es el estándar mundial de la seguridad en la Web. La tecnología SSL se enfrenta a potenciales
problemas derivados de la visualización no autorizada de información confidencial, la manipulación
de datos, la apropiación de datos, el phishing y los demás tipos de amenazas en los sitios Web.
Transport Layer Security
(TLS)
Para intentar corregir las deficiencias observadas en SSL v3 se buscó un nuevo protocolo que
permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL es propiedad
de la empresa Nestcape. El resultado de esta búsqueda fué el protocolo TLS, que permite una
compatibilidad total con SSL siendo un protocolo público, estandarizado por el IETF.
Protocolo S-HTTP
El protocolo Secure HTTP fué desarrollado por Enterprise Integration Technologies, EIT, y al igual que
SSL permite tanto el cifrado de documentos como la autenticación mediante firma y certificados
digitales, pero se diferencia de SSL en que se implementa a nivel de aplicación. Se puede identificar
rápidamente a una página web servida con este protocolo porque la extensión de la misma pasa a
ser .shtml en vez de .html como las páginas normales.
Protocolo SET
SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas
aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago, y en
el uso de sistemas criptográficos de clave pública para proteger el envío de los datos sensibles en su
viaje entre los diferentes servidores que participan en el proceso.
PUBLICITARIAS
SU OBJETIVO PRINCIPAL ES INFORMAR AL USUARIO DATOS ACERCA DE UNA EMPRESA Y
SUS PRODUCTOS EN LA RED DE INTERNET SE ORIENTAN A LA MERCADOTECNIA DE SU
EMPRESA A PROMOVER LOS PRODUCTOS O SERVICIOS REALIZADOS POR LA MISMA
GENERANDO ASI NUEVAS OPORTUNIDADES DE NEGOCIO
Nota:
wefggwawregrehgerhjrttwhhtghrthrthth
INFORMATIVAS
TIENEN COMO OBJETIVO PREDOMINAR EN INTERNET, MUESTRAN LA
INFORMACION GENERAL DE UNA EMPRESA, DESCRIBE SUS PRODUCTOS O
SERVICIOS DE MANERA GENERAL Y MUESTRA UN AMBIENTE DE
CONFIABILIDAD
CATALOGO TIENDA
SU OBJETIVO ES VENDER PRODUCTOS O SERVICIOS AL USUARIO DE INTERNET
DIRECTAMENTE, ALGUNOS PERMITEN PAGAR EN LINEA, SON UNA GRAN HERRAMIENTA
DE MARKETING, PRESENTAN LO QUE VENDE LA EMPRESA
COMUNIDAD
es una herramienta que une a usuarios con intereses en comun facilita a las comunidades
la publicacion en internet de un evento mediante un sitio web son llamadas redes sociales
DIFERENTES MEDIOS DIGITALES
GIF
COMPRESION SIN
PERDIDA,COMPRIME BIEN LOS
DIBUJOS, PALETA DE COLORES
VARIABLES, PERMITE
TRANSPARENCIA, PERMITE
ANIMACION
JPG
COMPRESION CON PERDIDA,
COMPRIME BIEN LAS FOTOS,
PALETA DE COLOR REAL, SIN
TRANSPARENCIA, SIN
ANIMACION.
PNG
COMPRESION SIN PERDIDA,
COMPRIME BIEN LOS DIBUJOS,
PALETA DE COLORES VARIABLE,
PERMITE TRANSPARENCIA, SIN
ANIMACOIN
TIPOS DE VULNERABILIDAD
Inyección
Ocurre cuando a nuestro
sistema entra información
no confiable a través de
formularios o comandos que
son interpretados por
queries en nuestra base de
datos. Puede resultar en
robo o pérdida de nuestra
información.Solución: Validar
y limpiar todo lo que el
usuario ingrese a nuestro
sistema antes de realizar
cualquier proceso además de
usar Prepared statements y
stored procedures.
Secuencias de
comandos en
sitios cruzados
Esta falla permite desplegar
en el navegador datos no
confiables proporcionados
por usuarios, generalmente
inyectando código javascript
malicioso. Estos datos
pueden secuestrar tu sitio
web, permitiendo que tus
usuarios sean
redireccionados a sitios
maliciosos o descarguen
malware.Solución: Validar y
escapar cualquier dato a ser
impreso en tu sitio.
Autenticación
rota
Se presenta cuando es
posible suplantar la
identidad del usuario al
obtener acceso a datos como
contraseñas o
identificadores. Un ejemplo
es poder modificar el id de la
sesión en la cookie y obtener
así acceso como un
administrador o cambiar el
perfil de acceso.Solución:
Verificar los procesos de
autenticación, usar
mecanismos y librerías ya
existentes. No guardar
información sobre permisos
o identidad en cookies.
Solicitudes falsificadas
en sitios cruzados
El atacante engaña a la victima a enviar solicitudes HTTP que no desea lo
que permite al atacante ejecutar operaciones que el usuario no
desea.Solución: Controlar el flujo de los procesos usnados tokens únicos por
sesión y por solicitud
Configuración errónea de seguridad
Un parámetro mal especificado puede permitir el
acceso a nuestras aplicaciones.Solución: Definir todos
los elementos de seguridad y no usar atributos por
defecto (por ejemplo el usuario y password root),
mantener nuestras aplicaciones, servidores y librerías
siempre actualizados.
Almacenamiento inseguro
Si un atacante tuviera acceso a nuestra información y esta no se
encontrará asegurada, podría acceder a contraseñas y datos de tarjeta de
crédito de usuarios y clientes entre otra información sensitiva.Solución:
Encriptar información sensible en nuestra base de datos.
Referencias directas e inseguras a
objetos
Exponer referencias a objetos de implementación
interna como archivos, directorios y base de dato por lo
que pueden ser manipulados. Por ejemplo si usamos un
script de descarga que recibe como parámetro el
nombre del archivo, puede ser usado para enviar al
atacante nuestro documento de configuración con la
clave de nuestra Base de Datos
Fallas al restringir acceso URL
Una página en nuestro sitio que no sea no validada puede permitir el acceso áreas restringidas
mediante la manipulación de la URL otorgando permisos administrativos a un atacante. Por ejemplo
tener una página admin.php como centro de control y no validar su acceso
Insuficiente protección en la capa de
transporte
Todo el tráfico en internet puede ser escuchado, y al enviar información sensitiva como
contraseñas, números de tarjeta o documentos sin su apropiada autenticación y encriptación,
alguien puede tener acceso a esa información.
Forwards y Redirects no validados
El permitir que tu aplicación envié a tus visitantes a otra página o sitio sin validar puede dejarlos
caer en sitios de phising o malware.Solución: Valida y lleva un control sobre los links y forwards que
aparecen en tu página.