Owasp

Su Seguridad es Nuestro Éxito

c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com

Tratamiento seguro dedatos en aplicaciones
OWASP Conference 2007 Barcelona, Julio 2007

Su Seguridad es Nuestro Éxito

Tratamiento seguro de datos en aplicaciones

Definición de Aplicación:
“Una aplicación es unprograma informático diseñado para facilitar al usuario un determinado tipo de trabajo.” (Fuente: Wikipedia)

Compentes de una Aplicación:
• Procesos • Datos

Datos de entrada
Entrada de usuarioParámetros Fichero Base de datos Conexión de red …

Procesos

Datos de salida

© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 0 6 . 0 7 . 2 0 0 7 • P. 3

Tratamiento seguro dedatos en aplicaciones

• Las aplicaciones reciben datos, los procesan y luego muestran los resultados. • Los datos introducidos en una aplicación pueden utilizarse en distintos contextos.
• • • • •Nombre de fichero Consultas SQL Consultas XPATH En códigos de marcas (XML, HTML, etc) …

© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 0 6 . 0 7 . 2 0 0 7 • P. 4

Tratamientoseguro de datos en aplicaciones

Las aplicaciones pueden utilizar un mismo dato en distintos contextos.

SELECT * FROM id = ‘dato’

Cada contexto puede tener implicaciones distintas.

“dato”File://usr/info/dato.xml Página Web dato
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 0 6 . 0 7 . 2 0 0 7 • P. 5

Tratamiento seguro de datos en aplicaciones

• Untratamiento incorrecto de los datos puede ocasionar que un cambio de contexto suponga una vulnerabilidad en la aplicación.
SQL injection “’ OR ‘’=‘” SELECT * FROM id = ‘’ OR ‘’=‘’ Path Traversal“../../../file” File://usr/info/../../../file.xml Cross Site Scripting “BOLD” Página Web BOLD
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 0 6 . 0 7 . 2 0 0 7 • P. 6

Tratamiento...