Unidad 1 Seguridad en Aplicaciones Web

PORTAFOLIO DE EVIDENCIAS
Tecnolgico Nacional de Mxico

Instituto Tecnolgico de Zacatecas
rea de Sistemas y Computacin
Portafolio para la Materia de: Seguridad en

Aplicaciones Web
Departamento de Sistemas y Computacin
Autora
Sandra Lizzully Jcquez Fraire
NDICE
SANDRA LIZZULLY JACQUEZ FRAIRE
TEMARIO
CRITERIOS DE EVALUACIN
TTULO DEL TEMA: UNIDAD 1
COMPETENCIA DEL TEMA

6
ACTIVIDADES DE APRENDIZAJE
6
EVALUACIN DIAGNOSTICO
6
INTRODUCCIN
8
1. INTRODUCCIN A LA SEGURIDAD DE APLICACIONES WEB
8
DESARROLLO
8
CONCLUSIONES
16
REFERENCIAS
16
ANTOLOGA: ASPECTOS BSICOS DE LA SEGURIDAD EN APLICACIONES
WEB
16
INTRODUCCIN
16
DESARROLLO
16
CONCLUSIONES
20
PRACTICAS
21
PRCTICA 1: INSTALACIN DEL PROGRAMA EMULADOR DE EQUIPOS VIRTUALES
22
Introduccin
22
Desarrollo
22
Conclusiones
24
PRACTICA 2: INSATALACIN DEL SISTEMA BASE DE UNA DISTRIBUCION LINUX
QUE SE IDENTIFICA COMO CENTOS 7.
25
Introduccin
25
Desarrollo
25
Conclusiones
29
PRACTICA 3. ADMINISTRACIN BSICA EN MODO CONSOLA DE UN SISTEMA
OPERATIVO LINUX.
30
Introduccin
30
Desarrollo
30
Conclusiones
39
EVALUACIN OBJETIVA
40
MUNDO REAL
40
MAPA CONCEPTUAL: UNIDAD I
41
EVIDENCIA DEL USO DE LA PLATAFORMA.
42
TEMARIO
Unidad
1
Temas
Subtemas
Introduccin a la seguridad 1.1. Qu es la seguridad en aplicaciones
de aplicaciones Web.
informticas?
1.2. Necesidad de la seguridad.
1.3. Entorno y objetivos de la seguridad.
1.4. Requisitos funcionales.
1.5. Principios de seguridad.
1.6. Activos.
1.7. Administracin de riesgos.
Validacin de entradas.
Mecanismos
de 3.1. Mtodos de almacenamiento de credenciales.
autentificacin y proteccin 3.2. Complejidad de las contraseas.
3.3. Mtodos de autentificacin.
3.4. Uso de CAPTCHA.
3.5. Manejo de sesiones.
3.6. Autorizacin.
3.7. Manejo de errores y loggin.
3.8. Seguridad en Web Services.
Encriptacin.
2.1.
2.2.
2.3.
2.4.
2.5.
SQL Injection.
LDAP Injection.
XPATH Injection.
Cross-Site-Scripting.
Otros ataques inyeccin
Encriptacin del lenguaje de programacin.

Encriptado en conexin de BD.
5.1 Hardening de Servidores

5.1.1 Aseguramiento de recursos crticos con
Seguridad en el servidor de patches.
aplicaciones.
5.2 Hardening (Asegurar un sistema) de Sistemas
en Servidores.
5.2.1 Aseguramiento de recursos crticos en
sistemas.
5.2.2Reduccin de riesgos asociados con fraudes
y errores humanos.
CRITERIOS DE EVALUACIN
Evaluacin
Excelente (100-95); Notable (94-85); Bueno (84-75); Suficiente (74-65)

y Insuficiente (64-55)
Aspectos de Valoracin de los Criterios

de
la
evaluacin Instrumentos
la Evaluacin aspectos
(Formativo,
Diagnstico
y Aprendizaje
Sumativo)
Formativo.
Formativo
Formativo.
Antolog
o Asistir a clase.
Sumativo.
Reporte
10%.
Diagnstico
Pregunt
4%
Diagnstico
o
Llegar
a
tiempo.
.
abiertas
5%.
3%
Gua tc
Sumativo
o
Tener
buena
conducta.
3%
Mapa co
85%.
Diagnstico.
Platafor
o Evaluacin de los
lnea.
conocimientos previos.
Portafol
Pertinencia. 5%
Sumativo.
o Prctica:
Pertinencia.
10%
Ortografa.
5%
Estructura.
5%
Funcin y
fundamento
terico. 30%
o Investigacin de
informacin:
Campo Laboral.
Pertinencia
3%
Ortografa
1%
Y Estructura
1%
Pertinencia. 6%
Ortografa. 2%
Y Estructura. 2%
o Participacin
Pertinencia 10%
o Preguntas abiertas:
Pertinencia. (5%)
o Uso de la plataforma en
lnea:
Evidencia. (5%)
Nota: Con una falta de ortografa se resta 50% al porcentaje correspondiente, con la omisin de
un tema, con la omisin de un reporte y con informacin fuera de contexto de estudio. Los
criterios anteriores se evalan por tema de estudio.
TTULO DEL TEMA: UNIDAD 1

COMPETENCIA DEL TEMA
Manejar los conceptos sobre seguridad en aplicaciones basados en web.
ACTIVIDADES DE APRENDIZAJE
Evaluacin Diagnostico
1. Qu significa y cmo funciona NAT?
Es
un
mecanismo
utilizado
intercambiar paquetes entre
dos redes
por routers IP
que
para
asignan
mutuamente direcciones incompatibles. Consiste en convertir, en tiempo
real, las direcciones utilizadas en los paquetes transportados. Tambin es
necesario
editar
los
paquetes
para
permitir
la
operacin
de protocolos que incluyen informacin de direcciones dentro de la
conversacin del protocolo.
El protocolo TCP/IP tiene la capacidad de generar varias conexiones
simultneas con un dispositivo remoto. Para realizar esto, dentro de la
cabecera de un paquete IP, existen campos en los que se indica la
direccin origen y destino. Esta combinacin de nmeros define una
nica conexin.
La mayora de los NAT asignan varias mquinas (hosts) privadas a una
direccin IP expuesta pblicamente. En una configuracin tpica, una red
local utiliza unas direcciones IP designadas privadas para subredes
(RFC 1918). Un ruteador en esta red tiene una direccin privada en este
espacio de direcciones. El ruteador tambin est conectado a Internet
por medio de una direccin pblica asignada por un proveedor de
servicios de Internet. Como el trfico pasa desde la red local a Internet,
la direccin de origen en cada paquete se traduce sobre la marcha, de
una direccin privada a una direccin pblica. El ruteador sigue la pista
de los datos bsicos de cada conexin activa (en particular, la direccin
de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los
datos de seguimiento de la conexin almacenados en la fase de salida
para determinar la direccin privada de la red interna a la que remitir la
respuesta.
2. Qu significa y para qu sirve la NIC?
Network information center, mantiene todos los datos administrativos
del dominio y genera un archivo de zona que contiene las direcciones de
los servidores de nombres para cada dominio. Cada registro es una
organizacin que gestiona el registro de nombres de dominio dentro de
los dominios de los que es responsable, controla las polticas de
asignacin de nombres de dominio, y tcnicamente opera su dominio.
Tambin puede cumplir la funcin de un nombre de dominio de registro,
o podr delegar esta funcin a otras entidades
3. Cules son los factores tomar en cuenta para verificar la
conectividad en la NIC?
Tener conexin a una aplicacin que tenga salida a internet por
medio del cliente Windows
La configuracin de la NIC en el equipo virtual por medio de
virtual box
Saber configurar la NIC en el sistema Linux CentOS7 (IP ADDR-rol
de administrador, ifup enp0s3 puede variar dependiendo del
nmero de NIC, ifdown enp0s3)
La saturacin de la red a la que este conectado
En otra empresa puede haber control de la salida a internet por
medio de un firewall.
4. Cmo relaciona el equipo virtual con el acceso a internet?
A travs de la configuracin de la red
5. Cuntas direcciones IP proporciona una clase de red C?

Ip de id de red
Ip de broadcast
2e8 =256-2=254
6. Qu es el servicio DHCP y cmo funciona?
Siglas en ingls de Dynamic Host Configuration Protocol, en espaol
protocolo de configuracin dinmica de host) es un protocolo de
red de tipo cliente/servidor en el que generalmente un servidor posee
una lista de direcciones IP dinmicas y las va asignando a los clientes
conforme stas van quedando libres, sabiendo en todo momento quin
ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se
la ha asignado despus. As los clientes de una red IP pueden obtener
sus parmetros de configuracin automticamente.
DHCP funciona sobre un servidor central (servidor, estacin de trabajo o
incluso un PC) el cual asigna direcciones IP a otras mquinas de la red.
Este protocolo puede entregar informacin IP en una LAN o entre varias
VLAN. Esta tecnologa reduce el trabajo de un administrador, que de otra
manera tendra que visitar todos los ordenadores o estaciones de trabajo
uno por uno. Para introducir la configuracin IP consistente en IP,
mscara, Gateway, DNS, etc.
7. Qu significa DBMS?
(Data Base Management System). Son las siglas en ingls para los
Sistemas de Gestin de Bases de Datos (SGBD). Bajo este nombre se
conoce a productos de fabricantes como Oracle, Sybase, Informix,
Ingres, Borland, Microsoft, IBM, etc.
Sistema de administracin de bases de datos. Software que controla la
organizacin, almacenamiento, recuperacin, seguridad e integridad de
los datos en una base de datos. Acepta solicitudes de la aplicacin y
ordena al sistema operativo transferir los datos apropiados.
Introduccin
1. Introduccin a la seguridad de aplicaciones Web
En este trabajo se pretende dar una Introduccin a la seguridad en aplicaciones
Web, la importancia que tiene hoy en da la aplicacin de seguridad web en la
informtica, as como tambin se abordaran los entornos y objetivos que
conlleva la seguridad web.
Desarrollo
1. Introduccin a la seguridad de aplicaciones Web
La seguridad es un aspecto crtico de las aplicaciones Web. Las aplicaciones
Web, por definicin, permiten el acceso de usuarios a recursos centrales, el
servidor Web y, a travs de ste, a otros como los servidores de base de datos.
Con los conocimientos y la implementacin correcta de medidas de seguridad,
puede proteger sus propios recursos as como proporcionar un entorno seguro
donde los usuarios trabajen cmodos con su aplicacin.
1.1 Qu es la seguridad en aplicaciones informticas?
Es una disciplina que se encarga de proteger la integridad y la privacidad de la
informacin almacenada en un sistema informtico.
Podemos considerar la seguridad como una caracterstica de cualquier sistema
(aunque no sea informtico) que indica que ese sistema est libre de
peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que
pueda afectar su funcionamiento directo o los resultados que se obtienen del
mismo. El concepto de seguridad en informtica es utpico porque no existe un
sistema 100 % seguro. Para que un sistema se pueda definir como seguro ha
de poseer las siguientes caractersticas:
Integridad
Confidencialidad
Disponibilidad
A pesar de lo til que es internet, hay peligros, con el solo hecho de estar
conectado el usuario est expuesto a riesgos, sobre todo con la ausencia de
cortafuegos (firewall) y el uso de programas no seguros, como por ejemplo los
productos Microsoft (Windows, Word, Internet Explorer, Outlook, ..), de forma
que es fundamental extremar las medidas de seguridad.
1.2 Necesidad de la seguridad
POR QUE ES TAN IMPORTANTE LA SEGURIDAD?
Por la existencia de personas ajenas a la informacin, tambin conocidas como
piratas informticos o hackers, que buscan tener acceso a la red empresarial
para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo o de
sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de
70 por ciento de las Violaciones e intrusiones a los recursos informticos se
realiza por el personal interno, debido a que ste conoce los procesos,
metodologas y tiene acceso a la informacin sensible de su empresa, es decir,
a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de
la organizacin.
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad
con los que cuentan la mayora de las compaas a nivel mundial, y porque no
existe conocimiento relacionado con la planeacin de un esquema de
seguridad eficiente que proteja los recursos informticos de las actuales
amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.
AMENAZAS Y VULNERABILIDADES
Por vulnerabilidad entendemos la exposicin latente a un riesgo. En el rea de
informtica, existen varios riesgos tales como: ataque de virus, cdigos
maliciosos, gusanos, caballos de Troya y hackers; no obstante, con la adopcin
de Internet como instrumento de comunicacin y colaboracin, los riesgos han
evolucionado y, ahora, las empresas deben enfrentar ataques de negacin de
servicio y amenazas combinadas; es decir, la integracin de herramientas
automticas de "hackeo", accesos no autorizados a los sistemas y capacidad
de identificar y explotar las vulnerabilidades de los sistemas operativos o
aplicaciones para daar los recursos informticos.
Especficamente, en los ataques de negacin de servicio, el equipo de cmputo
ya no es un blanco, es el medio a travs del cual es posible afectar todo el
entorno de red; es decir, anular los servicios de la red, saturar el ancho de
banda o alterar el Web Site de la compaa. Con ello, es evidente que los
riesgos estn en la red, no en la PC.
Es por la existencia de un nmero importante de amenazas y riesgos, que la
infraestructura de red y recursos informticos de una organizacin deben estar
protegidos bajo un esquema de seguridad que reduzca los niveles de
vulnerabilidad y permita una eficiente administracin del riesgo.
Las polticas debern basarse en los siguientes pasos:
Identificar y seleccionar lo que se debe proteger (informacin sensible)
Establecer niveles de prioridad e importancia sobre esta informacin
Conocer las consecuencias que traera a la compaa, en lo que se
refiere a costos y productividad, la prdida de datos sensibles
Identificar las amenazas, as como los niveles de vulnerabilidad de la red
Realizar un anlisis de costos en la prevencin y recuperacin de la
informacin, en caso de sufrir un ataque y perderla
Implementar respuesta a incidentes y recuperacin para disminuir el
impacto
Este tipo de polticas permitir desplegar una arquitectura de seguridad basada
en soluciones tecnolgicas, as como el desarrollo de un plan de accin para el
manejo de incidentes y recuperacin para disminuir el impacto, ya que
previamente habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideracin, que las amenazas no disminuirn y las
vulnerabilidades no desaparecern en su totalidad, por lo que los niveles de
inversin en el rea de seguridad en cualquier empresa, debern ir acordes a
la importancia de la informacin en riesgo.
1.3 Entorno y objetivos de la seguridad
En el entorno de seguridad:
La descripcin se enfoca principalmente a las necesidades del usuario y
con ello facilita la definicin de requerimientos.
El anlisis considera los diversos factores con los que interacta.
Su anlisis hace explcitas las hiptesis que se plantea al desarrollar el
PP y las expectativas sobre el entorno que no se resolvern en otros
mbitos.
Su anlisis identifica las amenazas a las que est expuesto el objeto de
evaluacin y determina las polticas de seguridad que debern operar
para resguardar el entorno.
En una aplicacin web, dividimos la seguridad en los siguientes objetivos:
Disponibilidad: Propiedad o caracterstica de los activos consistentes
en que las entidades o procesos autorizados tienen acceso a los mismos
cuando lo requieren.
Autenticidad: Propiedad o caracterstica consistente en que una
entidad es quien dice ser o bien que garantiza la fuente de la que
proceden los datos
Integridad: Propiedad o caracterstica consistente en que el activo de
informacin no ha sido alterado de manera no autorizada.
Confidencialidad: Propiedad o caracterstica consistente en que la
informacin ni se pone a disposicin, ni se revela a individuos, entidades
o procesos no autorizados.
Trazabilidad: Propiedad o caracterstica consistente en que las
actuaciones de una entidad pueden ser imputadas exclusivamente a
dicha entidad.
1.4 Requisitos funcionales
La redaccin de una especificacin de requisitos requiere una profunda
reflexin sobre los objetivos que pretendemos alcanzar con el sitio web. En
funcin de su naturaleza, podemos identificar diferentes tipos de requisitos:
1. Requisitos funcionales del sitio web: estos requisitos se obtendrn a
partir de los intereses manifestados tanto por el responsable del sitio
web, como de las personas que tendrn que interactuar directamente
con l. Para extraer esta informacin es conveniente entrevistarse con
todas las partes involucradas en la gestin y desarrollo del sitio web.
Algunas de las preguntas que habrn de responderse en esta fase son:
a. Cul es el objetivo del sitio web?
b. Qu tipo de usuarios tendr?
c. Qu tareas llevarn a cabo a los distintos tipos de usuarios?
2. Requisitos tcnicos: son aquellos requisitos que garantizan la calidad del
desarrollo informtico del sitio web. Concretamente tendremos que
supervisar:
a. Administracin y mantenimiento del sitio web: atendiendo a los
requisitos funcionales habr que decidir qu gestor de contenidos
vamos a utilizar. En estos momentos los dos gestores de
contenido (de cdigo no propietario) ms utilizados son Joomla
(caracterizado por su sencillez) y Drupal (caracterizado por la
potencia de sus herramientas de comunicacin). Es muy
importante que el gestor de contenidos tenga definidos los tipos
de usuarios (con sus correspondientes permisos) que se hayan
decidido (en la especificacin de requisitos funcionales), y que
permita el desarrollo del flujo de trabajo que se ha previsto.
Tambin es esencial que permita la realizacin de copias de
seguridad de los contenidos.
b. Codificacin y formato de los contenidos del sitio web: se har
diferenciando
contenidos
y
formato,
y
respetando
escrupulosamente los estndares que existen a tal efecto, en este
10
c.
d.
e.
f.
g.
momento XHTML (versiones Transitional o Strict) para la

