Documente Academic
Documente Profesional
Documente Cultură
Capacitacin en Desarrollo y Evaluacin de Seguridad para Aplicaciones Web, basado en .Net Framework
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
Indice
Tema
OWASP
C.T. Autenticacin C.T. Autorizacin C.T. Manejo de Sesiones C.T. Manejo de Errores
Diapositiva
04
05 09 10 12
15
16 19 20 22
23
24
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
Indice
Tema
C.T. Cross-Site Request Forgery
C.T. Logging C.T. Integridad de Sesin C.T. Condiciones de Carrera (Race Conditions) C.T. Configuracin errnea de seguridad
Diapositiva
26
27 29 30 31
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
OWASP
Proyectos de OWASP:
Code Review Guide V1.1 Development Guide 2010 in English (Currently under development!) Testing Guide v3 OWASP Top 10 for 2010 Herramientas / Bibliotecas: Zed Attack Proxy WebScarab OWASP Enterprise Security API WebGoat
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
AUTENTICACIN
Resumen Las funciones de la aplicacin relacionadas con la autenticacin son a menudo implementadas incorrectamente, esto permite a los atacantes comprometer contraseas, tokens de sesin, o explotar otras fallas de implementacin para asumir la identidad de otros usuarios. Anlisis de Cdigo Fuente Utilizacin de los mecanismos de autenticacin ya incluidos dentro de ASP.NET Credenciales transportadas a travs de una canal seguro Almacenamiento encriptado de las contraseas No guardar datos de la autenticacin dentro del navegador Contraseas Fuertes
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
10
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
11
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
12
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
13
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
14
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
15
Web.config
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
16
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
17
Utilizar un algoritmo de Hash y no un algoritmo simtrico de encriptacin. Utilizar un "salt" junto con el algoritmo de Hash. Nunca enviar las contraseas por Email
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
18
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
19
Contraseas Fuertes
Las contraseas dbiles son ms vulnerables a ataques de fuerza bruta o a simple adivinacin. Las contraseas fuertes deben combinar una variedad de caracteres (letras, nmeros, smbolos, etc), el criterio mnimo de composicin es un balance entre seguridad y usabilidad.
Al menos 1 letra en mayscula (A-Z) Al menos 1 letra en minscula (a-z) Al menos 1 digito (0-9) Al menos 1 letra especial (!"$%&...) Una longitud mxima y mnima.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
20
AUTORIZACIN
Resumen La correcta implementacin de un modelo de autorizacin permite que nicamente usuarios autorizados tengan acceso a funciones particulares dentro de la aplicacin, algn error en su implementacin ocasionar que atacantes accedan a recursos no permitidos, con lo cual se comprometera informacin sensible y se aumenta el riesgo de otros ataques.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
21
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
22
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
23
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
24
Verificacin de la autorizacin en cada solicitud HTTP. Descripcin El error ms comn es basar el modelo de autorizacin en ocultar o mostrar determinados controles a travs de la pantalla ya que eso no restringe el acceso, cualquier atacante puede realizar una solicitud HTTP sin necesidad de una interfaz grfica y lograr acceder a la funcionalidad restringida.
Mostrar y ocultar elementos en la pantalla nunca es suficiente. Se debe validar la autorizacin a nivel de servidor y en cada request. Utilizar una validacin manual o mediante los ASP.NET Memberships. No olvidar a los Web Services.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
25
MANEJO DE SESIONES
Resumen El manejo de las sesiones desde la perspectiva de la revisin de cdigo debe estar enfocado en la creacin, renovacin y destruccin de la sesin de un usuario a travs de la aplicacin.
Todas las versiones de ASP.NET ya proporcionan una gestin interna de las sesiones de los usuarios, estoy incluye: asignacin de una sesin nica a usuarios autenticados, expiracin de la sesin y encriptacin. A pesar de esto existen determinadas taras de que se encuentran en manos de los desarrolladores. Anlisis de Cdigo Fuente
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
26
El tiempo de expiracin de la sesin debe ser por lo menos 5 minutos mayor al tiempo de expiracin de la autenticacin.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
27
Utilizar estas lneas de cdigo cada vez que se quiera procesar un "Log Out"
No olvidar realizar la misma lgica en otras circunstancias donde se redireccione a la pantalla "Log In"
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
28
INTEGRIDAD EN LA SESIN
Resumen Las cookies son usadas para mantener el estado de una sesin y permiten identificar a un usuario mientras est usando una aplicacin. Las cookies tambin pueden ser almacenadas en el disco y ser vlidas hasta una fecha de expiracin definida. Un atacante puede alterar los datos almacenados en estas cookies o robar informacin sensible para ejecutar otros ataques.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
29
Cookieless
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
30
Utilizacin siempre Cookies Identificar el valor de la propiedad cookieless del elemento <sessionState> en el archivo Web.config, el valor de esta propiedad debe estar establecido en false. Considerar que no es obligatorio establecer esta propiedad dentro del archivo y su valor por defecto es false
Archivo Web.config
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
31
Utilizacin Cookies HttpOnly Las cookies que son creadas automticamente por ASP.NET ya se establecen como HttpOnly pero esto no sucede con las cookies manuales, por este motivo se identificar todas las cookies creadas manualmente y se verificar que estas tengan la propiedad HttpOnly establecida en true.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
32
MANEJO DE ERRORES
Resumen Un manejo eficiente de los errores evitar que se filtre informacin sensible del sistema a un atacante o que la aplicacin entre en un estado inseguro luego de producido algn error.
