Tesis
TITULO: SEGURIDAD DE APLICACIONES WEB (PHP)
Alumno: Giovani Huamán Auqui
Código: 210093268
Curso: Lenguaje de Programación 3
Profesor: Cristian Roberto Villalta Lagos
Facultad: Ingeniería de Sistemas, Computo y Telecomunicaciones
Ciclo: V
Junio del 2012INDICE
INTRODUCCION.........................................................................................................................3
DESARROLLO DEL TEMA………………………………………………………………………....4
1.- PROBLEMAS PRINCIPALES EN LA PROGRAMACION WEB……………………………....4
2.- PRACTICAS BASICAS DE SEGURIDAD WEB………………………….…………………….4
2.1 Balancear Riesgo yUsabilidad................................................................................................4
2.2 Rastrear el paso de los Datos...................................................................................................4
2.3 Filtrar Entradas…………………………………………………………………………………....5
2.4 Escapar salidas…………………………………………………………………………………....6
3.- TIPOS DE ATAQUES EN APLICACIONES WEB……………………………………………...73.1.- Autenticación................... ……………………………………………………………..............7
3.1.1. Fuerza bruta......................... …………………………………………………………….........7
3.1.2. Autenticación insuficiente.... ……………………………………………………....................7
3.1.3. Débil Validación en la recuperación de contraseñas...……………………………………….7
3.2.- Autorización....................………………………………………………….…………………....83.2.1. Predicción de credenciales/sesión................……………………………………………….....8
3.2.2. Autorización insuficiente................………………………………………….……………......8
3.2.3. Expiración de sesión insuficiente.........................................................................................8
3.2.4. Fijación desesión.................................................................................................................8
3.3.-Ataques en la parte cliente.......................................................................................................8
3.3.1. Suplantación de contenido....................................................................................................8
3.3.2. Cross-sitescripting................................................................................................................8
3.4.- Ejecución de comandos........................ .................................................................................9
3.4.1. Desbordamiento de buffer................. ..................................................................................9
3.4.2. Ataques de formato de cadena.............................................................................................9
3.4.3. Inyección LDAP.......................... ........................................................................................9
3.4.4. Comandos de Sistema Operativo............ ..............................................................................9
3.4.5. Inyección de código SQL.....................................................................................................9
3.4.6. Inyección de código SSI................. ......................................................................................9
3.4.7. Inyección XPath.................. .................................................................................................9
3.5.- Revelación de información..................................................................................................10
3.5.1. Indexación de directorio......... ............................................................................................10
3.5.2. Fuga de información........ ...................................................................................................10
3.5.3. Path...
Regístrate para leer el documento completo.