especificacin de los contenidos y CSS para la especificacin del
formato. La utilizacin de otros lenguajes se har slo cuando su
uso o la naturaleza del contenido lo justifique (para mejorar la
apariencia de los mens, incluir alguna animacin o video,
reproducir un fichero de audio, etc.). Tambin es conveniente
intentar prever el tipo de contenidos multimedia que vamos a
incluir en nuestro sitio, y as implementar la tecnologa que
permita su reproduccin desde nuestra web, o en su defecto
facilitar el enlace a los plugins que el usuario necesitar para su
visualizacin (aunque en la medida de lo posible se desaconseja
esta ltima opcin). Por ltimo, no debemos olvidar mencionar en
la especificacin de requisitos la necesidad de que el sitio web sea
desarrollado con una codificacin que lo haga funcional y usable
en los principales navegadores (principalmente en Internet
Explorer y Mozilla Firefox).
Arquitectura del sitio web: la organizacin de los contenidos en el
sitio web deber ser coherente. Especialmente relevante ser
contar con buenos mens de navegacin. Un sitio web tendr una
buena navegacin si no necesitamos acudir a los botones de
navegacin del navegador para desplazarnos por l. Para la
correcta comprensin e implementacin de la arquitectura es muy
importante la elaboracin de prototipos que ilustren la
organizacin de los contenidos.
Usabilidad: el uso del sitio web debe resultar sencillo y cmodo a
todos sus usuarios.
Accesibilidad: en la medida que sea posible habr de garantizarse
un nivel mnimo de accesibilidad para los usuarios con
necesidades especiales. Si el sitio web est siendo desarrollado
para una institucin pblica (espaola) se ha de tener presente
que, por ley, deber cumplir un nivel de accesibilidad AA
conforme a la especificacin del WAI.
Posicionamiento: tanto la arquitectura del sitio, como el gestor
implementado, debern facilitar la gestin de los contenidos (y
muy especialmente de los metadatos) de manera que podamos
potenciar las palabras clave para las que deseamos posicionarnos.
Otras consideraciones: a estos aspectos generales habra que
sumar aquellos propios de nuestro sitio web, como podra ser:
desarrollo del buscador interno, creacin y mantenimiento de un
tesauro, etc.
VERIFICACIN DE LOS REQUISITOS

