ascensor
Páginas: 88 (21963 palabras)
Publicado: 4 de noviembre de 2014
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
MODELO DE SEGURIDAD EN LAS APLICACIONES WEB
DESARROLLADAS POR UN TERCERO
T
E
S
I
N
A
QUE PARA OBTENER EL TÍTULO DE:
I N G E N I E R O
P
R
E
E N
S
S A N D R A
E
I N F O R M Á T I C A
N
T
C A B R E R A
A
N
:G A R C Í A
MARÍA DEL CARMEN GARCÍA CASTRO
J U A N
P A B L O
S A L I N A S
R O M E R O
QUE PARA OBTENER EL TÍTULO DE:
LIC E NC I AD O EN C I E NC I AS D E L A I NFO R M ÁT I C A
P
R
E
S
E N R I Q U E
M I G U E L
MÉXICO D.F.
E
N
M O N T A L V O
ÁN G E L
T
A
N
:
G O N Z Á L E Z
R O D R Í G U E Z
AR C E
2009
ÍNDICEResumen
Introducción
Capítulo I Marco Metodológico
i
ii
1
1.1
1.2
1.3
1.4
1.5
1
4
4
5
7
Planteamiento del Problema
Objetivo
Técnicas e Instrumentos de Medición
Universo y/o Muestra
Justificación
Capítulo II Conceptos Básicos
10
2.1
Aplicaciones Web
2.1.1
Antecedentes
2.1.2
Consideraciones Técnicas
2.1.3
Estructura de las Aplicaciones Web
2.1.4
Lenguajes deProgramación
2.2
Servicios Web
2.2.1
Comunicación de Servicios Web
2.2.2
Seguridad en Webservices
2.2.2.1
Autenticación del Cliente de Webservices
2.2.2.2
Utilización de SSL
2.3
Outsourcing
2.3.1
Conceptos y Funcionalidades Básicas
2.3.2
Ventajas
2.3.3
Desventajas
2.4
Seguridad en Informática
2.4.1
Ataque
2.4.1.1
Clasificación de Ataques
2.4.1.1.1
Denegaciones de Servicio2.4.1.1.2
Intrusiones
2.4.1.1.3
Ingeniería Social
2.4.1.1.4
Puertas Trampa
2.4.2
Riesgos en las Aplicaciones Web
2.4.2.1
Code Injection
2.4.2.1.1
Plataformas Afectadas
2.4.2.1.2
Tipos de Inyección de Datos
2.4.2.1.2.1
Inyección de Datos Maliciosa
2.4.2.1.2.2
Inyección de Datos Benéfica
2.4.2.1.2.3
Inyección de Código Inesperada
2.4.2.2
Remote Code-Inclusion
2.4.2.2.1Plataformas Afectadas
2.4.2.3
SQL Injection
2.4.2.3.1
Plataformas Afectadas
2.4.2.4
Cross-Site Scripting
2.4.2.5
Web Spoofing
2.4.2.5.1
DNS Spoofing (Suplantación de Identidad por Nombre de Dominio)
2.4.2.5.2
Arp Spoofing (Suplantación de Identidad por Falsificación de Tabla ARP)
2.4.2.6
Denegación de Servicios DOS
2.4.2.6.1
Plataformas Afectadas
2.4.2.7
Usurpación de Privilegios enlas Aplicaciones
2.4.2.8
Ataques a la Autenticación de Sesión
10
10
11
12
13
13
14
15
15
16
17
17
18
18
19
21
22
22
22
23
23
23
24
24
25
25
26
26
26
26
26
27
27
28
28
29
30
30
30
30
2.4.2.9
Fuerza Bruta
2.4.2.9.1
Determinar Vulnerabilidades
2.4.2.9.2
Prevención
2.4.3
Riesgos en las Aplicaciones Web Generados por la Empresa que Presta elOutsourcing.
2.4.3.1
Robo de Información Confidencial
2.4.3.1.1
Robo de Código Fuente.
2.4.3.1.2
Robo de los Datos de Negocio en BD
2.4.3.1.3
Acceso no Autorizado a Otros Sistemas de la Empresa.
2.4.3.2
Inserción de Código Malicioso
2.4.4
Controles
2.4.4.1
Definición
2.4.4.2
Estándares y Métodos
2.4.5
Autenticación y Autorización
2.4.5.1
Objetivo y Definición
2.4.5.2
Tipos deAutenticación y Controles
2.4.5.3
Recomendaciones Para Autenticación y Autorización
2.4.6
Manejo de Sesiones
2.4.6.1
Seguridad de Sesiones
2.4.6.1.1
Cookies y Sesiones
2.4.6.1.2
Cookies de Sesión
2.4.6.2
Recomendaciones para Manejo de Sesiones
2.4.7
Validación de Datos
2.4.7.1
Manejo de Validación de Datos
2.5
Principios de Programación Segura
2.5.1
Controles
2.5.2
Atacantes2.5.3
Bases de la Seguridad de la Información
2.5.3.1
Arquitectura de Seguridad
2.6
Arquitectura
2.6.1
Tipos de Arquitecturas en Java J2EE
2.6.2
Tipos de Arquitecturas en .Net
2.7
Patrones de Diseño
2.7.1
Metodologías de Desarrollo de Software.
2.8
Modelo de Riesgo Amenaza
2.8.1
Modelado de Riesgo Utilizando el Proceso de Microsoft
2.8.2
Sistema de Marcación de Vulnerabilidades...
