Seguretat i pentesting de servidors de dades Codi:  M1.772    Crèdits:  6
Consulta de les dades generals   Descripció   Objectius i competències   Continguts   Consulta dels recursos d'aprenentatge de què disposa l'assignatura   Metodologia   Informació sobre l'avaluació a la UOC   Consulta del model d'avaluació   Avaluació continuada   Avaluació final  
Aquest és el pla docent de l'assignatura per al segon semestre del curs 2023-2024. Podeu consultar si l'assignatura s'ofereix aquest semestre a l'espai del campus Més UOC / La universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. El pla docent pot estar subjecte a canvis.

En aquesta assignatura veurem exemples d'alguns dels mètodes més habituals per atacar formularis d'aplicatius web que interactuen amb alguna base de dades. Es faran atacs a les Bases de dades, així com als aplicatius que fan les consultes.

Addicionalment, es van a analitzar algunes de les bases de dades més utilitzades en l'actualitat i els principals conceptes que s'han de considerar per fortificarles adequadament els diferents tipus de bases de dades.

Amunt

Coneixer les eines i els métodes de pentesting en els servidors de dades.

Amunt

1. Introducció

2. Atacs a aplicacions Web

  • Cross site scripting (XSS) 
  • Cross site request forgery 
  • Clickjacking 
  • LDAP Injection Injection 
  • Blind LDAP Injection 
  • XPath 
  • Path Disclosure 
  • Remote File Inclusion 
  • Local File Inclusion 
  • Webtrojans 

 

3. Atacs a BBDD, SQL injection

  • Entorn d'explotació de l'atac
  • Eina Priamos
  • El paràmetre vulnerable
  • Com s'ataquen aquest tipus de vulnerabilitats?
  • Mètodes d'automatització
  • Eines
  • Protecció contra Blind SQL Injection
  • Time-Based Blind SQL Injection
  • Consultes pesants
  • Remote File Downloading
  • Booleanització de dades
  • Metodologia de treball
  • Remote File Downloading en Oracle Database
  • Identificació mitjançant funcions
  • Objectius principals per a cada base de dades
  • IDS Evasion

 4. Auditoria i desenvolupament segur

  • OWASP
  • Escàner de vulnerabilitats de caixa negra
  • Auditoria de codi font
  • Eines de filtratge: Web Application Firewalls

Amunt

Material Suport

Amunt

La metodologia utilitzada en aquesta assignatura inclou treballs molt pràctics que simulen escenaris reals que els estudiants poden trobar-se en el futur a l'hora d'auditar la seguridad d'un servidor de dades.

L'assignatura es basa en la realització de les proves d'avaluació continuada al llarg del curs. Per tant no hi ha examen final, només es pot superar l'assignatura mitjançant la realització de totes les activitats.

Es direfencien entre les activitats de caracter més teoric i una altre activitat de caracter més pràctic en la que s'haurà de posar en pràctica en una base de dades real els coneixements tant de pentesting de les BBDD com de fortificació d'aquestes.

Amunt

El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis realitzats.

La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; l'intent fraudulent d'obtenir un resultat acadèmic millor; la col·laboració, l'encobriment o l'afavoriment de la còpia, o la utilització de material o dispositius no autoritzats durant l'avaluació, entre d'altres, són conductes irregulars que poden tenir conseqüències acadèmiques i disciplinàries greus.

D'una banda, si es detecta alguna d'aquestes conductes irregulars, pot comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent –incloses les proves finals– o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials o dispositius no autoritzats durant les proves, com ara xarxes socials o cercadors d'informació a internet, perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, o perquè s'ha practicat qualsevol altra conducta irregular.

De l'altra, i d'acord amb les normatives acadèmiques, les conductes irregulars en l'avaluació, a més de comportar el suspens de l'assignatura, poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui.

Amunt

Aquesta assignatura només es pot superar a partir de l'avaluació contínua (AC), nota que es combina amb una nota de pràctiques (Pr) per a obtenir la nota final de l'assignatura. No es preveu fer cap prova d'avaluació final. La fórmula d'acreditació de l'assignatura és la següent: AC + Pr.


Ponderació de les qualificacions

Opció per superar l'assignatura: AC + Pr

Nota final d'assignatura = Final Continuada (FC)= AC+Pr

AC = 50%

Pr = 50%

Notes mínimes:

· Pr = 5

· AC = 5

En cas de no assolir la nota mínima a la Pr, la nota obtinguda en la fórmula correspon a l'obtinguda a la Pr, o el que indiqui el model d'avaluació.

Amunt

Aquesta consta dels exercicis que composen les PACs obligatòries. Es realitzaran un conjunt de 3 PACs que tractaran les diferents parts de la temàtica de l'assignatura.
Es calcularà la mitja de les tres activitats obligatòries, considerant que si s'ha lliurat dos de les tres activitats ja s'ha participat en l'avaluació del'assignatura i per tant no ha lliurat la totalitat dels exercicis.

Finalment es realitzarà una altre activitat pràctica paral·lela que també serà obligatoria fer.

Com a mínim s'ha d'obtenir un 5 en cada una de les dues parts i es farà mitja per parts iguals entre la nota final de les PACs i la nota de la Pràctica

Amunt

L'avaluació final consta únicament de la nota obtinguda en l'Avaluació Continuada.

Amunt