Una vez redactada y aceptada la especificacin de requisitos se iniciar el
desarrollo del sitio web. Lo ms apropiado es establecer reuniones de
seguimiento ajustadas al calendario de desarrollo del sitio web. Estas reuniones
deben servir para validar o rechazar el trabajo desarrollado. En ellas se
analizar si los requisitos especificados se estn cumpliendo.
11
VALIDACIN DE LOS REQUISITOS

Cuando el proyecto de desarrollo est prximo a su fin, se deber solicitar una
demo de nuestro sitio web que nos permita valorar si el funcionamiento del
sitio web se ajusta a nuestras especificaciones o no. Si el producto satisface los
requisitos especificados se dar por finalizado el proyecto. Si el producto
presenta deficiencias, stas debern ser corregidas. Especial atencin deber
prestarse en esta fase a:
La validacin del cdigo fuente (con analizadores como el del W3C).

La validacin de la accesibilidad (con analizadores como TAW).
La navegabilidad del sitio web con diferentes navegadores.
La usabilidad de los formularios en diferentes navegadores.
La correcta ejecucin de las aplicaciones de nuestra web en diferentes
navegadores.
Para terminar, se detalla el ndice de una posible especificacin de requisitos:

1. Objetivos del sitio web.
2. Estructura y diseo del sitio web:
a. La pgina de inicio.
b. Pginas secundarias.
c. Men principal de navegacin.
d. Men secundario de navegacin.
3. Tipologa de los usuarios:
a. Usuario no registrado.
b. Usuario registrado.
c. Usuario colaborador.
d. Usuario experto.
e. Usuario administrador.
f. Usuario sper administrador.
4. Flujo de trabajo.
5. Desarrollo del motor de bsqueda.
6. Usabilidad de la plataforma.
7. Accesibilidad de la plataforma.
8. Copia de seguridad de los contenidos.
9. Posicionamiento en buscadores: gestin de las palabras clave.
10.Look & Feel: apariencia del sitio web.
1.5 Principios de seguridad
El proyecto OWASP (Open Web Application Security Project) tiene como
objetivo ofrecer una metodologa, de libre acceso y utilizacin, que pueda ser
utilizada como material de referencia por parte de los arquitectos de software,
desarrolladores, fabricantes y profesionales de la seguridad involucrados en el
diseo, desarrollo, despliegue y verificacin de la seguridad de las aplicaciones
y servicios web.
12
Los principios bsicos de seguridad que cualquier aplicacin o servicio web
debe cumplir:
Validacin de la entrada y salida de informacin La entrada y

salida de informacin es el principal mecanismo que dispone un
atacante para enviar o recibir cdigo malicioso contra el sistema. Por
tanto, siempre debe verificarse que cualquier dato entrante o saliente es
apropiado y en el formato que se espera. Las caractersticas de estos
datos deben estar predefinidas y debe verificarse en todas las ocasiones.
Diseos simples Los mecanismos de seguridad deben disearse para
que sean los ms sencillos posibles, huyendo de sofisticaciones que
compliquen excesivamente la vida a los usuarios. Si los pasos necesarios
para proteger de forma adecuada una funcin o modulo son muy
complejos, la probabilidad de que estos pasos no se ejecuten de forma
adecuada es muy elevada.
Utilizacin y reutilizacin de componentes de confianza Debe

evitarse reinventar la rueda constantemente. Por tanto, cuando exista un
componente que resuelva un problema de forma correcta, lo ms
inteligente es utilizarlo.
Defensa en profundidad Nunca confiar en que un componente

realizar su funcin de forma permanente y ante cualquier situacin.
Hemos de disponer de los mecanismos de seguridad suficientes para
que cuando un componente del sistema fallen ante un determinado
evento, otros sean capaces de detectarlo.
Tan seguros como en eslabn ms dbil La frase "garantizamos la

seguridad, ya que se utiliza SSL" es realmente muy popular, pero
tambin es muy inexacta. La utilizacin de SSL garantiza que el trfico
en trnsito entre el servidor y el cliente se encuentra cifrado, pero no
garantiza nada acerca de los mecanismos de seguridad existentes. Por
tanto, no debemos fiarnos nicamente de los mecanismos de seguridad
"exteriores", sino que es preciso identificar cuales son los puntos
precisos en los que deben establecerse las medidas de seguridad. Si
nosotros no hacemos este trabajo, seguro que los atacantes si lo harn.
La "seguridad gracias al desconocimiento" no funciona El simple

hecho de ocultar algo no impide que, a medio o largo plazo, llegue a ser
descubierto. Tampoco es ninguna garanta de que tampoco ser
descubierto a corto plazo.
Verificacin de privilegios. Los sistemas deben disearse para que

funcionen con los menos privilegios posibles. Igualmente, es importante
que los procesos nicamente dispongan de los privilegios necesarios
para desarrollar su funcin, de forma que queden compartimentados.
13
Ofrecer la mnima informacin Ante una situacin de error o una

