El vídeo de la presentación “Seguridad en Aplicaciones Web”

diciembre 4, 2008

Ya está disponible para los que lo solicitaban el vídeo con la presentación completa sobre Seguridad en Aplicaciones Web impartida en la II Jornada STIC CCN-CERT. Para facilitar su visualización, ha sido dividido en ocho secciones:

1. Introducción de la presentación

2. La historia de Julián Moreno

3. La tienda electrónica de Julián Moreno

4. Ataques de Cross-Site Scripting (XSS)


5. Ataque de Phishing basado en XSS


6. Ataque de envenenamiento de cookies


7. Ataque de inyección de SQL


8. Conclusiones de la presentación

¡Que disfrutéis de la presentación!

Añadir a del.icio.us


No muestres datos, cuenta historias

noviembre 28, 2008

Hoy he participado en la “II Jornada STIC CCN-CERT” con una ponencia invitada sobre la seguridad en aplicaciones web. Me he visto en un aprieto, porque acostumbrado a impartir cursos de entre 20 y 25 horas sobre la seguridad web, ¿cómo podía condensar en 30 minutos tanta información? El objetivo de la charla era concienciar sobre los problemas de la inseguridad en aplicaciones web. Después de darle muchas vueltas, se me ocurrió la siguiente idea: en vez de dar una conferencia, contaría una historia.

La primera parte de la historia de nuestro héroe, Julián Moreno, aparece recogida gráficamente en las transparencias siguientes, sobre las cuales yo he ido narrando sus peripecias:

Durante las primeras semanas de funcionamiento de su nueva tienda en Internet, Julián Moreno ha conseguido multiplicar por diez las ventas. Hasta que un mal día, se percata de que a pesar de despachar más y más jamones, sus ingresos disminuyen. ¿Qué ha podido ocurrir?

Aquí es donde he pasado al modo demo y he ido realizando en directo algunos ejemplos de ataques sobre la tienda electrónica de Julián: manipulación de campos ocultos, robo de credenciales mediante phishing a través de Cross-Site Scripting, envenenamiento de cookies, inyección de SQL, etc.

Lo concreto sobrevive

Finalizada la Jornada, la audiencia ha abandonado la sala. Sé que dentro de un par de días no se acordará de todos y cada uno de los detalles de las distintas técnicas de hacking explicadas ni retendrá los datos estadísticos sobre ataques que he proporcionado. Pero recordará la historia de Julián y cómo su tienda fue atacada de mil formas. Los datos abstractos se olvidan pronto. Sin embargo, lo concreto y tangible se recuerda durante largo tiempo. Tal es así, que los cuatro ponentes que me han sucedido han realizado continuas referencias improvisadas a Julián y su tienda: porque todos los presentes teníamos grabada vívidamente su imagen. Siempre resulta más efectivo personalizar una explicación, acudir al caso particular. Esta imagen concreta actúa como un ancla al cual asociar los recuerdos. Nadie se identifica con una estadística que revela que el 82% de los sitios web presentan la vulnerabilidad de Cross-Site Scripting; mientras que todos empatizamos con el pobre Julián al verlo asistir impotente al robo de credenciales de sus clientes por parte de atacantes desalmados.

La próxima vez que debas mostrar hechos o datos, cuenta una historia. Recuerda: lo concreto sobrevive.

Añadir a del.icio.us

ENTRADAS RELACIONADAS

- Lo concreto sobrevive


A %d blogueros les gusta esto: