•  

Detección, explotación y mitigación de vulnerabilidades en aplicaciones de software

A session at SG Conference & Expo 2011

Wednesday 7th September, 2011

4:00pm to 5:00pm (LMT)

A lo largo de mi experiencia como consultor en seguridad, me es común escuchar las mismas frases en cada proyecto:

"Nosotros no nos preocupamos de la seguridad, usamos Java/.Net"
"Obvio, manejamos sesiones [...] el framework se encarga de ellas"
"Obvio que hemos validado todo"
"La autorización y autenticación de la aplicación es manejada por [...] y es configurable"
Por desgracia para el equipo de desarrollo, no importa el nivel de conocimientos, los años de experiencia o el buen manejo del proyecto. Es una realidad que las aplicaciones, inclusive las más criticas, al ser sometidas a una revisión serán vulneradas.

Las razones, tal cual las frases listadas muestran, es el desconocimiento y la falta de sensibilidad ante fallos relacionados a la seguridad de la aplicación.

La platica, modificada de su versión original para incluir vulnerabilidades Web, muestra las principales vulnerabilidades, sus causas y recomendaciones para su mitigación, independientemente de tecnologías en especifico o metodologías de desarrollo de software. Cubriendo de las vulnerabilidades que atacan a los sistemas más complejos, como Sistemas Operativos, hasta los más críticos, como sistemas de banca en linea.

Algunos de los temas a tratar:
stack buffer overflows, heap overflows, format string bugs, desbordamiento de enteros, shellcodes, errores de autorización, errores de autenticación, inyecciones de código, cross site scripting, cross site request forgery, refencias inseguras a objetos, protección insuficiente en la capa de transporte, reenvios y redirecciones invalidas, análisis de vulnerabilidades SWF, fuzzing para detección de vulnerabilidades

About the speaker

This person is speaking at this event.
Carlos Augusto

Consultor líder @ Bluemammut

Sign in to add slides, notes or videos to this session

Tell your friends!

View the schedule

Share

See something wrong?

Report an issue with this session