validacin negativa, los mecanismos de seguridad deben disearse para
que faciliten la mnima informacin posible. De la misma forma, estos
mecanismos deben estar diseados para que una vez denegada una
operacin, cualquier operacin posterior sea igualmente denegada.
1.6 Activos
Son aquellos recursos (hardware/software), que tiene explota una empresa.
Dice ser, por ejemplo, las BBDDs que tienen las empresas en sus ERPs para
guardar la informacin de sus clientes/proveedores/productos.
Tambin son los elementos hardware, como los PCs que tiene y que pone a
disposicin de sus usuarios para poder realizar el trabajo diario.
Agentes que interaccionan
Usuarios, son el 70% de agentes que interaccionan con los sistemas IT, 30%
sistemas automatizados en los ERPs para generar informacin (valor de
negocio).
Amenazas
La mayor amenaza, es la destruccin de los activos, por esto, en los activos
software, se realizan Backup para poder volver a "reconstruir"/restaurar estos
activos.
En los activos Hardware, normalmente, tienen un proveedor de hardware para
aprovisionar la reparacin/actualizacin de estos para que estn disponibles
para su uso.
1.7 Administracin de riesgos.
Mientras se ejecuta el plan de seguridad, se llevan a cabo dos tipos de
actividades de administracin de riesgo durante el ciclo de vida del proyecto.
La primera es administrar el riesgo inherente al propio proyecto y la segunda
es administrar el riesgo asociado a los componentes de seguridad. Los riesgos
del proyecto se evalan slo durante el ciclo de vida del proyecto, mientras
que los riesgos de seguridad se deben evaluar durante el ciclo de vida
completo de la solucin o el sistema. La disciplina de administracin de riesgo
MSF sirve como base para la administracin de riesgos de las evaluaciones de
los proyectos y de la seguridad. Los procesos de DAR y DARS recomiendan un
enfoque preventivo, una evaluacin continua del riesgo y una integracin en la
toma de decisiones durante todo el proyecto y funcionamiento del entorno.
La seguridad del sistema informtico se debe realizar de forma preventiva y
continua para garantizar la seguridad de los activos de informacin y
supervisar nuevas amenazas y vulnerabilidades. Siempre que se agreguen
funcionalidades nuevas a la infraestructura de tecnologa de la organizacin
deber tomarse en cuenta la seguridad de la informacin. Adems, es posible
que algunos procesos y procedimientos empresariales deban alterarse para
operar en el entorno modificado y proporcionar proteccin a los activos de
informacin nuevos.
14
Los nueve pasos de la Disciplina de administracin de riesgos de seguridad
son:
Evaluacin
1 Evaluacin y valoracin del activo
.
2 Identificacin de los riesgos de seguridad
.
3 Anlisis y ordenacin segn prioridad de los riesgos de seguridad
.
4 Seguimiento, planeamiento y programacin de los riesgos de seguridad
. Desarrollo e implementacin
5 Desarrollo de las soluciones de seguridad
.
6 Pruebas de las soluciones de seguridad
.
7 Obtencin de informacin sobre seguridad
. Operacin
8 Reevaluacin de los riesgos de seguridad y los activos nuevos y
. cambiados
9 Estabilizacin e implementacin de contramedidas nuevas o cambiadas
.
Conclusiones
Al momento de desarrollar aplicaciones web se debe tener en cuenta la
seguridad en el manejo d datos de entrada y salida, para as evitar el robo de
informacin de aplicaciones.
La seguridad de las aplicaciones es considerada un importante aspecto de
control interno en las entidades con alto porcentaje de automatizacin de sus
operaciones.
Es importante tener en cuenta los requisitos funcionales y principios bsicos
para el desarrollo de aplicaciones Web.
Referencias
https://msdn.microsoft.com/es-mx/library/cc437552(v=vs.71).aspx
http://definicion.de/seguridad-informatica/
http://www.um.es/docencia/barzana/IACCSS/Seguridad-en-informatica.html
http://seginfouno.blogspot.mx
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/EntornoPerfiles.php
http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/212
http://es.slideshare.net/rpedraza/especificacin-de-requisitos-de-un-sitio-web
http://www.desarrolloweb.com/articulos/996.php
http://www.mastermagazine.info/termino/4544.php
https://www.hard2mano.com/topic/77347-que-son-activos-informaticos/
15
ANTOLOGA: ASPECTOS BSICOS DE LA SEGURIDAD EN

