2884989
Description
Mind Map by Diego A Juarez, updated more than 1 year ago
|
Created by Diego A Juarez
almost 9 years ago
|
|
DESARROLLO
DE PAGINAS
WEB
- TIPOS DE APLICACIONES WEB
- PROTOCOLOS DE SEGURIDAD
- Secure Socket Layer SSL
- es el estándar mundial de la seguridad en la Web. La tecnología SSL se enfrenta a potenciales
problemas derivados de la visualización no autorizada de información confidencial, la manipulación
de datos, la apropiación de datos, el phishing y los demás tipos de amenazas en los sitios Web.
- es el estándar mundial de la seguridad en la Web. La tecnología SSL se enfrenta a potenciales
problemas derivados de la visualización no autorizada de información confidencial, la manipulación
de datos, la apropiación de datos, el phishing y los demás tipos de amenazas en los sitios Web.
- Transport Layer Security
(TLS)
- Para intentar corregir las deficiencias observadas en SSL v3 se buscó un nuevo protocolo que
permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL es propiedad
de la empresa Nestcape. El resultado de esta búsqueda fué el protocolo TLS, que permite una
compatibilidad total con SSL siendo un protocolo público, estandarizado por el IETF.
- Para intentar corregir las deficiencias observadas en SSL v3 se buscó un nuevo protocolo que
permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL es propiedad
de la empresa Nestcape. El resultado de esta búsqueda fué el protocolo TLS, que permite una
compatibilidad total con SSL siendo un protocolo público, estandarizado por el IETF.
- Protocolo S-HTTP
- El protocolo Secure HTTP fué desarrollado por Enterprise Integration Technologies, EIT, y al igual que
SSL permite tanto el cifrado de documentos como la autenticación mediante firma y certificados
digitales, pero se diferencia de SSL en que se implementa a nivel de aplicación. Se puede identificar
rápidamente a una página web servida con este protocolo porque la extensión de la misma pasa a
ser .shtml en vez de .html como las páginas normales.
- El protocolo Secure HTTP fué desarrollado por Enterprise Integration Technologies, EIT, y al igual que
SSL permite tanto el cifrado de documentos como la autenticación mediante firma y certificados
digitales, pero se diferencia de SSL en que se implementa a nivel de aplicación. Se puede identificar
rápidamente a una página web servida con este protocolo porque la extensión de la misma pasa a
ser .shtml en vez de .html como las páginas normales.
- Protocolo SET
- SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas
aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago, y en
el uso de sistemas criptográficos de clave pública para proteger el envío de los datos sensibles en su
viaje entre los diferentes servidores que participan en el proceso.
- SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas
aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago, y en
el uso de sistemas criptográficos de clave pública para proteger el envío de los datos sensibles en su
viaje entre los diferentes servidores que participan en el proceso.
- Secure Socket Layer SSL
- PUBLICITARIAS
- SU OBJETIVO PRINCIPAL ES INFORMAR AL USUARIO DATOS ACERCA DE UNA EMPRESA Y
SUS PRODUCTOS EN LA RED DE INTERNET SE ORIENTAN A LA MERCADOTECNIA DE SU
EMPRESA A PROMOVER LOS PRODUCTOS O SERVICIOS REALIZADOS POR LA MISMA
GENERANDO ASI NUEVAS OPORTUNIDADES DE NEGOCIO
Annotations:
- wefggwawregrehgerhjrttwhhtghrthrthth
- SU OBJETIVO PRINCIPAL ES INFORMAR AL USUARIO DATOS ACERCA DE UNA EMPRESA Y
SUS PRODUCTOS EN LA RED DE INTERNET SE ORIENTAN A LA MERCADOTECNIA DE SU
EMPRESA A PROMOVER LOS PRODUCTOS O SERVICIOS REALIZADOS POR LA MISMA
GENERANDO ASI NUEVAS OPORTUNIDADES DE NEGOCIO
- INFORMATIVAS
- TIENEN COMO OBJETIVO PREDOMINAR EN INTERNET, MUESTRAN LA
INFORMACION GENERAL DE UNA EMPRESA, DESCRIBE SUS PRODUCTOS O
