Seguridad ajax

Seguridad en Ajax

Dr. Gonzalo Álvarez Marañón

Qué
I. II. III. IV. V. Web 2.0 Ajax Seguridad 2.0 XSS Gusanos 2.0

Seguridad en Ajax

-2-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-3-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-4-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-5-

Dr. Gonzalo Álvarez Marañón

Características de la Web 2.0
o o oo Web 2.0 no es una cosa, es una forma de ser La Web es el escritorio Web 2.0 está formada por gente “Nosotros somos la Web”, Kevin Kelly, Director de Wired o Para otros, no existe, no es más que una moda

Seguridad en Ajax

-6-

Dr. Gonzalo Álvarez Marañón

Servicios, no software
Seguridad en Ajax -7Dr. Gonzalo Álvarez Marañón

Contenido relevante
Seguridad en Ajax -8Dr. GonzaloÁlvarez Marañón

Contenido creado por Gonzalo Álvarez Marañón usuarios Seguridad en Ajax Dr. -9-

Derecho a mezclar
Seguridad en Ajax -10Dr. Gonzalo Álvarez Marañón

Participación, no publicación
Seguridad en Ajax -11Dr. Gonzalo Álvarez Marañón

La Web como plataforma
Seguridad en Ajax -12Dr. Gonzalo Álvarez Marañón

Comunidad

Seguridad en Ajax

-13-

Dr. Gonzalo ÁlvarezMarañón

Confianza radical
Seguridad en Ajax -14Dr. Gonzalo Álvarez Marañón

Etiquetas

Seguridad en Ajax

-15-

Dr. Gonzalo Álvarez Marañón

Compartir

Seguridad en Ajax

-16-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-17-

Dr. Gonzalo Álvarez Marañón

¿Qué es AJAX?
o o o o ¿Una mascota? ¿Un detergente? ¿Un equipo de fútbol holandés? ¿Un héroe de la mitologíagriega?

Seguridad en Ajax

-18-

Dr. Gonzalo Álvarez Marañón

Asynchronous JavaScript And XML
Seguridad en Ajax -19Dr. Gonzalo Álvarez Marañón

Comparativa de modelos

Seguridad en Ajax

-20-

Dr. Gonzalo Álvarez Marañón

El motor Ajax

Seguridad en Ajax

-21-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-22-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax-23-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-24-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax

-25-

Dr. Gonzalo Álvarez Marañón

Los elementos de Ajax
o o o o Presentación con DOM y CSS Datos en XML para transporte y almacenamiento XMLHttpRequest JavaScript

Seguridad en Ajax

-26-

Dr. Gonzalo Álvarez Marañón

Los elementos de Ajax

Seguridad enAjax

-27-

Dr. Gonzalo Álvarez Marañón

Gecko/Safari/IE7 IE5 a IE6

Respuesta asíncrona

Estructura arbitraria
Seguridad en Ajax -28Dr. Gonzalo Álvarez Marañón

Seguridad 2.0

Seguridad en Ajax

-29-

Dr. Gonzalo Álvarez Marañón

Seguridad en JavaScript
o Sandbox: entorno sellado con poco o ningún acceso a recursos del equipo o Scripts descargados desde un sitio no acceden apropiedades de otro o No se pueden establecer conexiones con sitios distintos de aquel desde el que se descargó el script

Seguridad en Ajax

-30-

Dr. Gonzalo Álvarez Marañón

Seguridad en Ajax
o Los mismos problemas de siempre:
XSS Inyección de SQL Desbordamiento de búfer …

o Y algo más …

Seguridad en Ajax

-31-

Dr. Gonzalo Álvarez Marañón

Problemas de seguridad deAjax
o Controles de seguridad en el extremo cliente y servidor
¡Toda entrada es maliciosa! ¿Cómo distinguir una llamada legítima realizada por Ajax a través de XHR de una llamada fraudulenta realizada directamente? Muchas funciones JavaScript se crean al vuelo y se ejecutan en el cliente mediante eval()

Seguridad en Ajax

-32-

Dr. Gonzalo Álvarez Marañón

Problemas de seguridad de Ajaxo Acceso indiscriminado a servicios web
Para acceder a terceros debe utilizarse un proxy o puente
• Pueden conectarse además de a servicios web a recursos web arbitrarios • Permiten acceder a servicios web de terceros desde un servidor intermedio considerado seguro por los terceros • Podría utilizarse para atacar anónimamente otros servicios • Podría tener más privilegios que el usuario...