APLICACIONES WEB
Introduccin
Este documento pretende dar a conocer algunos aspectos necesarios para la
seguridad en aplicaciones web, as como algunos de los problemas que se
presentan al desarrollar aplicaciones, tambin se pretende abordar algunas
prcticas bsicas que es necesario realizar para una aplicacin segura, algunos
tipos de vulnerabilidad y sistemas de autentificacin.
Desarrollo
Introduccin a la Seguridad en Sistemas Web
Un efecto secundario del crecimiento exponencial que ha tenido el Internet es
la privacidad de informacin tanto personal como profesional. Mientras ms se
conecta el mundo, la necesidad de seguridad en los procedimientos usados
para compartir la informacin se vuelve ms importante. Respecto a los
servidores web, es comn escuchar sobre fallas en los sistemas de proteccin
de los servidores ms frecuentemente utilizados (Apache, IIS, etc.), o en los
lenguajes de programacin en los que son escritas las aplicaciones que son
ejecutadas por estos servidores. Pero es un hecho, que la mayora de los
problemas detectados en servicios web no son provocados por fallas
intrnsecas de ninguna de estas partes, ya que una gran cantidad de los
problemas se generan por malos usos por parte de los programadores.
Problemas principales en la Programacin de Sistemas Web
Una gran parte de los problemas de seguridad en las aplicaciones web son
causados por la falta de seguimiento por parte del programador en los
siguientes aspectos:
Entradas al sistema
Salidas del sistema
Quizs uno de los consejos de seguridad en PHP ms conocido en cualquier
foro de Internet es el uso del parmetro register_globals que es considerado a
priori por muchos administradores como un defecto en la configuracin y muy
probablemente sin entender con cabalidad que es lo que implica esta
configuracin.
2.1 Balancear Riesgo y Usabilidad
Si bien la usabilidad y la seguridad en una aplicacin web no son
necesariamente mutuamente excluyentes, algunas medidas tomadas para
incrementar la seguridad con frecuencia afectan la usabilidad. La
recomendacin inicial sera tratar de usar medidas de seguridad que sean
transparentes a los usuarios.
2.2 Rastrear el paso de los Datos
La medida ms importante como desarrollador preocupado por la seguridad
que podemos tomar es mantener conocimiento de los pasos que ha recorrido la
16
informacin en todo momento. Conocer de donde vinieron los datos y hacia
dnde van.
En las aplicaciones web, existen maneras de distinguir los orgenes de los
datos y poder as reconocer cuando los datos pueden ser dignos de confianza y
cuando no.
2.3 Filtrar Entradas
El filtrado es una de las piedras angulares de la seguridad en aplicaciones web.
Es el proceso por el cual se prueba la validez de los datos. Si nos aseguramos
que los datos son filtrados apropiadamente al entrar, podemos eliminar el
riesgo de que datos contaminados y que reciben confianza indebida sean
usados para provocar funcionamientos no deseados en la aplicacin.
El proceso de filtrado debe estar conformado por los siguientes pasos:
Identificar la entrada.
Filtrado de la entrada.
Distinguir entre datos que ya han pasado por el filtro y los que no.
Existen adems muchos puntos de vista diferentes sobre como realizar el
filtrado o proceso de limpieza. Lo que usualmente se recomienda es ver al
filtrado como un proceso de inspeccin, no debemos tratar de corregir los
datos, es mejor forzar a los usuarios a jugar con las reglas vlidas.
2.4 Escapar salidas
Otra piedra angular de la seguridad en aplicaciones web es el proceso de
escapado y su contraparte para codificar o decodificar caracteres especiales de
tal forma que su significado original sea preservado.
Clasificacin de Ataques
3.1 Ataques URL de tipo Semntico
Este tipo de ataques involucran a un usuario modificando la URL a modo de
descubrir acciones a realizar originalmente no planeadas para l.
3.2 Ataques al subir archivos
Existen algunos ataques que aprovechan la posibilidad de la aplicacin de subir
archivos al servidor.
3.3 Ataques de Cross-Site Scripting
XSS es un tipo de vulnerabilidad de seguridad informtica tpicamente
encontrada en aplicaciones web que permiten la inyeccin de cdigo por
usuarios maliciosos en pginas web vistas por otros usuarios.
Tipos de vulnerabilidad XSS
Existen tres diferentes tipos de vulnerabilidades XSS:
Tipo 0
Tambin conocido como basado en el DOM o Local. Con este tipo de
vulnerabilidad, el problema existe en el script del lado del cliente.
Tipo 1
A este tipo de agujero XSS se le conoce tambin como no persistente o
reflejado, y es por mucho el ms comn. Estos agujeros aparecen cuando los
17
datos provistos por un cliente web son usados inmediatamente en el lado del
servidor para generar una pgina de resultados para el usuario.
3.4 Cross-Site Request Forgeries
Este tipo de ataque permite al atacante enviar peticiones HTTP a voluntad
desde la mquina de la vctima. Por la naturaleza de este tipo de ataques, es
difcil determinar cuando una peticin HTML se ha originado por un ataque de
este tipo.
3.5 Envo de Formas falsificadas
Falsificar una forma es casi tan fcil como manipular una URL. En el fondo, el
envo de una forma emplea el mismo mecanismo, la peticin HTTP enviada por
el navegador al servidor. El formato con el que va a contar la peticin se
encuentra predeterminado por la forma y algunos de los datos enviados en la
peticin son dados por el usuario.
3.6 Peticiones HTTP Falsificadas
Un ataque ms sofisticado que el anterior es enviar peticiones falsas
empleando herramientas especiales para este propsito. La existencia de este
tipo de ataques es una prueba determinante de que los datos enviados por los
usuarios no son dignos de ninguna confianza.
Seguridad de las Aplicaciones y su relacin con las Bases de Datos
La mayora de las aplicaciones web son usadas como un conducto entre
muchas fuentes de datos y el usuario, esto es, las aplicaciones web son usadas
frecuentemente para interactuar con una base de datos.
4.1 Exposicin de Credenciales de Acceso
Uno de los asuntos principales a ser cuidados cuando se utiliza una base de
datos es el almacenamiento de las credenciales de acceso a ella.
La mejor solucin a este problema es almacenar los archivos a incluir en otro
lugar fuera del directorio raz. No es necesario tenerlos en algn lugar en
particular en el sistema de archivos para ser capaces de incluirlos o requerirlos,
solo es necesario garantizar que el servidor tenga privilegios de lectura.
La inyeccin de cdigo SQL es una de las vulnerabilidades ms comunes en
aplicaciones PHP. Una vulnerabilidad de SQL Injection requiere dos fallas por
parte del programador:
1. Fallas en el filtrado de los datos.
2. Fallas en el escapado de los datos al enviarlos a la base de datos
(escapado de salida).
Ninguno de estos pasos cruciales debe ser omitido, y los dos pasos requieren
especial atencin para poder minimizar los errores.
4.3 Exposicin de datos
Una de las preocupaciones ms comunes relacionadas con las bases de datos
es la exposicin de datos sensibles. Al almacenar nmeros de tarjetas de
crdito, o algo tan delicado, es preferible asegurarse que los datos
almacenados en la base de datos se encuentran seguros e inaccesibles incluso
para los administradores de la base.
18
Pginas Privadas y los Sistemas de Autenticacin
La autenticacin es el proceso por el cual la identidad de un usuario en el
sistema es validada. Comnmente el procedimiento involucra un nombre de
usuario y una contrasea a revisar. Una vez autenticado el usuario es
registrado (logeado) como un usuario que se ha autenticado.
El control de acceso debe encontrarse totalmente integrado al diseo original.
No debe ser algo improvisado sobre una aplicacin ya existente.
5.1 Ataques de Fuerza Bruta
Un ataque de este tipo agota todas las posibilidades sin preocuparse por cuales
opciones son las que tienen mayor probabilidad de funcionar.
Limitar el nmero de intentos que se le permite al usuario tratar de adivinar es
una medida efectiva en contra de estos ataques, pero tiene por desventaja de
poder afectar el uso del sistema a usuarios legtimos.
5.2 Espionaje de Contraseas (Password Sniffing)
Cuando un atacante tiene los medios para analizar el trfico entre los usuarios
y el servidor de la aplicacin, debemos preocuparnos por la exposicin que
pueden tener los datos en el trayecto, sobretodo cuando se trata de
credenciales de acceso.
Una manera efectiva de prevenir este tipo de problemas es usar SSL para
proteger los contenidos enviados en las peticiones y respuestas en HTTP.
5.3 Registros persistentes
Cuando un usuario permanece en el estado de registrado despus de un
tiempo no razonable (cuando la sesin expir por ejemplo), tenemos un
problema de registros persistentes.
Este tipo de problemas disminuyen la seguridad de nuestro mecanismo de
autenticacin.
Conclusiones
Para que una aplicacin web sea segura es muy importante protegerse contra
las amenazas y darles seguimiento a las entradas y salidas del sistema ya que
si no se les da el debido alcance pueden presentarse varios problemas. Se
deben seguir una serie de prcticas y medidas de seguridad.
Existen diferentes tipos de ataques en las aplicaciones web pueden ir desde un
ataque URL de tipo semntico hasta peticiones HTTP falsificadas, donde el
atacante puede confeccionar a gusto su peticiones HTTP.
Un mal seguimiento puede ocasionar la perdida de informacin confidencial de
los usuarios del sistema.
19
PRACTICAS
Tecnolgico Nacional de Mxico

Instituto Tecnolgico de Zacatecas
Manual de Prcticas para la Materia de:

Seguridad en aplicaciones Web.
Autor
Sandra Lizzully Jacquez Fraire
20
PRCTICA 1: INSTALACIN
EQUIPOS VIRTUALES
DEL
PROGRAMA
EMULADOR
DE
Introduccin
Este documento pretende mostrar la manera de instalar un programa emulador
de equipos virtuales llamado virtual box.
Desarrollo
1. Iniciar el instalador de Virtual Box y seguir las instrucciones del
asistente.
2. Dar clic en el botn siguiente
3. Dar clic en siguiente
21
4. Dar clic en si
5. Dar clic en instalar para que comience el proceso de instalacin
22
6. Dar clic en finalizar para que la instalacin finalice y empezar a usar