SERVICIOS DE MANERA GENERAL Y MUESTRA UN AMBIENTE DE
CONFIABILIDAD
- TIENEN COMO OBJETIVO PREDOMINAR EN INTERNET, MUESTRAN LA
INFORMACION GENERAL DE UNA EMPRESA, DESCRIBE SUS PRODUCTOS O
SERVICIOS DE MANERA GENERAL Y MUESTRA UN AMBIENTE DE
CONFIABILIDAD
- CATALOGO TIENDA
- SU OBJETIVO ES VENDER PRODUCTOS O SERVICIOS AL USUARIO DE INTERNET
DIRECTAMENTE, ALGUNOS PERMITEN PAGAR EN LINEA, SON UNA GRAN HERRAMIENTA
DE MARKETING, PRESENTAN LO QUE VENDE LA EMPRESA
- SU OBJETIVO ES VENDER PRODUCTOS O SERVICIOS AL USUARIO DE INTERNET
DIRECTAMENTE, ALGUNOS PERMITEN PAGAR EN LINEA, SON UNA GRAN HERRAMIENTA
DE MARKETING, PRESENTAN LO QUE VENDE LA EMPRESA
- COMUNIDAD
- es una herramienta que une a usuarios con intereses en comun facilita a las comunidades
la publicacion en internet de un evento mediante un sitio web son llamadas redes sociales
- es una herramienta que une a usuarios con intereses en comun facilita a las comunidades
la publicacion en internet de un evento mediante un sitio web son llamadas redes sociales
- PROTOCOLOS DE SEGURIDAD
- DIFERENTES MEDIOS DIGITALES
- GIF
- COMPRESION SIN
PERDIDA,COMPRIME BIEN LOS
DIBUJOS, PALETA DE COLORES
VARIABLES, PERMITE
TRANSPARENCIA, PERMITE
ANIMACION
- COMPRESION SIN
PERDIDA,COMPRIME BIEN LOS
DIBUJOS, PALETA DE COLORES
VARIABLES, PERMITE
TRANSPARENCIA, PERMITE
ANIMACION
- JPG
- COMPRESION CON PERDIDA,
COMPRIME BIEN LAS FOTOS,
PALETA DE COLOR REAL, SIN
TRANSPARENCIA, SIN
ANIMACION.
- COMPRESION CON PERDIDA,
COMPRIME BIEN LAS FOTOS,
PALETA DE COLOR REAL, SIN
TRANSPARENCIA, SIN
ANIMACION.
- PNG
- COMPRESION SIN PERDIDA,
COMPRIME BIEN LOS DIBUJOS,
PALETA DE COLORES VARIABLE,
PERMITE TRANSPARENCIA, SIN
ANIMACOIN
- COMPRESION SIN PERDIDA,
COMPRIME BIEN LOS DIBUJOS,
PALETA DE COLORES VARIABLE,
PERMITE TRANSPARENCIA, SIN
ANIMACOIN
- GIF
- TIPOS DE VULNERABILIDAD
- Inyección
- Ocurre cuando a nuestro
sistema entra información
no confiable a través de
formularios o comandos que
son interpretados por
queries en nuestra base de
datos. Puede resultar en
robo o pérdida de nuestra
información.Solución: Validar
y limpiar todo lo que el
usuario ingrese a nuestro
sistema antes de realizar
cualquier proceso además de
usar Prepared statements y
stored procedures.
- Ocurre cuando a nuestro
sistema entra información
no confiable a través de
formularios o comandos que
son interpretados por
queries en nuestra base de
datos. Puede resultar en
robo o pérdida de nuestra
información.Solución: Validar
y limpiar todo lo que el
usuario ingrese a nuestro
sistema antes de realizar
cualquier proceso además de
usar Prepared statements y
stored procedures.
- Secuencias de
comandos en
sitios cruzados
- Esta falla permite desplegar
en el navegador datos no
confiables proporcionados
por usuarios, generalmente
inyectando código javascript
malicioso. Estos datos
pueden secuestrar tu sitio
web, permitiendo que tus
usuarios sean
redireccionados a sitios
maliciosos o descarguen
malware.Solución: Validar y
escapar cualquier dato a ser
impreso en tu sitio.
- Esta falla permite desplegar
en el navegador datos no
confiables proporcionados
por usuarios, generalmente
inyectando código javascript
malicioso. Estos datos
pueden secuestrar tu sitio
web, permitiendo que tus
usuarios sean
redireccionados a sitios
maliciosos o descarguen
malware.Solución: Validar y
escapar cualquier dato a ser
impreso en tu sitio.
- Autenticación
rota
- Se presenta cuando es
posible suplantar la
identidad del usuario al
obtener acceso a datos como
contraseñas o
identificadores. Un ejemplo
es poder modificar el id de la
sesión en la cookie y obtener
así acceso como un
administrador o cambiar el
perfil de acceso.Solución:
Verificar los procesos de
autenticación, usar
mecanismos y librerías ya
existentes. No guardar
información sobre permisos
o identidad en cookies.
