Unidad 2 Seguridad en Aplicaciones Web

Tecnológico Nacional de México Instituto Tecnológico de Zacatecas

Portafolio de evidencias para la Materia: Seguridad de aplicaciones Web.

utor 

 Alan de la la Rosa Cabrera Cabrera Número de control: 1245075

Índice  Temario:.....  Temario:........................ ....................................... ........................................ ........................................ .................................... .......................... .......... 3 Evaluación....................... Evaluación........................................... ........................................ ....................................... ....................................... ......................... ..... 4 Unidad 2................................... 2....................................................... ....................................... ....................................... .................................... ................5 5 Análisis de información:............. información:................................. ........................................ ..................................................... ................................. 5 Campo Laoral:........................ Laoral:............................................ ........................................ ........................................ ................................... ............... ! "apa concep#ual:....................... concep#ual:........................................... ........................................ ....................................... ............................... ............ $% &rác#ica $:.................................. $:...................................................... ........................................ ................................................... ............................... $$ &rác#ica 2:.................................. 2:...................................................... ........................................ ................................................... ............................... $3 &rác#ica 3:.................................. 3:...................................................... ........................................ ................................................... ............................... 23 &rác#ica 4:.................................. 4:...................................................... ........................................ ................................................... ............................... 2' (eferencias:......................................................................................................3%

Te!ario: "nidad Te!as 1

Introducción a la seguridad de aplicaciones eb!

Subte!as 1!1! 1!1! 1!2! 1!2! 1!(! 1!(! 1!4! !4! 1!5! !5! 1!/! 1!7! 1!7!

"#u$ "#u$ es la segu seguri rida dad d en en apl aplic icac acio ione nes s in%orm&ticas' Nece Necesi sida dad d de la segu seguri rida dad! d! )nto )ntorn rno o * ob+e ob+eti ti,o ,os s de de la la seg segur urid idad ad!! Re-u e-uisi isitos tos %un %uncion ionales! les! .rin rincip cipios ios de de se segurid ridad! Acti,os! Admi Admini nist stra raci ción ón de ries riesgo gos! s!

2

alidación de entradas!

2!1! # In+ection! 2!2! 3A. In+ection! 2!(! .A6 .A6 In+ection! In+ect ion! 2!4! Crossitecripting! Crossitecripting! 2!5! 8tros ata-ues in*ección

(

9ecanismos de autenti%icación * protección

(!1! 9$todos de almacenamiento de credenciales! (!2! Comple+idad de las contraseas! (!(! 9$todos de autenti%icación! (!4! ;so de CA.C6A! (!5! 9ane+o de sesiones! (!/! Autori e>ió ión n de de ?3! ?3!

5!1 6ardening de er,idores 5!1!1 Aseguramiento de recursos cr@ticos con patcBes! 5!2 6ardening de istemas en er,idores! 5!2!1 Aseguramiento de recursos cr@ticos en sistemas! 5!2!2 5!2!2 Reducció Reducción n de riesgos riesgos asociad asociados os con %raudes %raudes * errores Bumanos!

#valuación #xcelente $%&&'()*+ Notable $(,'-)*+ ueno $-,'/)*+ Suficiente $/,'0)* e Insuficiente $0,'))* spectos de la Evaluación

•

•

•

•

•

Valoració n de los aspectos

*uma#ivo )orma#ivo. $%%;. *uma#ivo. +ia,nós#ico -Al principio del curso sólo una ve/0. A. *e adap#a a si#uaciones 1 con#e#os compleos. . ace apor#aciones a las ac#ividades acad6micas desarrolladas. C. &ropone 17o eplica soluciones o procedimien#os no vis#os en clase -crea#ividad0. +. 8n#roduce recursos 1 eperiencias 9ue promueven un pensamien#o cr#ico. E. 8ncorpora conocimien#os 1 ac#ividades 8n#erdisciplinarias. ). (eali/a su #raao de manera au#ónoma 1 au#orre,ulada.

Criterios de la evaluación (Formativo, Diagnóstico y Sumativo) •

Sumativo.

Es#ruc#ura $; &er#inencia. '; =r#o,rafa. 2;  > Es#ruc#ura. 2;

•

Mapa conceptual (E)

&er#inencia 2; Es#ruc#ura 2;.  > =r#o,rafa $;

•

Proyecto (F)

&er#inencia 5;. )unción $%;.

•

so de la plataforma en l!nea ("):

Evidencia. -5;0

Instrumentos de Aprendizae

• • • • •

#eporte de la investigación. #eporte de la $u!a t%cnica. Mapa conceptual. #eporte del proyecto Plataforma en l!nea.

Nota: Con una %alta de ortogra%@a se resta 50D al porcenta+e correspondienteE con la omisión de un temaE con la omisión de un reporte * con in%ormación %uera de conte>to de estudio! os criterios anteriores se e,alúan por tema de estudio!

"nidad 1 2o!petencias a desarrollar: Identi%icar oportunidades relacionadas a los aspectos de seguridad en aplicaciones Feb! Implementar t$cnicas con%iables para e,itar m$todos de in*ección

n3lisis de infor!ación:

1.% S45 In6ection: ;n ata-ue por in7ección S45 consiste en la inserción o in*ección de una consulta # por medio de los datos de entrada desde el cliente Bacia la aplicación! ;n ata-ue por in*ección # e>itoso puede leer  in%ormación sensible desde la base de datosE modi%icar la in%ormación GInsertH ;pdateH 3eleteE e+ecutar operaciones de administración sobre la base de datos Gtal como parar la base de datosE recuperar el contenido de un determinado arcBi,o presente sobre el sistema de arcBi,os del 3?9 * en algunos casos emitir  comandos al sistema operati,o! os ata-ues por in*ección # son un tipo de ata-ue de in*ecciónE en el cual los comandos # son insertados en la entrada de datos con la %inalidad de e%ectuar la e+ecución de comandos # prede%inidos!

1.1 3A. In+ection: 3A. In+ection: as t$cnicas de in*ección de comandos 3A. en aplicaciones Feb se basan en los mismos principios -ue las t$cnicas de # In+ection! )n una aplicación Feb el programadorE en un determinado punto recoge datos en,iados por el usuario -ue ,an a ser utili