| Seguridad y pentesting de servidores de datos | Código: M1.872 : 6 |
En esta asignatura veremos ejemplos de algunos de los métodos más habituales para atacar formularios de aplicativos web que interactúan con alguna base de datos. Se harán ataques a las Bases de datos, así como a los aplicativos que hacen las consultas.
Adicionalmente, se van a analizar algunas de las bases de datos más utilizadas en la actualidad y los principales conceptos que se tienen que considerar para fortificar adecuadamente los diferentes tipos de bases de datos.
Conocer las herramientas y los métodos de pentesting en los servidores de datos.
- Cross site scripting (XSS)
- Cross site request forgery
- Clickjacking
- LDAP Injection Injection
- Blind LDAP Injection
- XPath
- Path Disclosure
- Remote Hilo Inclusion
- Local Hilo Inclusion
- Webtrojans
- En torno a explotación del ataque
- Herramienta Priamos
- El parámetro vulnerable
- Cómo se atacan este tipo de vulnerabilidades?
- Métodos de automatización
- Herramientas
- Protección contra Blind SQL Injection
- Time-Based Blind SQL Injection
- Consultas pesants
- Remote Hilo Downloading
- Booleanització de datos
- Metodología de trabajo
- Remote Hilo Downloading en Oráculo Database
- Identificación mediante funciones
- Objetivos principales para cada base de datos
- IDS Evasion
Auditoría y desarrollo seguro
- OWASP
- Escáner de vulnerabilidades de caja negra
- Auditoría de código fuente
- Herramientas de filtraje: Web Application Firewalls
El proceso de evaluación se fundamenta en el trabajo personal de cada estudiante y presupone la autenticidad de la autoría y la originalidad de los ejercicios realizados.
La falta de autenticidad en la autoría o de originalidad de las pruebas de evaluación; la copia o el plagio; el intento fraudulento de obtener un resultado académico mejor; la colaboración, el encubrimiento o el favorecimiento de la copia, o la utilización de material o dispositivos no autorizados durante la evaluación, entre otras, son conductas irregulares que pueden tener consecuencias académicas y disciplinarias graves.
Por un lado, si se detecta alguna de estas conductas irregulares, puede comportar el suspenso (D/0) en las actividades evaluables que se definan en el plan docente - incluidas las pruebas finales - o en la calificación final de la asignatura, ya sea porque se han utilizado materiales o dispositivos no autorizados durante las pruebas, como redes sociales o buscadores de información en internet, porque se han copiado fragmentos de texto de una fuente externa (internet, apuntes, libros, artículos, trabajos o pruebas del resto de estudiantes, etc.) sin la correspondiente citación, o porque se ha practicado cualquier otra conducta irregular.
Por el otro, y de acuerdo con las normativas académicas, las conductas irregulares en la evaluación, además de comportar el suspenso de la asignatura, pueden dar lugar a la incoación de un procedimiento disciplinario y a la aplicación, si procede, de la sanción que corresponda.
La UOC se reserva la potestad de solicitar al estudiante que se identifique o que acredite la autoría de su trabajo a lo largo de todo el proceso de evaluación por los medios que establezca la universidad (síncronos o asíncronos). A estos efectos, la UOC puede exigir al estudiante el uso de un micrófono, una cámara u otras herramientas durante la evaluación y que este se asegure de que funcionan correctamente.
La verificación de los conocimientos para garantizar la autoría de la prueba no implicará en ningún caso una segunda evaluación.
|
Esta asignatura solo puede superarse a partir de la evaluación continua (EC), nota que se combina con una nota de prácticas (Pr) para obtener la nota final de la asignatura. No se prevé hacer ninguna prueba de evaluación final. La fórmula de acreditación de la asignatura es la siguiente: EC + Pr. |