Virtual box
Conclusiones
El uso de las mquinas virtuales nos permite evitar errores que podran daar
nuestro sistema operativo real.
Antes de instalar un sistema operativo en una mquina virtual debemos hacer
las configuraciones correctas de disco duro y memoria RAM.
Es muy importante que al asignar memoria RAM a una mquina virtual se tome
en cuenta la memoria que se tiene fsicamente disponible en la maquina real.
PRACTICA 2: INSATALACIN DEL SISTEMA BASE DE

DISTRIBUCION LINUX QUE SE IDENTIFICA COMO CENTOS 7.
UNA
23
Introduccin
Este documento pretende mostrar la manera de instalar la distribucin de
Linux conocida como Centos 7.
CentOs es un sistema operativo de clase empresarial basado en la comunidad.
Est disponible de forma gratuita, y como un derivado totalmente de Red Hat
Enterprise Linux representa el primer sistema operativo de la eleccin para las
organizaciones, empresas, profesionales y usuarios domsticos de todo el
mundo que tiene la intencin de ejecutar un servidor.
Desarrollo
1. Como primer paso crear un equipo virtual con 512 Mb de memoria RAM y
un disco duro de 20 GB.
2. Asociar la imagen ISO del sistema operativo Centos 7 con el equipo
virtual del paso anterior
3. Se elegirn las opciones de configurar las particiones manualmente y
Cifrar mis datos.
4. Nos aparecera una ventana coma la siguiente, aqu daremos clic en el

hiervinculo
24
5. En esta ventana hay que planificar el servidor de la siguiente manera

4GB
/
2GB
/home100MB
swap
1GB (Doble de la RAM)
/var/www
500MB
/boot
250mb
/tmp
150MB
6. Despus aparecer una ventana como la siguiente la cual nos pedir na

contrasea de cifrado
25
7. Iniciar el proceso de instalacin del sistema operativo Centos 7.
8. Despus de que el proceso de instalacin haya concluido, prosigue

ingresar la contrasea de administrador.
9. Luego se crear un usuario donde se ingresaran los siguientes datos:
26
10.Dar clic en el botn finalizar configuracin
11.Despus dar clic en el botn reiniciar
12.Al reiniciar la maquina virtual ingresa el usuario y contrasea
27
Conclusiones
En est practica me fue necesario instalar dos veces Centos ya que la primera
vez no haba particionado de manera cifrada por lo que aprend que es
importante especificar muy bien cada una de las particiones, verificar que haya
espacio suficiente en ellas y hacerlo de manera cifrada todo esto para una
mejor seguridad.
PRACTICA 3. ADMINISTRACIN BSICA EN MODO CONSOLA DE

UN SISTEMA OPERATIVO LINUX.
28
Introduccin
En este documento se pretende dar una explicacin de cmo operar los
comandos de Linux.
Linux es un sitema operativo que usa tres tipos bsicos de cuentas: De tipo
administracin, de tipo regular (usuarios) y de tipo servicio (mail, Apache,
Squid, Samba, etc.). La gestin de los servicios o modificacin de los archivos
de configuracin requiere que el usuario sea el administrador del sistema, as
que, se debe tener cuidado con los cambios que se le hacen al sistema para
evitar perdida de datos o an peor, daar el sistema de tal forma que sea
imposible la recuperacin de este.
La cuenta root se crea automticamente, durante el proceso de instalacin y
permite la administracin del sistema de manera completa. Las cuentas de
usuario son creadas por el administrador del sistema o por el usuario que tiene
permisos de administracin sobre el sistema y no permiten gestionar el
sistema. La cuenta de servicio se usa para especificar un servicio determinado
como: el servicio de correo electrnico, el servicio de servidor Web, el servicio
de servidor proxy, el servicio de comparticin de archivos con el sistema
operativo Windows, etc., para interactuar con el sistema.
Desarrollo
Comando
pwd
Descripcin
Muestra la ubicacin actual. Ejemplo:
clear
Limpia la terminal. Ejemplo:
Pipe se usa en combinacin con otros comandos

Ejemplo: ls |more
Se usa para mostrar texto en la pantalla terminal. Como
auxiliar en otros comandos ejemplo: cat |more
more
29
cd
Cambiar de directorio.
md/mkdir
Crea un nuevo directorio
rm
Borra o elimina archivos.
cp
Copia archivos
mv
Mueve archivos y directorios. Renombra un archivo o directorio.

Ejemplo mv hola.txt hola.dat
30
vi
nano
Editor visual de pantalla, editor de textos, que encuentras en

todas las distribuciones Linux. Ejemplo: vi hola.txt
Editor de textos.
cat
Muestra el contenido de archivos y concatena archivos.
find
Bsqueda de archivos, multitud de opciones de bsqueda.
history
Muestra el historial de comandos del usuario.
grep
Busca patrones de cadenas dentro de archivos.

31
fgrep
tail
Es igual que 'grep -F' para uso de expresiones regulares en

bsquedas de archivos y listados.
Muestra la parte final de un archivo.
who
Muestra quien est conectado al sistema.
whereis
Localiza el binario, fuentes y/o libreras, y documentacin de un

comando.
32
touch
Crea archivos vacos, cambia fechas de acceso y/o modificacin

de archivos.
yum
Instalar paquetes
33
ip addr
Ver la tarjeta de red
ifdown
Dar de baja la tarjeta de red
ifup
Activar la tarjeta de red
34
ps
Muestra los procesos del sistema o del usuario o ambos.
service
Ejecuta/detiene servicios en modo manual. Ejemplo: service

bluetooth restart
adduser
Aade un nuevo usuario. Ejemplo: adduser ljacquez
deluser
Elimina un usuario. Ejemplo: deluser ljacquez
ss
Utileria similar a netstat pero ms bsica, listados rpidos de

sockets establecidos.
35
ping
Manda un echo_request (solicitud de eco) a un equipo en la

red.
passwd
Cambia la contrasea del usuario indicado.
36
route
Muestra/altera la tabla de ruteo IP.
systemctl
systemd
Permite controlar el sistema de inicializacin sytemd

Gestor del sistema y servicios
37
Conclusiones
Existen muchos comandos en Linux para administrador y para usuario comn
de los cuales conoca solo algunos pero con esta prctica eh aprendido algunos
ms. Algunos comandos se encuentran obsoletos y otros tiene distintos
nombres que en otras distribuciones de Linux, todo depende de la versin y
distribucin que se este utilizando.
38
Evaluacin Objetiva
1.1.
Qu es la seguridad en aplicaciones informticas?

