Seguridad en Bases de Datos y Aplicaciones Web - 2º Edición
()
Información de este libro electrónico
La TI no sólo forma parte de la estrategia de la empresa como un diferencial, sino que también puede ser el principal combustible que hay detrás de una organización. Las búsquedas por medio de la TI también las realizan las personas comunes; el uso de e-mail está muy extendido, muchas personas tienen un perfil en una red de relaciones, las compras e intercambios de mercancías también se realizan a través de internet, los libros son leídos on-line. Internet a buen seguro fue la fuerza propulsora para lograr ese increíble movimiento cultural.
Gabriel Gallardo Avilés
Gabriel Gallardo Avilés es analista programador de PHP desde 2004 y analista y gestor de bases de datos MySQL y Oracle desde 2009, ha dedicado su trayectoria profesional a la prevención de ataques informáticos y seguridad de datos en grandes empresas españolas y desde 2014 comienza su labor en el área de la formación.
Relacionado con Seguridad en Bases de Datos y Aplicaciones Web - 2º Edición
Libros electrónicos relacionados
Seguridad en Bases de Datos y Aplicaciones Web Calificación: 5 de 5 estrellas5/5UF2405 - Modelo de programación web y bases de datos Calificación: 0 de 5 estrellas0 calificacionesTecnologías de Virtualización Calificación: 0 de 5 estrellas0 calificacionesCurso de Introducción a la Administración de Bases de Datos Calificación: 3 de 5 estrellas3/5UF1306 - Pruebas de funcionalidades y optimización de páginas web Calificación: 0 de 5 estrellas0 calificacionesDISEÑO Y GESTIÓN DE INTRANETS Calificación: 0 de 5 estrellas0 calificacionesFundamentos de Programación y Bases de Datos Calificación: 0 de 5 estrellas0 calificacionesSeguridad Informática: Para No Informáticos Calificación: 0 de 5 estrellas0 calificacionesFundamentos de Programación y Bases de Datos: 2ª Edición Calificación: 0 de 5 estrellas0 calificacionesUF1271 - Instalación y configuración del software de servidor web Calificación: 0 de 5 estrellas0 calificacionesSalvaguarda y seguridad de los datos. IFCT0310 Calificación: 0 de 5 estrellas0 calificacionesImplantación de aplicaciones web en entornos internet, intranet y extranet. IFCD0210 Calificación: 0 de 5 estrellas0 calificacionesUF1467 - Aplicaciones microinformáticas e internet para consulta y generación de documentación Calificación: 0 de 5 estrellas0 calificacionesDesarrollo de aplicaciones mediante el Framework de spring.: PROGRAMACIÓN INFORMÁTICA/DESARROLLO DE SOFTWARE Calificación: 2 de 5 estrellas2/5Pruebas de funcionalidades y optimización de páginas web. IFCD0110 Calificación: 0 de 5 estrellas0 calificacionesAprende a Desarrollar con Spring Framework Calificación: 3 de 5 estrellas3/5UF2218 - Desarrollo de un CMS Calificación: 0 de 5 estrellas0 calificacionesUF2175 - Diseño de bases de datos relacionales Calificación: 0 de 5 estrellas0 calificacionesUF1473 - Salvaguarda y seguridad de los datos Calificación: 0 de 5 estrellas0 calificacionesDesarrollo y reutilización de componentes software y multimedia mediante lenguajes de guión. IFCD0210 Calificación: 0 de 5 estrellas0 calificacionesUF1887 - Operaciones de seguridad en sistemas ERP-CRM y almacén de datos Calificación: 0 de 5 estrellas0 calificacionesDesarrollo de Software: Requisitos, Estimaciones y Análisis Calificación: 0 de 5 estrellas0 calificacionesCurso de Programación y Análisis de Software Calificación: 4 de 5 estrellas4/5Cómo protegernos de los peligros de Internet Calificación: 4 de 5 estrellas4/5Enciclopedia de la Seguridad Informática. 2ª Edición: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Curso de Programación con iOS Calificación: 4 de 5 estrellas4/5Dimensionar, instalar y optimizar el hardware. IFCT0510 Calificación: 0 de 5 estrellas0 calificacionesResolución de incidencias en redes telemáticas. IFCT0410 Calificación: 0 de 5 estrellas0 calificacionesProgramación Web en el Entorno Servidor. (MF0492_3) Calificación: 0 de 5 estrellas0 calificaciones
Bases de datos para usted
De Silicon Valley a tu negocio: Innovación, data e inteligencia artificial Calificación: 0 de 5 estrellas0 calificacionesInvestigación formativa en los estudios de información documental Calificación: 0 de 5 estrellas0 calificacionesAnalítica de datos y rendimiento académico Calificación: 0 de 5 estrellas0 calificacionesModelamiento de base de datos: Metodología práctica y aplicada Calificación: 0 de 5 estrellas0 calificacionesSQL Server 2014 Soluciones prácticas de administración: Software para bases de datos Calificación: 5 de 5 estrellas5/5Aprende Programación Web con PHP y MySQL Calificación: 4 de 5 estrellas4/5Transformación digital y administración del conocimiento para directores. Introducción a las tecnologías de la información Calificación: 0 de 5 estrellas0 calificacionesDiseño de interfaces en aplicaciones móviles: BASES DE DATOS Calificación: 0 de 5 estrellas0 calificacionesDesarrollo de Bases de Datos. 