Controles compensatorios para mejorar la seguridad web

Clase 18 de 35 • Curso de Análisis de Vulnerabilidades Web con OWASP 2017

Resumen

Hay diferentes controles que podemos aplicar sin tener que retrogradar o cambiar el diseño de una arquitectura. Veamos algunos de estos controles.

Firewall: Es el control compensatorio mas sencillo que encontramos tanto en redes como en aplicaciones, recuerda que los servidores tienen puertas llamadas puertos, el firewall se encarga de controlar por medio de reglas el acceso a esos puertos.

Web Application Firewall: Determina la respuesta que debe enviar el servidor de acuerdo con las reglas definidas en el WAF.

Database Application Firewall: Monitorea cambios dirigidos a las bases de datos relacionadas con la aplicación.

Balanceo de cargas: Reparte la diferentes conexiones que recibe un servidor web en diferentes servidores, nos sirve para dar disponibilidad a nuestras aplicaciones.

jairo paez

student•

Entre màs avanzo en el curso veo que pràcticamente deberìa ser una norma para toda empresa disponer de un profesional de seguridad informàtica, bien sea interno o externo que se mantenga constantemente evaluando vulnerabilidades y comportamiento del sistema

Carlos Lozano

teacher•

Así es. Por marco regulatorio en algunos países esto se realiza por ley, dependiendo del tipo de giro de las empresas.

GABRIEL MAGALLON SANCHEZ

student•

Y en una evaluación de riesgos, donde incluya costo beneficio, por supuesto que también hay que considerar como ha habido hackeos masivos donde tienen departamentos completos de seguridad y todas estas medidas, pero la situación mediatica se enfoca en la noticia y no en los porque y los como , esto lo menciono por lo sucedido en este año que concluye en el ambito de seguridad. Y si los consultores de seguridad tienen un mercado potencial enorme hasta en la parte privada donde los usuarios somos vulnerables.

Carlos Alberto Solano Guzmán

student•

No tenía idea que se podía hacer un ataque directo a la BD

Alejandro Serafín Gutiérrez

student•

Un firewall genera retraso en la comunicacion ?

Diego Forero

Team Platzi•

No es perceptible ya que por lo general el firewall lo que hace es bloquear el acceso por x puertos, por consiguiente si tiene acceso por ejemplo al puerto 80 entonces si la petición que llega es a ese puerto el firewall lo deja pasar, si es una petición al puerto 8080 lo bloquea ya que no esta abierto ese puerto en el firewall.

Alberto Alejandro Soto Herrera

student•

lo que sucede que al no conocer el entorno de redes presta confusión pero un firewall en pocas palabras es como dice gollun no es perceptible el lo único que realiza es denegar o aceptar peticiones tráficos entre otras cosas como por ejemplo permitir datos de solo voz pero no video, bloquear desde ese equipo poder acceder al switch numero 2 pero del 2 de a donde estas accediendo no… sencillamente limita lo que tu necesitas los firewall pueden ser tantos físicos como en sotfware … un ejemplo fortinet en sotfware acl saludos

JOSE MIGUEL TOJIL GENTO

student•

No tenia ni idea de que habían Firewall para base de datos y para aplicaciones web, cada vez se vuelve mas interesante este curso.

Adalid Claure Galindo

student•

Hay alguna forma de evadir un WAF? comom imperva incapsula?

Luis Sánchez

student•

Prueba con wafw00f

Gabriel Oliveira

student•

¡Que conocimientos e información tan valiosa la que se comparte en este video!. Muy bien explicada, a diferencia de muchos sitios donde puedes conseguir la informacion pero solo a niveles abstractos o generales con conceptos basicos!

Deimer Jose Arroyo Molina

student•

Quisiera saber cual es la certificacion mas basica que tenga que ver con seguridad informatica.

Johan Andrés Mateus Lamprea

student•

Hola, pienso que esto te puede ayudar: https://public.cyber.mil/cw/cwmp/dod-approved-8570-baseline-certifications/

Jorge Luis Paiva Huamán

student•

Encontraron algún diagrama con el orden de todos estos controles? Así lo leo: Internet -> Firewall -> WAF -> A-DDOS -> Balanceador -> DAF -> IIS (+ Detector de amenaza avanzada).

Controles compensatorios para mejorar la seguridad web

Introducción al curso

Aprende sobre Análisis de Vulnerabilidades Web con los cursos actualizados

Introducción al curso de análisis, detección y explotación de vulnerabilidades web

Funcionamiento de las aplicaciones Web

Funcionamiento de las aplicaciones Web

Peticiones Http

Clientes Web y Servidores

Metodologías para revisión de aplicaciones Web

Metodologías para la revisión de aplicaciones

HTTP Proxy

Entorno de desarrollo y herramientas a usar durante el curso

Instalación y configuración de las máquinas virtuales en Windows

Protocolos y tecnologías implicadas en el desarrollo Web

Conceptos fundamentales de protocolos y tecnologías implicadas en el desarrollo web

Metodos HTTP

Códigos de error HTTP

Proxy HTTP

Exploración de una aplicación web con NMAP

Exploración de una aplicación web con http Proxy

Metodología OWASP

Alcance y proceso

Tipos y diferencias entre pruebas de penetración

Controles compensatorios para mejorar la seguridad web

Metodología OWASP y Dominios

Dominios de seguridad

Autenticación

Manejo de sesiones

Manejo de archivos

Manejo de archivos - remote files inclusion

Validación de entradas - inyección de comandos

Validación de entradas - cross site scripting XSS

Cross Site Scripting XSS almacenado

Cross Site Scripting - XSS Sql Injection

Cross Site Scripting - XSS usando sql injection para obtener información desde la base de datos

Criptografía

Tutorial de instalación de Wireshark

Protección del canal de comunicación

Tutorial de instalación y configuración de Nessus

Gestión de configuraciones

Gestión de configuraciones - archivos y directorios sensibles y Cierre del curso

Contenido Bonus

Cómo ser un hacker o experto en seguridad informática