· 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

HEADERS SEGUROS HTTP

Upload: dinhtuong

Post on 18-Nov-2018

231 views

Category:

Documents

0 download

Report

Download

Embed Size (px):

TRANSCRIPT

Page 1: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

HEADERS SEGUROS HTTP

Page 2: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

About Me

Daniel Torres Sandi

• Ingeniero de sistemas (USFX)• Comptia security+• Instructor cognos• Entusiasta del software libre y de la

seguridad informatica

Page 3: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

HTTP HEADERS• Una manera de definir como interactuan cliente y

servidor

TIPOS• Headers de peticion (cliente):

– Ej: Navegador (User-Agent)• Headers de respuesta (servidor):

– Ej: Codigo de respuesta (Response code)• Headers generales (ambos):

– Ej: Conexion (Connection)

Page 4: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

HTTP HEADERS SEGUROSHeaders de respuesta (servidor):

• X-FRAME-OPTIONS• X-XSS-PROTECTION• CONTENT-SECURITY-POLICY• STRICT-TRANSPORT-SECURITY• X-CONTENT-TYPE-OPTIONS

Page 5: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

AMENAZAS

1. Clickjacking• Engaña al usuario para que haga click en un boton oculto

2. Session hijacking• Secuestro de la sesion

3. XSS• Ejecucion de codigo malicioso en el navegador (Ej: javascript)

Page 6: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

Clickjacking DEMO

Page 7: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

X-FRAME-OPTIONS• El servidor le indica al cliente que la pagina no puede ser

cargado en un iframe• Header usado para proteger sitios de ataques de click

jacking

Opciones:Define desde que dominios se puede cargar en un iframe• Same Origin: Desde el mismo dominio• Deny: De ningun dominio• Allow from: De determinado dominio

3.7+ 8+ 4.1+ 4+

Page 8: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

Session hijacking DEMO

Page 9: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

STRICT-TRANSPORT-SECURITY (HSTS )

• HSTS obliga a el navegador a "hablar" con el servidor solo mediante HTTPS

• Mitiga ataques de hombre en el medio (Man-in-the-middle)

31+ 36+ 7+

Page 10: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

XSS DEMO

Page 11: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

X-XSS-PROTECTION• Los navegadores tienen un framework de proteccion XSS

interno • Este header habilita esta proteccion

Ejemplos:• X-XSS-PROTECTION: 1 • X-XSS-PROTECTION: 1; report = http://xyz.com/add.php

Page 12: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

CONTENT-SECURITY-POLICYDirectivas:

• script-src: Definir desde donde scripts se pueden ejecutar

• img-src: Definir desde donde se puede cargar imágenes

• media-src: Definir desde donde se puede cargar video/audio

• frame-src: Definir desde donde se puede incrustar frames

23+ 25+ 7+

Page 13: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

CONTENT-SECURITY-POLICYDirectivas:

• object-src: Flash y otros objetos

• default-src: Definir la política de carga para todo tipo de

recursos

• report-uri: Especifica la URL a la que se envíara el informes

sobre violación de la política

23+ 25+ 7+

Page 14: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

CONTENT-SECURITY-POLICYDespues de implementar CSP los sitios web no podran usar:Inline scripts

– no mas bloques <script>• Eventos javascript

– <a onclick="javascript:"

Modo: Content-Security-Policy-Report-Only

• Notificara de violaciones de la politica pero no las bloqueara

Page 15: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

X-CONTENT-TYPE-OPTIONS

• Cuando permitimos que usuarios suban contenido para

que otros usuarios los descarguen

• MIME sniffing: Inspeccionar el contenido para determinar el

formato (text,video,etc)

• Imagenes PNG pueden ser interpretadas como HTML

X-CONTENT-TYPE-OPTIONS:nosniff

Page 16: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

¿Que header seguros usa mi sitio web?