- Se presenta cuando es
posible suplantar la
identidad del usuario al
obtener acceso a datos como
contraseñas o
identificadores. Un ejemplo
es poder modificar el id de la
sesión en la cookie y obtener
así acceso como un
administrador o cambiar el
perfil de acceso.Solución:
Verificar los procesos de
autenticación, usar
mecanismos y librerías ya
existentes. No guardar
información sobre permisos
o identidad en cookies.
- Solicitudes falsificadas
en sitios cruzados
- El atacante engaña a la victima a enviar solicitudes HTTP que no desea lo
que permite al atacante ejecutar operaciones que el usuario no
desea.Solución: Controlar el flujo de los procesos usnados tokens únicos por
sesión y por solicitud
- El atacante engaña a la victima a enviar solicitudes HTTP que no desea lo
que permite al atacante ejecutar operaciones que el usuario no
desea.Solución: Controlar el flujo de los procesos usnados tokens únicos por
sesión y por solicitud
- Configuración errónea de seguridad
- Un parámetro mal especificado puede permitir el
acceso a nuestras aplicaciones.Solución: Definir todos
los elementos de seguridad y no usar atributos por
defecto (por ejemplo el usuario y password root),
mantener nuestras aplicaciones, servidores y librerías
siempre actualizados.
- Un parámetro mal especificado puede permitir el
acceso a nuestras aplicaciones.Solución: Definir todos
los elementos de seguridad y no usar atributos por
defecto (por ejemplo el usuario y password root),
mantener nuestras aplicaciones, servidores y librerías
siempre actualizados.
- Almacenamiento inseguro
- Si un atacante tuviera acceso a nuestra información y esta no se
encontrará asegurada, podría acceder a contraseñas y datos de tarjeta de
crédito de usuarios y clientes entre otra información sensitiva.Solución:
Encriptar información sensible en nuestra base de datos.
- Si un atacante tuviera acceso a nuestra información y esta no se
encontrará asegurada, podría acceder a contraseñas y datos de tarjeta de
crédito de usuarios y clientes entre otra información sensitiva.Solución:
Encriptar información sensible en nuestra base de datos.
- Referencias directas e inseguras a
objetos
- Exponer referencias a objetos de implementación
interna como archivos, directorios y base de dato por lo
que pueden ser manipulados. Por ejemplo si usamos un
script de descarga que recibe como parámetro el
nombre del archivo, puede ser usado para enviar al
atacante nuestro documento de configuración con la
clave de nuestra Base de Datos
- Exponer referencias a objetos de implementación
interna como archivos, directorios y base de dato por lo
que pueden ser manipulados. Por ejemplo si usamos un
script de descarga que recibe como parámetro el
nombre del archivo, puede ser usado para enviar al
atacante nuestro documento de configuración con la
clave de nuestra Base de Datos
- Fallas al restringir acceso URL
- Una página en nuestro sitio que no sea no validada puede permitir el acceso áreas restringidas
mediante la manipulación de la URL otorgando permisos administrativos a un atacante. Por ejemplo
tener una página admin.php como centro de control y no validar su acceso
- Una página en nuestro sitio que no sea no validada puede permitir el acceso áreas restringidas
mediante la manipulación de la URL otorgando permisos administrativos a un atacante. Por ejemplo
tener una página admin.php como centro de control y no validar su acceso
- Insuficiente protección en la capa de
transporte
- Todo el tráfico en internet puede ser escuchado, y al enviar información sensitiva como
contraseñas, números de tarjeta o documentos sin su apropiada autenticación y encriptación,
alguien puede tener acceso a esa información.
- Todo el tráfico en internet puede ser escuchado, y al enviar información sensitiva como
contraseñas, números de tarjeta o documentos sin su apropiada autenticación y encriptación,
alguien puede tener acceso a esa información.
- Forwards y Redirects no validados
- El permitir que tu aplicación envié a tus visitantes a otra página o sitio sin validar puede dejarlos
caer en sitios de phising o malware.Solución: Valida y lleva un control sobre los links y forwards que
aparecen en tu página.
- El permitir que tu aplicación envié a tus visitantes a otra página o sitio sin validar puede dejarlos
caer en sitios de phising o malware.Solución: Valida y lleva un control sobre los links y forwards que
aparecen en tu página.
- Inyección
Want to create your own Mind Maps for free with GoConqr? Learn more.