seguridad en las

aplicaciones web



Alcance.• Gran número de vulnerabilidades,

amenazas y características.

• …está en constante aumento.• Se consideran las más importantes y

comunes.• Todos los aspectos de las aplicaciones

web…• Los conceptos y principios

comprendidos son generales.



8

Introducción a las aplicaciones web y la seguridad

Capas de una aplicación web desde el punto de vista de la seguridad

Capas de una aplicación web:



9

Amenazas y Vulnerabilidades



10


Capa Física: Deficiente control de acceso a la sala de

servidores

Catástrofes naturales, accidentes y Fallas

Capa de Red: Deficiente protección de los datos en el

tránsito

Acceso a recursos sensibles



11


Capa de SO y Servicios:Deficiente definición de permisos

(acceso archivos y ejecución)Utilizar versiones viejas e inseguras de

los servicios

Capa de Aplicación:Ataques de fuerza brutaInyección de Código SQLCross Site Scripting



12

Medidas de seguridad y buenas prácticas



13


Capa de Red:Configurar una DMZConfigurar una VPN

Capa Física:Controles de acceso a la sala de

servidoresSistemas de detección y control humedad, temperatura, humo, extintores, etc.



14


Uso de Cortafuegos para crear una DMZSeguridad en el Desarrollo de Software


15


Capa de SO y Servicios:Estricta definición de permisosAntivirusChequeo de integridad de binarios

Capa de Aplicación:Filtrar la entrada de datos (Filter Input)Escapado de salida (escape output)Uso de herramientas para distinguir

autómatas de humanos (CAPTCHA)



16


Uso de captcha para prevenir automatización



17

Características principales de las aplicaciones web



18


Capa Física:Hardware propio de la empresaHardware arrendado a terceros

(hosting)

Capa Red:Equipos de acceso público a través de

la redEquipos de acceso privado



19


Capa Sistema Operativo y Servicios:Sistema OperativoServidores de Bases de datos

Capa Aplicación:Inicio de sesión de usuario vía

formulario HTMLRecuperación de contraseñaAdministradores remotosRegistro de usuarios en línea



20

Metodología para la auditoría de seguridad en aplicaciones web

Basada en las principales características de las aplicaciones web

Metodología

ME

TO

DO

LO

GÍA



21

Metodología

Objetivo principal

Capa FísicaCaracterística 1Característica 2Capa RedCaracterística …Característica …Capa SO y ServiciosCaracterística …Característica …Capa AplicaciónCaracterística n-1Característica n

Verificación y Comprobación



22

Metodología

Confidencialidad

GRUPO AUDITOR



23

Herramientas y conocimientos

necesarios: Conocimientos en el área de aplicaciones

web Un mínimo de comprensión de los tópicos en

cada capa Uso de herramientas y técnicas modelación: ej.

Diagramas UML, DFD, Entidad Relación

Herramientas de software: Sniffers, Escáneres de Vulnerabilidades Herramientas propias

No se es específico a la inclusión o uso de alguna herramienta

Metodología



24

Aspectos fundamentales Si la aplicación web no es segura, entonces toda la

información sensible esta en grave peligro. Los sitios web y sus aplicaciones web relacionadas

deben estar disponibles 24 x 7 para proveer un buen servicio a sus clientes, empleados y proveedores.

Los Cortafuegos y SSL no proveen protección contra vulnerabilidades o amenazas de aplicaciones.

Los hackers prefieren tener acceso a data sensible ya que pueden vender esta información por grandes sumas de dinero.

Ocultar objetos no garantiza su seguridad.

Metodología



25

Etapas de la metodología

Planificación Ejecución de la auditoría Comunicación de resultados Seguimiento

Metodología



26

Planificación: Objetivos y Alcance

Metodología

TODO

PARTE



27

Ejecución de la auditoría: Levantamiento y Verificación

Enfoque: Verificar presencia de Vulnerabilidades Comprobar existencia o no, y deficiencia de

Controles AMBOS

Metodología



28

Ejecución de la auditoría: Levantamiento y Verificación

Metodología

?



29

Metodología

13.1. Inicio de Sesión de Usuario.Verificar existencia o no de vulnerabilidades en cuanto a:

13.1.1. Ataques de Fuerza bruta13.1.2. Abuso de funcionalidad13.1.3. Revelación de información13.1.4. Inyección de código o comandosVerificar existencia o no y deficiencia en cuanto a políticas y controles de:13.1.8. Captcha13.1.9. Filtrado de entrada13.1.10. Escapado de salida13.1.11. Conexiones seguras13.1.12. Manejo de sesión apropiado13.1.13. Enmascarado de información sensible

Fragmento: ETAPA 2 – Verificación de capa aplicación



30

Seguimiento: verificación

Metodología



31

CONCLUSIONES



32

Conclusiones

Si un aspecto tiene fallas, toda la aplicación esta en riesgo

Una metodología general Se requiere total colaboración por

parte de los diferentes equipos de trabajo

Dificultades para aplicar la metodología Es un trabajo minucioso y consume

gran cantidad de tiempo El grupo auditor requiere ser

multidisciplinario Importancia de las políticas sobre las

prácticas El trabajo de auditoría es un proceso

continuo Seguridad en las personas



33

Consideraciones

Es una metodología no comercialEs muy poca o inexistente la

información sobre las características comunes de las aplicaciones web

No siempre es posible constatar la información sobre la arquitectura física y de red

Limitaciones al aplicar la metodología asociadas al conocimiento y dominio en cada una de las áreas que comprende la misma

Entender el código de otras personasSe debe aplicar periódicamente



34

Aportes del Trabajo

Definición de un esquema por capas desde el punto de vista de la seguridad para las aplicaciones web

Recopilación de vulnerabilidades y amenazas en las aplicaciones web.

Recopilación de medidas de seguridad en las aplicaciones web.

Definición y clasificación de las principales características en las aplicaciones web y sus implicaciones de seguridad

Metodología para la auditoría de seguridad de Aplicaciones Web



35

Trabajos a Futuro

Extender y ampliar el conjunto de características comunes en las aplicaciones web

Recopilar las nuevas vulnerabilidades y amenazas en las aplicaciones web

Recopilar las nuevas medidas de seguridad en las aplicaciones web

Realizar adaptaciones para arquitecturas y lenguajes específicos de la metodología para la auditoría de seguridad de Aplicaciones Web



36

¿PREGUNTAS?



Metodología para la auditoría de seguridad de aplicaciones web.

Gracias!



Auditoria en aplicaciones web

Technology

Transcript of Auditoria en aplicaciones web