Es una evolucin tecnolgica que se encarga de proteger la
integridad y la privacidad de la informacin que se encuentra
almacenada en un sistema.
1.2.
Necesidad de la seguridad.
En la seguridad es necesario que los datos cumplan con trminos de
confidencialidad, integridad y disponibilidad.
1.3.
Entorno y objetivos de la seguridad.

El objetivo principal de la seguridad en la identificacin y en el
anlisis de los requisitos de seguridad.
1.4.
Requisitos funcionales.
Entre los requisitos de la seguridad se encuentran proteger los datos
del usuario, control de acceso y las autodefensas.
1.5.
Principios de seguridad.
Controlar los errores, la integridad, la confidencialidad y la
disponibilidad son los principios de ms importancia en la seguridad
de Aplicaciones Web
1.6.
Activos.
Los activos son todos los recursos de hardware y software con los que
cuenta una empresa por ejemplo: servidores, bases de datos, router,
etc.
1.7.
Administracin de riesgos.
Algunos de los pasos que consider ms importantes para la
administracin de riesgos son: la identificacin de los riesgos, el
desarrollo de las soluciones de seguridad y la estabilizacin e
implementacin de contramedidas nuevas o cambiadas
Mundo Real
Qu compaas ofrecen servicios de seguridad en relacin a las
aplicaciones Web de las compaas actuales?
Softtek: ofrece un servicio maduro y probado que apoya a las empresas
a alinear sus esfuerzos de proteccin de datos y seguridad de
aplicaciones con las estrategias de gestin de riesgo empresarial .
(http://www.softtek.com/es/outsourcing/servicios-seguridad-aplicaciones)
Tsoft: especializada en gobierno y gestin de IT, gestin de la seguridad

y de la informacin. trabajamos estrechamente con nuestros clientes
para
ofrecerles
soluciones
a
la
medida
de
sus
necesidades, permitindoles gobernar sus departamentos de IT y
39
acompandolos para que sus inversiones agreguen verdadero valor al
negocio.
(http://www.tsoftlatam.com/noticias/asegurando-aplicaciones-web/).
Tarlogic: es una startup tecnolgica espaola, fundada en 2011 por

analistas de seguridad informtica, expertos en redes y hacking
tico con la finalidad es ofrecer asesoramiento tecnolgico de calidad
para proteger a organismos y empresas frente ataques informticos y
al espionaje industrial. (https://www.tarlogic.com/servicios/auditoria-webseguridad-owasp/)
Mapa conceptual: UNIDAD I
Evidencia del uso de la plataforma.
40
41

Unidad 1 Seguridad en Aplicaciones Web

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 1 Seguridad en Aplicaciones Web

Uploaded by

Copyright:

Available Formats

PORTAFOLIO DE EVIDENCIAS

Tecnolgico Nacional de Mxico

Portafolio para la Materia de: Seguridad en

Sandra Lizzully Jcquez Fraire

TTULO DEL TEMA: UNIDAD 1

COMPETENCIA DEL TEMA

Encriptacin del lenguaje de programacin.

5.1 Hardening de Servidores

Excelente (100-95); Notable (94-85); Bueno (84-75); Suficiente (74-65)

Aspectos de Valoracin de los Criterios

SANDRA LIZZULLY JACQUEZ FRAIRE

TTULO DEL TEMA: UNIDAD 1

SANDRA LIZZULLY JACQUEZ FRAIRE

5. Cuntas direcciones IP proporciona una clase de red C?

SANDRA LIZZULLY JACQUEZ FRAIRE

momento XHTML (versiones Transitional o Strict) para la

VERIFICACIN DE LOS REQUISITOS

SANDRA LIZZULLY JACQUEZ FRAIRE

VALIDACIN DE LOS REQUISITOS

La validacin del cdigo fuente (con analizadores como el del W3C).

Para terminar, se detalla el ndice de una posible especificacin de requisitos:

SANDRA LIZZULLY JACQUEZ FRAIRE

Validacin de la entrada y salida de informacin La entrada y

Utilizacin y reutilizacin de componentes de confianza Debe

Defensa en profundidad Nunca confiar en que un componente

Tan seguros como en eslabn ms dbil La frase "garantizamos la

La "seguridad gracias al desconocimiento" no funciona El simple

Verificacin de privilegios. Los sistemas deben disearse para que

Ofrecer la mnima informacin Ante una situacin de error o una

SANDRA LIZZULLY JACQUEZ FRAIRE

ANTOLOGA: ASPECTOS BSICOS DE LA SEGURIDAD EN

SANDRA LIZZULLY JACQUEZ FRAIRE

Tecnolgico Nacional de Mxico

Manual de Prcticas para la Materia de:

Sandra Lizzully Jacquez Fraire

SANDRA LIZZULLY JACQUEZ FRAIRE

2. Dar clic en el botn siguiente

3. Dar clic en siguiente

SANDRA LIZZULLY JACQUEZ FRAIRE

5. Dar clic en instalar para que comience el proceso de instalacin

SANDRA LIZZULLY JACQUEZ FRAIRE

6. Dar clic en finalizar para que la instalacin finalice y empezar a usar

PRACTICA 2: INSATALACIN DEL SISTEMA BASE DE

4. Nos aparecera una ventana coma la siguiente, aqu daremos clic en el

SANDRA LIZZULLY JACQUEZ FRAIRE

5. En esta ventana hay que planificar el servidor de la siguiente manera

6. Despus aparecer una ventana como la siguiente la cual nos pedir na

SANDRA LIZZULLY JACQUEZ FRAIRE

7. Iniciar el proceso de instalacin del sistema operativo Centos 7.

8. Despus de que el proceso de instalacin haya concluido, prosigue

9. Luego se crear un usuario donde se ingresaran los siguientes datos:

SANDRA LIZZULLY JACQUEZ FRAIRE

10.Dar clic en el botn finalizar configuracin

11.Despus dar clic en el botn reiniciar

12.Al reiniciar la maquina virtual ingresa el usuario y contrasea

SANDRA LIZZULLY JACQUEZ FRAIRE

PRACTICA 3. ADMINISTRACIN BSICA EN MODO CONSOLA DE

SANDRA LIZZULLY JACQUEZ FRAIRE

Limpia la terminal. Ejemplo:

Pipe se usa en combinacin con otros comandos

SANDRA LIZZULLY JACQUEZ FRAIRE

Crea un nuevo directorio

Borra o elimina archivos.