Anlisis de Cdigo Fuente No usar bloques Catch vacos. No mostrar al usuario mensajes de error descriptivos Liberar recursos si se ha producido un error
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
33
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
34
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
35
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
36
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
37
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
38
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
39
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
40
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
41
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
42
DESBORDAMIENTO DE BUFFERS
Resumen Los programas usan un espacio de memoria de tamao definido para almacenar datos ingresados por los usuarios, cuando el dato ingresado por el usuario supera el tamao de este espacio se produce un desbordamiento. Los atacantes pueden aprovechar este desbordamiento para ejecutar comandos maliciosos.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
43
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
44
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
45
Identificar la utilizacin de cdigo no manejado utilizando la palabra reservada unsafe, solo C# soporta utilizar cdigo no manejado y no VB.NET. Identificar llamadas a cdigo no manejado desde cdigo manejado: Llamadas utilizando WIN32 API o P/Invoke: utilizacin del atributo DllInvoke. Utilizacin de COM Interop: Buscar la palabra clave Interop para identificar las referencias y clases usadas.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
46
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
47
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
48
Multiprocesos Desde la primera versin de la plataforma .NET se proporciona las herramientas y APIs necesarias para implementar funcionalidades multiproceso. El desarrollador es responsable de la correcta aplicacin de estas herramientas para evitar errores comnmente producidos en ambientes multiproceso.
Buscar las siguientes referencias: Thread, System.Threading ThreadPool Evaluar que se est utilizando un semforo o un mutex en caso de acceder a un recurso compartido.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
49
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
50
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
51
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
52
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
53
Formas susceptibles a contener scripts que pueden ser ejecutados en el navegador. Propiedad Text de los controles ASP.NET. Propiedad Value del control Hidden. Propiedad Request de las pginas y controles ASP.NET. Etiquetas <%= %> <%# %> dentro de las pginas y controles ASP.NET. Mtodo Eval() dentro de las pginas y controles ASP.NET.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
54
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
55
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
56
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
57
VALIDACIN DE DATOS
Resumen Una de los aspectos ms importantes de la seguridad es la validacin de los datos ingresados por los usuarios. Muchos de los problemas ocasionados por ataques derivan de una validacin de datos dbil por parte de la aplicacin. Una validacin dbil otorga al atacante una oportunidad de hacer que la aplicacin acte de una manera incorrecta.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
58
Aplicar las siguientes validaciones a los campos dentro de los formularios: Validacin de Dato Obligatorio Validacin de Longitud Validacin de Tipo de Dato Validacin de Rango Realizar las validaciones a nivel de servidor apenas se reciban los datos; de forma manual o utilizando los controles de validacin ASP.NET (RequiredValidator, RangeValidator, etc).
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
59
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
60
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
61
CRIPTOGRAFA
Resumen Un uso eficiente de la criptografa provee integridad, confidencialidad y no repudio de los datos que estn siendo almacenados y procesados. Por estos motivos la utilizacin de funciones criptogrficas dentro del cdigo debe ser conforme con el uso de los algoritmos estndares y el uso de llaves fuertes.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
62
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
63
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
64
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
65
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
66
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
67
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
68
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
69
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
70
Algoritmos Simtricos de encriptacin: DES: Soporta una llave pequea de 56-bit que puede ser fcilmente susceptible a un ataque de fuerza bruta. 3DES: Soporta una llave de 128-bit, aplica el algoritmo DES 3 veces. AES: Soporta una llave de 256-bit, utiliza el algoritmo de Rijndael.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
71
Utilizar un SALT diferente por cada hash. Los algoritmos de MD5 y SHA-1 no son recomendados por ser muy dbiles, se recomienda la utilizacin de SHA-256.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
72
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
73
LOGGING
Resumen Logging es la recopilacin y almacenamiento de informacin que contiene detalles de quien y cuando se ha producido una determinada accin, tambin contiene mensajes que reflejan problemas o estados invlidos dentro de la aplicacin. El Logging nos proporciona un mtodo a travs del cul podemos investigar si los otros mecanismos de seguridad estn funcionando correctamente.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
74
Registrar por lo menos los siguientes eventos: Autenticacin: Intentos exitosos y fallidos. Manipulacin de Informacin: Acciones CRUD realizada en la aplicacin. Duracin de la sesin: Eventos de Logout. Errores Inesperados: Mensaje de error y Stack Trace.
