PRESENTACIÓN CIBER
CIBER
Created on April 27, 2024
More creations to inspire you
WOLF ACADEMY
Presentation
EXPLLORING SPACE
Presentation
UNCOVERING REALITY
Presentation
SPRING HAS SPRUNG!
Presentation
THE OCEAN'S DEPTHS
Presentation
2021 TRENDING COLORS
Presentation
POLITICAL POLARIZATION
Presentation
Transcript
Profesor: Ing. Johel Solano Quiros
Seguridad de Aplicaciones Web
By: Minor Mena Viquez Melany Cespedes Carvajal & Jean Carlo Lobo Aguilar
Los desafíos son constantes, ya que los cibercriminales no cesan de desarrollar nuevas técnicas para explotar vulnerabilidades. Ataques como inyecciones SQL, scripts entre sitios, denegación de servicio y fuerza bruta son algunas de las amenazas a las que se enfrentan las aplicaciones web. Mantener la seguridad es una tarea cada vez más compleja debido a la rápida evolución tecnológica y la sofisticación creciente de los ataques cibernéticos.
¿Qué es la seguridad en aplicaciones web y cuales son sus desafios?
La seguridad en aplicaciones web es una prioridad crucial en el entorno digital actual. Estas aplicaciones gestionan grandes volúmenes de datos delicados, por lo que su protección es ese ncial para evitar brechas de seguridad, robos de información y daños a la reputación empresarial
Los errores siempre aparecen en el peor momento. Cuando se descubre una falla de seguridad en una aplicación web, suele ser cuando más usuarios la están utilizando.Las vulnerabilidades de seguridad son difíciles de encontrar, pero fáciles de aprovechar. Los desarrolladores de aplicaciones web invierten mucho tiempo y esfuerzo en crear aplicaciones seguras. Sin embargo, es muy fácil pasar por alto pequeñas vulnerabilidades que los atacantes pueden aprovechar fácilmente.Los atacantes siempre buscan nuevas formas de explotar las vulnerabilidades. Los atacantes son muy creativos y constantemente buscan nuevas maneras de aprovechar las fallas de seguridad en las aplicaciones web.
Ley de Murphy aplicada a la SeguridadConcepto de la ley de Murphy
También conocida como Leyes de Murphy, es un principio que dice que "si algo puede salir mal, saldrá mal".
Relación entre la Ley de Murphy y la seguridad de aplicaciones web
Ingeniería Social: Atacantes engañan a usuarios para que revelen contraseñas o hagan clic en enlaces maliciosos, aprovechando la psicología humana.
Ataques Avanzados y Difíciles de Prevenir Vulnerabilidades "Zero-Day": Atacantes encuentran fallas desconocidas en software popular, que no tienen parche, para atacar a muchos usuarios.
Configuraciones Erróneas: Fallos poco comunes en la configuración del servidor web dan acceso a información confidencial
Fallos Sutiles, Grandes Consecuencias Validación de Entrada Débil: Desarrolladores que olvidan revisar bien los formularios web, permitiendo inyección de código malicioso.
Sistemas Desactualizados: Organizaciones que no actualizan software a tiempo dejan expuestas vulnerabilidades que los atacantes aprovechan.
Ejemplos de cómo se aplica la Ley de Murphy en incidentes de seguridad web
Problemas CríticosVulnerabilidades al Lanzamiento: Cuando se lanzan aplicaciones web con fallos de seguridad, justo cuando tienen mayor uso, se amplifica el impacto.
- Advertir a los desarrolladores:
- Peligros en Internet.
- Errores comunes al diseñar y crear software y hardware.
- Ofrecer herramientas gratuitas:
- Analizar la seguridad de software y dispositivos.
Origen y objetivos de OWASP
Definición de OWASP
OWASP, que significa Open Web Application Security Project, un proyecto de código abierto que se convirtió en una fundación sin fines de lucro, fundado en 2001 y convertido en fundación en 2004.
OWASP Juice Shop
Aplicación web insegura para entrenamiento de pruebas de seguridad.
OWASP AppSensor
Marco para detectar y responder a ataques en aplicaciones web.
OWASP WebGoat
Aplicación web insegura para practicar la detección de vulnerabilidades.
OWASP ZAP
Herramienta gratuita para encontrar vulnerabilidades en aplicaciones web.
OWASP Top 10
Lista de las 10 vulnerabilidades web más importantes.
Principales proyectos y recursos ofrecidos por OWASP
Comunidad global
De profesionales y entusiastas de la seguridad que comparten conocimientos, experiencias y soluciones
Herramientas y recursos
Ofrece recursos de código abierto para ayudar a los desarrolladores a detectar y mitigar vulnerabilidades en sus aplicaciones
Mejores prácticas y pautas de seguridad
Promueve una serie de mejores prácticas y pautas para el desarrollo seguro de aplicaciones.
Impacto de OWASP en la seguridad de las aplicaciones web
Concientización sobre las amenazas
Educa a desarrolladores, profesionales de la seguridad y otros interesados sobre la importancia de la seguridad de las aplicaciones.
Iniciativas destacadas de OWASP incluyen el informe OWASP Top 10, que enumera los principales riesgos para las aplicaciones web, y el desarrollo de herramientas y proyectos de código abierto utilizados a nivel global.
OWASP proporciona recursos educativos, informes de investigación, proyectos de código abierto y eventos, fomentando el intercambio de conocimientos en ciberseguridad.