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
MODELO DE SEGURIDAD EN LAS APLICACIONES WEB
DESARROLLADAS POR UN TERCERO
T
E
S
I
N
A
QUE PARA OBTENER EL TÍTULO DE:
I N G E N I E R O
P
R
E
E N
S
S A N D R A
E
I N F O R M Á T I C A
N
T
C A B R E R A
A
N
:G A R C Í A
MARÍA DEL CARMEN GARCÍA CASTRO
J U A N
P A B L O
S A L I N A S
R O M E R O
QUE PARA OBTENER EL TÍTULO DE:
LIC E NC I AD O EN C I E NC I AS D E L A I NFO R M ÁT I C A
P
R
E
S
E N R I Q U E
M I G U E L
MÉXICO D.F.
E
N
M O N T A L V O
ÁN G E L
T
A
N
:
G O N Z Á L E Z
R O D R Í G U E Z
AR C E
2009
ÍNDICEResumen
Introducción
Capítulo I Marco Metodológico
i
ii
1
1.1
1.2
1.3
1.4
1.5
1
4
4
5
7
Planteamiento del Problema
Objetivo
Técnicas e Instrumentos de Medición
Universo y/o Muestra
Justificación
Capítulo II Conceptos Básicos
10
2.1
Aplicaciones Web
2.1.1
Antecedentes
2.1.2
Consideraciones Técnicas
2.1.3
Estructura de las Aplicaciones Web
2.1.4
Lenguajes deProgramación
2.2
Servicios Web
2.2.1
Comunicación de Servicios Web
2.2.2
Seguridad en Webservices
2.2.2.1
Autenticación del Cliente de Webservices
2.2.2.2
Utilización de SSL
2.3
Outsourcing
2.3.1
Conceptos y Funcionalidades Básicas
2.3.2
Ventajas
2.3.3
Desventajas
2.4
Seguridad en Informática
2.4.1
Ataque
2.4.1.1
Clasificación de Ataques
2.4.1.1.1
Denegaciones de Servicio2.4.1.1.2
Intrusiones
2.4.1.1.3
Ingeniería Social
2.4.1.1.4
Puertas Trampa
2.4.2
Riesgos en las Aplicaciones Web
2.4.2.1
Code Injection
2.4.2.1.1
Plataformas Afectadas
2.4.2.1.2
Tipos de Inyección de Datos
2.4.2.1.2.1
Inyección de Datos Maliciosa
2.4.2.1.2.2
Inyección de Datos Benéfica
2.4.2.1.2.3
Inyección de Código Inesperada
2.4.2.2
Remote Code-Inclusion
2.4.2.2.1Plataformas Afectadas
2.4.2.3
SQL Injection
2.4.2.3.1
Plataformas Afectadas
2.4.2.4
Cross-Site Scripting
2.4.2.5
Web Spoofing
2.4.2.5.1
DNS Spoofing (Suplantación de Identidad por Nombre de Dominio)
2.4.2.5.2
Arp Spoofing (Suplantación de Identidad por Falsificación de Tabla ARP)
2.4.2.6
Denegación de Servicios DOS
2.4.2.6.1
Plataformas Afectadas
2.4.2.7
Usurpación de Privilegios enlas Aplicaciones
2.4.2.8
Ataques a la Autenticación de Sesión
10
10
11
12
13
13
14
15
15
16
17
17
18
18
19
21
22
22
22
23
23
23
24
24
25
25
26
26
26
26
26
27
27
28
28
29
30
30
30
30
2.4.2.9
Fuerza Bruta
2.4.2.9.1
Determinar Vulnerabilidades
2.4.2.9.2
Prevención
2.4.3
Riesgos en las Aplicaciones Web Generados por la Empresa que Presta elOutsourcing.
2.4.3.1
Robo de Información Confidencial
2.4.3.1.1
Robo de Código Fuente.
2.4.3.1.2
Robo de los Datos de Negocio en BD
2.4.3.1.3
Acceso no Autorizado a Otros Sistemas de la Empresa.
2.4.3.2
Inserción de Código Malicioso
2.4.4
Controles
2.4.4.1
Definición
2.4.4.2
Estándares y Métodos
2.4.5
Autenticación y Autorización
2.4.5.1
Objetivo y Definición
2.4.5.2
Tipos deAutenticación y Controles
2.4.5.3
Recomendaciones Para Autenticación y Autorización
2.4.6
Manejo de Sesiones
2.4.6.1
Seguridad de Sesiones
2.4.6.1.1
Cookies y Sesiones
2.4.6.1.2
Cookies de Sesión
2.4.6.2
Recomendaciones para Manejo de Sesiones
2.4.7
Validación de Datos
2.4.7.1
Manejo de Validación de Datos
2.5
Principios de Programación Segura
2.5.1
Controles
2.5.2
Atacantes2.5.3
Bases de la Seguridad de la Información
2.5.3.1
Arquitectura de Seguridad
2.6
Arquitectura
2.6.1
Tipos de Arquitecturas en Java J2EE
2.6.2
Tipos de Arquitecturas en .Net
2.7
Patrones de Diseño
2.7.1
Metodologías de Desarrollo de Software.
2.8
Modelo de Riesgo Amenaza
2.8.1
Modelado de Riesgo Utilizando el Proceso de Microsoft
2.8.2
Sistema de Marcación de Vulnerabilidades...
Leer documento completo
Regístrate para leer el documento completo.