La informacin registrada debe contener por lo menos los siguientes datos: Fecha/Hora del evento. Nombre/Identificador del Usuario.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
75
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
76
No se debe registrar informacin sensible en los logs (contraseas, tarjetas de crdito, etc) o esta se debe encontrar encriptada.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
77
INYECCIN SQL
Resumen Una inyeccin SQL consiste en la insercin de una cadena SQL maliciosa a travs de las entradas que tiene la aplicacin. Una inyeccin SQL exitosa puede leer datos sensibles, modificar informacin o ejecutar comandos administrativos en la base de datos o inclusivo a nivel del sistema operativo.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
78
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
79
EL ATACANTE HA LOGRADO ACCEDER NICAMENTE A ESTA PANTALLA DE LA APLICACIN Y SU OBJETIVO ES ROBAR LOS DATOS DE LOS CLIENTES DE TODA LA EMPRESA.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
80
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
81
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
82
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
83
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
84
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
85
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
86
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
87
Usar parmetros SQL nombrados. No se deben construir sentencias SQL a travs de la concatenacin o manipulacin de cadenas. Dentro de la plataforma .NET, para la ejecucin de sentencias SQL que necesiten parmetros, se debe utilizar los Named Parameters ya que evitan que se pueda ingresar sentencias maliciosas a travs de los parmetros de un query.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
88
INCORRECTO
CORRECTO
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
89
No concatenar los parmetros dentro de los Store Procedures Los Store Procedures no deben realizar ningna concatenacin de cadenas, en caso se necesite un query dinmico, este tambin deber hacer uso de parmetros.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
90
91
La concatenacin utilizando este operador no es susceptible a inyeccin SQL ya que el parmetro ingresado es tratado como variable y no como comando.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
92
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
93
ENTRADAS DEL USUARIO userId = JOE123 userId = JOE123 & netstat a (ATAQUE)
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
94
Validar los parmetros al realizar llamadas a las funciones del sistema operativo
.NET desde su primera versin nos permite realizar llamadas a las funciones y programas del sistema operativo desde la misma aplicacin. Las llamadas a estas funciones se realizan de manera similar a una lnea de comandos por lo que se permite agregar parmetros. Se debe validar siempre el contenido de estos parmetros ya que pueden ser manipulados para afectar de manera maliciosa el comportamiento de estas funciones.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
95
INCORRECTO
CORRECTO
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
96
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
97
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
98
Archivo Web.config
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
99
Se puede ejecutar la encriptacin directamente en el servidor(IIS y Sitio Web) o directamente en el Visual Studio.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
100
Utilizar solo si no sea posible ejecutar la lnea de comandos en el servidor. Ejm: Un Hosting Compartido.
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
101
<configuration> <connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider"> <EncryptedData> </CipherData> <CipherValue>OpWQgQbq2wBZEGYAeV8WF82yz6q5WNFIj3rcuQ8gT0MP97aO9SHIZWwNg gSEi2Ywi4oMaHX9p0NaJXG76aoMR9L/WasAxEwzQz3fexFgFSrGPful/5t </CipherValue> </CipherData> </EncryptedData> </connectionStrings> </configuration>
ENCRIPTADO
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
102
No se requiere NINGUNA MODIFICACIN EN EL CDIGO para acceder a los datos encriptados, todo se realiza de manera TRANSPARENTE PARA EL DESARROLLADOR.
Se pueden usar LLAVES PERSONALIZADAS para encriptar los datos. Por defecto utiliza llaves que se encuentran dentro del servidor. (Machine Keys)
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
103
Videos
Buffer Overflow: http://www.youtube.com/watch?v=t9JkUlFUQP8 XSS y CSRF: http://channel9.msdn.com/Events/MIX/MIX10/FT05 Anti XSS: http://channel9.msdn.com/Blogs/Jossie/Anti-XSS-Library-v31-Find-Fix-and-VerifyErrors SQL Injection: http://www.asp.net/web-forms/videos/authentication/sql-injection-defense
Otros
Web Services OWASP: https://www.owasp.org/index.php/Testing_for_Web_Services
2012 Copyright BINAR10 S.A.C. Preparado para uso confidencial y exclusivo por parte de La Contralora General de la Repblica
104