| Seguretat i pentesting de servidors de dades | Codi: M1.772 : 6 |
En aquesta assignatura veurem exemples d'alguns dels mètodes més habituals per atacar formularis d'aplicatius web que interactuen amb alguna base de dades. Es faran atacs a les Bases de dades, així com als aplicatius que fan les consultes.
Addicionalment, es van a analitzar algunes de les bases de dades més utilitzades en l'actualitat i els principals conceptes que s'han de considerar per fortificarles adequadament els diferents tipus de bases de dades.
1. Introducció
2. Atacs a aplicacions Web
- Cross site scripting (XSS)
- Cross site request forgery
- Clickjacking
- LDAP Injection Injection
- Blind LDAP Injection
- XPath
- Path Disclosure
- Remote File Inclusion
- Local File Inclusion
- Webtrojans
3. Atacs a BBDD, SQL injection
- Entorn d'explotació de l'atac
- Eina Priamos
- El paràmetre vulnerable
- Com s'ataquen aquest tipus de vulnerabilitats?
- Mètodes d'automatització
- Eines
- Protecció contra Blind SQL Injection
- Time-Based Blind SQL Injection
- Consultes pesants
- Remote File Downloading
- Booleanització de dades
- Metodologia de treball
- Remote File Downloading en Oracle Database
- Identificació mitjançant funcions
- Objectius principals per a cada base de dades
- IDS Evasion
4. Auditoria i desenvolupament segur
- OWASP
- Escàner de vulnerabilitats de caixa negra
- Auditoria de codi font
- Eines de filtratge: Web Application Firewalls
El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis realitzats.
La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; l'intent fraudulent d'obtenir un resultat acadèmic millor; la col·laboració, l'encobriment o l'afavoriment de la còpia, o la utilització de material o dispositius no autoritzats durant l'avaluació, entre d'altres, són conductes irregulars que poden tenir conseqüències acadèmiques i disciplinàries greus.
D'una banda, si es detecta alguna d'aquestes conductes irregulars, pot comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent - incloses les proves finals - o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials o dispositius no autoritzats durant les proves, com ara xarxes socials o cercadors d'informació a internet, perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, o perquè s'ha practicat qualsevol altra conducta irregular.
De l'altra, i d'acord amb les normatives acadèmiques, les conductes irregulars en l'avaluació, a més de comportar el suspens de l'assignatura, poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui.
La UOC es reserva la potestat de sol·licitar a l'estudiant que s'identifiqui o que acrediti l'autoria del seu treball al llarg de tot el procés d'avaluació pels mitjans que estableixi la Universitat (síncrons o asíncrons). A aquests efectes, la UOC pot exigir a l'estudiant l'ús d'un micròfon, una càmera o altres eines durant l'avaluació i que s'asseguri que funcionen correctament.
La verificació dels coneixements per garantir l'autoria de la prova no implicarà en cap cas una segona avaluació.
|
Aquesta assignatura només es pot superar a partir de l'avaluació contínua (AC), nota que es combina amb una nota de pràctiques (Pr) per a obtenir la nota final de l'assignatura. No es preveu fer cap prova d'avaluació final. La fórmula d'acreditació de l'assignatura és la següent: AC + Pr. |