http://cyh.herokuapp.com/cyh

Page 17: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

IMPLEMENTADO HEADERS SEGUROSA nivel de servidor

• IISv7 : Administrador de IIS– ASP.NET 4.5 (shim.codeplex.com)

• Apache: Modulo mod_headers

• Nginx: Modulos ngx_http_headers_module

Page 18: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

IMPLEMENTADO HEADERS SEGUROSA nivel de codigo

• JSP– response.addHeader("X-XSS-Protection","1")

• PHP– header("X-Frame-Options: DENY");

Page 19: · 3 !" # $ #! ! $ 3 " ! $%! 3 : 4 : # $ , 3 4 ( (4 ( 6/ 6; 7 . # !

GRACIAS!

Map construction: November 03, 2009 CUMBERLAND · 4 3 2 6 6 5 3 54 3 2 1 4 3 5 6 3 5 2 2 1 7 2 6 3 4 7 5 4 7 6 9 4 2 4 6 7 5 4 1 3 7 3 3 2 1 3 5 2 3 5 5 6 2 2 6 7 5 4 4 7 8 1 3 4

Probabilidad y Estadística 2...P L A N D E E S T U D I O S 10 5 10 5 8 4 8 4 6 3 8 4 8 4 3 8 4 6 3 6 3 6 3 6 3 6 3 6 3 14 7 1 6 3 8 4 8 4 6 3 6 3 6 3 6 3 14 7 1 10 5 8 4 8 4 8 4 10

9 ! & @ 99 ## ?$ file( $ ) *+,-+.+/ 01 ( $ ) *+,-+.+/ 2 ( $ ) *+,-+3*4 $ ) *+,-+3*4 ( $ ) *+,-+3*4 5 ( $ ) *+,-+3*4 6 $ ) *+,-+3*4 6

1 2 3 6 5 4. 1 2 3 6 5 4 1 2 3 6 5 4 1 2 3 6 5 4

2 1 + . 0 / . . - a * ! * , 6 * 4 ' 4 5 4 3 ) 3 · ! ! " " # " "# $! , % * + * ) ( ' & % % ! 2 1 + . 0 / . . - , 6 * 4 ' 4 5 4 3 ) 3 , 6 * 4 ' 4 5 4 9 , 8 7 , 6 * 4 ' 4 5 4 3 * 3

Single Seat Valve ey...1 2 3 4 3 4 2 1 4 5 2 3 4 5 1 3 4 5 12 34 5 6 23 4 5 6 1 4 5 6 5 2 3 4 5 6 1 2 34 5 6 3 2 3 45 6 2 3 5 6 2 4 1 4 5 6 3 4 5 6. w61/w81/w91 shut-off (w68/w88/w98

1. Allegro Concertino 6 10 13 6 16 6 3 4 3 5 4 6 7 4

1-1 1-2 1-3 1-4 1-5 1-6 2-1 2-2 2-3 2-4 2-5 2-6 3-1 3-2 3-3 3-4 3-5 3-6 4-1 4-2 4-3 4-4 4-5 4-6 5-1 5-2 5-3 5-4 5-5 5-6 6-1 6-2 6-3 6-4 6-5 6-6 program

4-4. I 200 200 200 7, 7, '6 3-3-1 3-3-2 3-4-1 3-4-2 3-4.3 ... · 4-4. i 200 200 200 7, 7, '6 3-3-1 3-3-2 3-4-1 3-4-2 3-4.3 3-4-4 3-5-1 3-5-3 3-5-4 3-5.5 3-5-6 3-6-2 3-6-3 3-6.5 3-6.6

COMBINATORICS - Centre MersennePermutrees 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7 4 4 3 3 5 5 6 6 7 7 2 2 1 1 1 2 3 4 5 6 7 6 7 4 5 3 1 2 Figure 3. Leveled