Elabora recomendaciones para el desarrollo seguro de aplicaciones web, abordando problemas comunes como inyecciones SQL o ataques de cross-site scripting
OWASP ofrece escáneres de vulnerabilidades, proxies web y otras herramientas de análisis ampliamente utilizadas en la industria de ciberseguridad
OWASP es una organización clave en la mejora de la seguridad de las aplicaciones web. Proporciona una amplia gama de recursos y herramientas para ayudar a empresas, desarrolladores y expertos en seguridad a identificar y mitigar vulnerabilidades. Entre sus principales funciones se encuentran:
Usos de OWASP
Herramientas de prueba y evaluación:
Directrices y mejores prácticas:
Contribución a la comunidad:
Hackers de Sombrero Blanco Descubren vulnerabilidades para reportarlas a desarrolladores y mejorar la seguridad. Se consideran aliados de la seguridad informática.Hackers de Sombrero GrisOperan en una zona gris, pueden usar sus habilidades para fines buenos o malos.A veces reportanvulnerabilidades, otras veces las explotan para beneficio personal.Hackers de Sombrero Negro Se asocian con actividades maliciosas como robo de datos, malware y ataques DDoS.Ingresan a sistemas con intenciones dañinas. HacktivistasUsan habilidades informáticas para promover causas sociales o políticas.Pueden hackear sitios web gubernamentales o corporativos. Hackers Script KiddiesPrincipiantes que usan herramientas preexistentes para ataques.Carecen de conocimientos técnicos y pueden causar daños involuntarios.
Perfil
Formas de Pensar de un Hacker
Motivaciones
Formas de Pensar de un Hacker
Búsqueda de EmocionesAlgunos hackers les atrae el desafío y la adrenalina de irrumpir en sistemas.Disfrutan de superar obstáculos y poner a prueba sus habilidades.Ganancia FinancieraOtros buscan beneficios económicos robando información confidencial.Pueden vender datos en el mercado negro o extorsionar a víctimas.Fama y ReconocimientoAlgunos quieren reconocimiento dentro de la comunidad hacker.Pueden publicar sus hazañas en foros o participar en concursos.Ideología o ActivismoLos hacktivistas están motivados por creencias políticas o sociales.Quieren usar habilidades informáticas para crear conciencia o causar cambio.Curiosidad y AprendizajeAlgunos sienten curiosidad por cómo funcionan los sistemas.La piratería puede ser una forma de explorar y experimentar con tecnología.
Escaneo y EnumeraciónIdentificar puertos abiertos, determinar servicios y buscar vulnerabilidades.Análisis de RedesCapturar tráfico, examinar protocolos y mapear interconexiones.Ingeniería SocialEnviar mensajes engañosos, dirigidos o crear historias falsas.Ataques de Fuerza BrutaProbar contraseñas comunes, todas las combinaciones o credenciales robadas.Explotación de Vulnerabilidades En software, hardware y configuraciones incorrectas.
Técnicas comunes utilizadas por los hackers en la identi-ficación de vulnerabilidades
Inyección SQL en Heartland (2008)Robo de datos de 130 millones de tarjetas de crédito.Uno de los mayores y más costosos ataques de violación de datos.XSS en Twitter (2013)Permitió a atacantes controlar cuentas de usuarios.Demostró la gravedad de vulnerabilidades XSS.Ataque DDoS a GitHub (2018)Interrumpió el sitio web durante horas.Evidenció la necesidad de seguridad contra ataques DDoS.Cadena de Suministro en SolarWinds (2020)Malware insertado en software de la empresa.Uno de los ataques más sofisticados y de gran alcance.Ransomware a Colonial Pipeline (2021)Cifró sistemas, interrumpiendo infraestructura crítica.Mostró el impacto de ataques de ransomware.
Casos de estudio de ataques exitosos a aplicaciones web
- Explotación de vulnerabilidades conocidas: Los atacantes aprovechan fallos conocidos para robar datos o tomar el control de la aplicación.
- Ganancias financieras: Robo de información de tarjetas de crédito, secuestro de cuentas o fraude en línea.
Objetivos de los ataques a aplicaciones web
Por qué se Atacan las Aplicaciones Web
- Obtención de información confidencial: Información como contraseñas y tarjetas de crédito.
- Toma de control: Ataques para modificar o eliminar datos, realizar transacciones no autorizadas o tomar el control del servidor.
- Interrupción del servicio: Ataques para hacer que la aplicación no esté disponible para los usuarios.
Reputacional:
- Pérdida de confianza de clientes, socios y el público.
- Daño a la imagen y reputación de la marca.
- Afectación a las relaciones comerciales y retención de clientes.
Económico:
- Pérdidas financieras directas (robo, restauración, costos legales).
- Pérdida de ingresos por interrupciones del servicio.
- Daño a la productividad.
Impacto económico y reputacional de los ataques
- Explotación de vulnerabilidades emergentes: Los atacantes buscan explotar vulnerabilidades en aplicaciones de contenedores, tecnologías de servidor sin servidor, inteligencia artificial y aprendizaje automático
- Enfoque en la cadena de suministro de software: Los atacantes buscan comprometer componentes y dependencias de terceros utilizados en aplicaciones web.
- Aumento de ataques automatizados: Por parte de los atacantes para escanear y explotar vulnerabilidades en aplicaciones web a gran escala.
- Enfoque en APIs y servicios web: Los atacantes han dirigido su atención a las API y servicios web, buscando vulnerabilidades.
- Ataques de inyección avanzados: Los ataques de inyección (SQL, comandos) siguen siendo un peligro importante. Los atacantes utilizan técnicas avanzadas para evadir las defensas tradicionales.