2ª Edición actualizada.: BASES DE DATOS Calificación: 4 de 5 estrellas4/5Emprende en digital: Diseña y valida tu startup Calificación: 0 de 5 estrellas0 calificacionesBases de Datos (GRADO SUPERIOR): BASES DE DATOS Calificación: 5 de 5 estrellas5/5DATABASE - Del modelo conceptual a la aplicación final en Access, Visual Basic, Pascal, Html y Php Calificación: 0 de 5 estrellas0 calificacionesCriptomoneda: Guía Para Principiantes Para Saber Invertir En Litecoin, Bitcoin Y Ethereum: Guía Para Principiantes Para Saber Invertir En Litecoin, Bitcoin Y Ethereum Calificación: 0 de 5 estrellas0 calificacionesMinimalismo Moderno: Líberate de las Ataduras Digitales y el Consumismo. 2 Libros en 1 - Minimalismo Digital, Soy Comprador Compulsivo, ¿Y Ahora Qué? Calificación: 0 de 5 estrellas0 calificacionesAdministración de servicios web: Anatomía del internet Calificación: 0 de 5 estrellas0 calificacionesCreación de un sitio web con PHP y MySQL. 5ª Edición actualizada.: BASES DE DATOS Calificación: 5 de 5 estrellas5/5Administración y monitorización de los sgbd. IFCT0310 Calificación: 0 de 5 estrellas0 calificacionesBases de Datos con MySQL Calificación: 4 de 5 estrellas4/5Bases de datos relacionales y modelado de datos. IFCT0310 Calificación: 0 de 5 estrellas0 calificacionesAdministración de Sistemas Gestores de Base de Datos. 2ª Edición: BASES DE DATOS Calificación: 3 de 5 estrellas3/5Curso de Programación de Apps. Android y iPhone Calificación: 5 de 5 estrellas5/5Blockchain: Aplicaciones y Entendimiento En El Mundo Real: Como el Blockchain Puede Ser Aplicado a Tu Mundo Calificación: 3 de 5 estrellas3/5Curso de Programación y Análisis de Software Calificación: 4 de 5 estrellas4/5El Nuevo Reto: Los Datos Abiertos En Colombia Calificación: 0 de 5 estrellas0 calificacionesGestión de inventarios: Métodos cuantitativos Calificación: 0 de 5 estrellas0 calificacionesLinux Essentials: una guía para principiantes del sistema operativo Linux Calificación: 5 de 5 estrellas5/5El Siguiente Nivel De Inversión En Criptomonedas Calificación: 4 de 5 estrellas4/5Fundamentos de Programación y Bases de Datos: 2ª Edición Calificación: 0 de 5 estrellas0 calificacionesConexión SQL SERVER & C# (Manual para principiantes) Calificación: 1 de 5 estrellas1/5Programación de Bases de Datos Relacionales (MF0226_3) Calificación: 0 de 5 estrellas0 calificaciones
Comentarios para Seguridad en Bases de Datos y Aplicaciones Web - 2º Edición
0 clasificaciones0 comentarios
Vista previa del libro
Seguridad en Bases de Datos y Aplicaciones Web - 2º Edición - Gabriel Gallardo Avilés
Tabla de contenido
Tabla de contenido
Notas del Autor
Introducción
Conceptos Básico sobre la Seguridad en Base de Datos
Control de Acceso
Control de Inferencia
Control de Flujo
Criptografía de Datos
Usuarios
Dominio de Seguridad
Autoridad
Privilegios
Tipos de privilegios discrecionales
Revocación de privilegios
Control de acceso obligatorio y seguridad para multi-nivel
Control de acceso basado en roles
Control de acceso utilizando Triggers
Control de acceso utilizando Views
SQL Injection
Cross-Web Scripting (XSS)
Broken Authentication and Session Management
Ejemplo de aplicación vulnerable
Prevención
Insecure Direct Object References
Ejemplo de aplicación vulnerable
Prevención
Cross-Web Request Forgery (CSRF)
Ejemplo de aplicación vulnerable
Prevención
Security Misconfiguration
Ejemplo de aplicación vulnerable
Prevención
Insecure Cryptographic Storage
Ejemplo de aplicación vulnerable
Prevención
Failure to Restrict URL Access
Ejemplo de sistema aplicación vulnerable
Prevención
Insufficient Transport Layer Protection
Ejemplo de aplicación vulnerable
Prevención
Unvalidated Redirects and Forwards
Ejemplo de aplicación vulnerable
Prevención
Desarrollo Seguro en Bases de Datos Relacionales y Procedimientos Almacenados. Caso de Estudio
Introducción
El sistema de gestión de base de datos MySQL
El lenguaje SQL
PHP
La vulnerabilidad en sistemas web
Ataques
Prototipo para experimentar
Vulnerabilidades en la validación de credenciales de usuarios
Comandos de inyección de SQL y los retornos
Verificando la cantidad de columnas de una tabla
Visualizando los datos con la función UNION
Descubriendo la versión del SGBD MySQL
Obteniendo el nombre de los schemas, tablas y columnas
Desarrollo seguro
Conclusión
Referencia Bibliográfica
Editorial
Acerca del Autor
Notas del Autor
El Código fuente que se muestra en este libro sólo para fines ilustrativos, que proporciona a los lectores una mejor información sobre la programación que se trata en este libro. El código fuente se muestra TAL CUAL
sin ninguna garantía ni soporte.
