Seguretat i pentesting de servidors de dades Codi:  M1.772    Crèdits:  6
Consulta de les dades generals   Descripció   Objectius i competències   Continguts   Consulta dels recursos d'aprenentatge de la UOC per a l'assignatura   Metodologia   Informació sobre l'avaluació a la UOC   Consulta del model d'avaluació   Avaluació continuada   Avaluació final  
Aquest és el pla docent de l'assignatura per al segon semestre del curs 2023-2024. Podeu consultar si l'assignatura s'ofereix aquest semestre a l'espai del campus Més UOC / La universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. El pla docent pot estar subjecte a canvis.

En aquesta assignatura veurem exemples d'alguns dels mètodes més habituals per atacar formularis d'aplicatius web que interactuen amb alguna base de dades. Es faran atacs a les Bases de dades, així com als aplicatius que fan les consultes.

Addicionalment, es van a analitzar algunes de les bases de dades més utilitzades en l'actualitat i els principals conceptes que s'han de considerar per fortificarles adequadament els diferents tipus de bases de dades.

Amunt

Coneixer les eines i els métodes de pentesting en els servidors de dades.

Amunt

1. Introducció

2. Atacs a aplicacions Web

  • Cross site scripting (XSS) 
  • Cross site request forgery 
  • Clickjacking 
  • LDAP Injection Injection 
  • Blind LDAP Injection 
  • XPath 
  • Path Disclosure 
  • Remote File Inclusion 
  • Local File Inclusion 
  • Webtrojans 

 

3. Atacs a BBDD, SQL injection

  • Entorn d'explotació de l'atac
  • Eina Priamos
  • El paràmetre vulnerable
  • Com s'ataquen aquest tipus de vulnerabilitats?
  • Mètodes d'automatització
  • Eines
  • Protecció contra Blind SQL Injection
  • Time-Based Blind SQL Injection
  • Consultes pesants
  • Remote File Downloading
  • Booleanització de dades
  • Metodologia de treball
  • Remote File Downloading en Oracle Database
  • Identificació mitjançant funcions
  • Objectius principals per a cada base de dades
  • IDS Evasion

 4. Auditoria i desenvolupament segur

  • OWASP
  • Escàner de vulnerabilitats de caixa negra
  • Auditoria de codi font
  • Eines de filtratge: Web Application Firewalls

Amunt

Material Suport

Amunt

La metodologia utilitzada en aquesta assignatura inclou treballs molt pràctics que simulen escenaris reals que els estudiants poden trobar-se en el futur a l'hora d'auditar la seguridad d'un servidor de dades.

L'assignatura es basa en la realització de les proves d'avaluació continuada al llarg del curs. Per tant no hi ha examen final, només es pot superar l'assignatura mitjançant la realització de totes les activitats.

Es direfencien entre les activitats de caracter més teoric i una altre activitat de caracter més pràctic en la que s'haurà de posar en pràctica en una base de dades real els coneixements tant de pentesting de les BBDD com de fortificació d'aquestes.

Amunt

El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis realitzats.

La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; l'intent fraudulent d'obtenir un resultat acadèmic millor; la col·laboració, l'encobriment o l'afavoriment de la còpia, o la utilització de material, programari o dispositius no autoritzats durant l'avaluació, entre altres, són conductes irregulars en l'avaluació que poden tenir conseqüències acadèmiques i disciplinàries greus.

Aquestes conductes irregulars poden comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent -incloses les proves finals- o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials, programari o dispositius no autoritzats durant les proves, com ara xarxes socials o cercadors d'informació a internet, perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, o perquè s'ha dut a terme qualsevol altra conducta irregular.

Així mateix, i d'acord amb la normativa acadèmica, les conductes irregulars en l'avaluació també poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui, de conformitat amb l'establert a la normativa de convivència de la UOC.

En el marc del procés d'avaluació, la UOC es reserva la potestat de:

  • Sol·licitar a l'estudiant que acrediti la seva identitat segons l'establert a la normativa acadèmica.
  • Sol·licitar a l'estudiant que acrediti l'autoria del seu treball al llarg de tot el procés d'avaluació, tant avaluació contínua com avaluació final, per mitjà d'una prova oral o els mitjans síncrons o asíncrons que estableixi la Universitat. Aquests mitjans tindran per objecte verificar els coneixements i les competències que garanteixin l'autoria; en cap cas no implicaran una segona avaluació. Si no és possible garantir l'autoria de l'estudiant, la prova serà qualificada amb D, en el cas de l'avaluació contínua, o amb un Suspens, en el cas de l'avaluació final.

    A aquests efectes, la UOC pot exigir a l'estudiant l'ús d'un micròfon, una càmera o altres eines durant l'avaluació; és responsabilitat de l'estudiant assegurar que aquests dispositius funcionen correctament.

Amunt

L'assignatura només es pot aprovar amb el seguiment i la superació de l'avaluació contínua (AC). La qualificació final de l'assignatura és la nota obtinguda a l'AC.


Ponderació de les qualificacions

Opció per superar l'assignatura: AC

Nota final d'assignatura: AC

Amunt

Aquesta consta dels exercicis que composen les PACs obligatòries. Es realitzaran un conjunt de 3 PACs que tractaran les diferents parts de la temàtica de l'assignatura.
Es calcularà la mitja de les tres activitats obligatòries, considerant que si s'ha lliurat dos de les tres activitats ja s'ha participat en l'avaluació del'assignatura i per tant no ha lliurat la totalitat dels exercicis.

Finalment es realitzarà una altre activitat pràctica paral·lela que també serà obligatoria fer.

Com a mínim s'ha d'obtenir un 5 en cada una de les dues parts i es farà mitja per parts iguals entre la nota final de les PACs i la nota de la Pràctica

Amunt

L'avaluació final consta únicament de la nota obtinguda en l'Avaluació Continuada.

Amunt