El autor no asume ninguna responsabilidad u obligación por el uso del código fuente, ni de la transmisión sin licencia o título bajo cualquier patente.
Introducción
Actualmente no es posible imaginarnos a una organización sin que la misma no utilice la Tecnología de la Información (TI) de forma estratégica y competitiva. Muchas veces la TI se utiliza como herramienta básica y de beneficios para la existencia de la organización. Por ejemplo, ¿Cómo sería posible la existencia de una red social como Facebook sin el uso de la TI? ¿Y de una empresa de ventas al por menor on-line sin Amazon o Ebay? La TI no sólo forma parte de la estrategia de la empresa como un diferencial, sino que también puede ser el principal combustible que hay detrás de una organización. Las búsquedas por medio de la TI también las realizan las personas comunes; el uso de e-mail está muy extendido, muchas personas tienen un perfil en una red de relaciones, las compras e intercambios de mercancías también se realizan a través de internet, los libros son leídos on-line. Internet a buen seguro fue la fuerza propulsora para lograr ese increíble movimiento cultural.
Naturalmente, con la creciente demanda de las TI por parte de las empresas y, también, por parte de las personas físicas, los problemas no tardaron en surgir. Las personas físicas y jurídicas han sufrido robos. Existen páginas en internet que son fraudes y son falsificaciones de otras páginas reales existentes (el caso de los bases y el phising), la imagen de muchas empresas se ven comprometidas, los datos confidenciales de las personas pueden estar expuestos debido a un ataque y etc... La lista es bastante extensa.
En 10/11/2010 el periódico electrónico G1 publicó que en los EEUU 7 personas, siendo 6 de Estonia, desviaron 14 millones de dólares debido a un fraude de anuncios on-line. Estos defraudaron libremente durante un periodo de 5 años. Los sospechosos crearon sus propios servidores falsos para redireccionar el tráfico de internet hacia las webs donde estos obtenían algunos ingresos gracias a la publicidad. El problema sólo fue identificado cuando estos infectaron 130 ordenadores de la NASA.
En 25/05/2009 el departamento periodístico del portal Softpedia publicó que un Gray-hat (hacker de sombrero ceniza que está entre un hacker de sombrero blanco y el hacker de sombrero negro, siendo un bien intencionado y otro mal intencionado respectivamente) Rumano Unu, a través de un ataque de inyección de SQL expuso las contraseñas de 245.000 usuarios de la empresa de telecomunicaciones francesa Orange. El sistema de Orange estaba bajo los cuidados del estratega-jefe de seguridad de IBM Internet Security Systems.
Se han creado muchas cosas para fortalecer y proteger los sistemas operativos en el que se refiere a la infraestructura. Firewalls, IDS (Intrusion detecion system), monitoreo de redes, DMZ (demilitarized zone), Biometría, etc... Cuando se aplican bien, hacen su trabajo de forma eficiente y puntual y garantizan una mayor protección al sistema computacional. Es posible afirmar que todas las capas de la red están bien desarrolladas en cuánto a la seguridad excepto la capa de aplicación. El desarrollo de sistemas es una de las áreas más afectadas por los aspectos de la seguridad. Muchos de los problemas de seguridad existentes hoy, no son, ni físicos y ni de procedimiento, sino que son debidos a errores de programación o de arquitectura."
Existen dos motivos básicos que justifican la razón de la necesidad de reforzar la seguridad en los sistemas operativos:
Existen directivas o políticas de seguridad que son necesarias obedecer
Existen amenazas al objetivo de la aplicación que necesitan ser eliminadas o mitigadas.
La seguridad de la información (SI) también debe considerar los aspectos del software, porqué la seguridad no es un parámetro único. La óptica del desarrollo de software tiene tres preocupaciones:
Seguridad en el entorno de desarrollo, cuando es necesario mantener los códigos fuentes seguros.
Seguridad de la aplicación desarrollada, teniendo como objetivo desarrollar una aplicación que sea segura y que no contenga fallos que comprometan la seguridad.
Garantizar la seguridad de la aplicación desarrollada, teniendo cómo garantizar al cliente la seguridad de la aplicación desarrollada a través de las pruebas adecuadas.
En este escenario donde la demanda de los sistemas operativos se encuentra en franco crecimiento y la oferta es relativamente escasa, los softwares se están desarrollando para los más variados fines sin la debida preocupación