· XLS file · Web view · 2014-02-273 3. 4 4. 4 4. 3 3. 6 6. 4 4. 4 4. 3 3. 3 3. 4 4. 7 7. 4 4. 9 9. 3 3. 3 3. 6 5 3 17 4 35. 3 3. 3 3. 4 4. 3 3. 3 3. 3 3. 5 5. 6 6. 3 3. 3 3. 4

sina-pub.ir · / & &012 3 4 5 6#7' . 3 ( . 3 * + ' ( . 3 % 4 5 6#7' . 3 * + ' "9 6(! :6( /; 4 / '#' * ( )*+8 &4 ( "

Gemeente Heemstede...7845 4 0 3 9 4 4 5 6 6278 7 0 5 4 7413 6027 6 0 3 4 6 0 3 8 6 0 3 9 6040 6 0 4 3 4 3 8 1 7 9 7 0 5816 7487 7489 7490 6 86 2 8 6 8 6 3 6 8 6 4 7083 5 8 8 8 7 3

NARO RESEARCH PRIZE 2018...549.32 6 6 6 3 3 6 6 3 3 1 3 6 4 4 1 2 0 0 4 3 4 4 2 2 1 2 0 4 4 43 1 2 0 4 6 4 4 4 3 2 2 2 1 0 0 0 4 4 4 5 4 2 2 2 2 2 0 0 0 3 2 0 0 4 4 6 4 3 2 2 2 2 0

csc.com.tw · 211! 211pËu 271! T N 5 1 1 B ! u 6 1 ! 1 / 3 4 ! ³ ! p¼ ! 3 / 6 Ø D ² ! 1 / 1 4 6 ! ³ ! 1 / 1 4 6 ! ³ ! 3 5 6 ! ² ! 3 4 6 ! ² ! 3 2 6 ! ² ! 3 2 6 ! ² ! 3

05 Les cartes additives BATAILLE · 2011. 12. 29. · 10+20= 30 10+10= 10+10= 20 4+6= 4+6= 10 3+6= 3+6= 9 4+4= 4+4= 8 5+2= 5+2= 7 3+3= 3+3= 6 . 4+2= 4+2= 6 ... 3+2= 3+2= 5 30+20=

私立学校の経営状況について（概要） · 9 1 4 9 3 4 8 6 4 6 9 4 6 0 4 4 9 4 3 5 4 1 6 4 0 0 3 8 3 3 7 3 3 6 5 3 6 0 3 5 6 3 4 4 3 3 8 3 3 0 3 2 4 3 2 0 3 1 5 3 1 1

@acRBio Competencia Matemática: Números Naturales · 4 9 3 3 3 2 5 5 2 9 6 1 4 4 4 9 6 4 6 2 1 4 1 7 3 2 6 8 6 8 3 6 6 1 3 5 5 6 3 @acRBio Competencia Matemática: Números Naturales

EXPLANATION OF LEGEND ITEMS Sierra Madre5 4 3 2 1 6 5 4 6 6 6 7 7 4 2 5 5 3 2 3 4 6 5 4 2 1 2 1 6 5 4 3 1 5 3 6 4 6 7 5 4 3 2 7 7 3 7 4 6 6 6 1 2 4 9 5 2 4 1 2 1 8 9 5 2 3 9 3 5 8

0 ( * / ) . 1€¦ · (0 ( * / ) . 1 - / + 8 7 6 6 5 4 3 . 0 / . 4 3 2 1 / 4 6 3 3 / 5 8 7 6 6

Edición Enero 2016 · p l a n d e e s t u d i o s 10 5 10 5 8 4 8 4 6 3 8 4 8 4 3 8 4 6 3 6 3 6 3 6 3 6 3 6 3 14 7 1 6 3 8 4 8 4 6 3 6 3 6 3 6 3 14 7 1 10 5 8 4 8 4 8 4 10 5 6 3

Coocanugk60595.world.coocan.jp/PDF/img034.pdf · 2 3 4 5 6 7 3 4 5 2 3 4 5 6 O 4- 2 4 5 2 3 4 5 6 Freaks Freaks B B 1 2 1 . 2 3 4 5 3 4 5 3 4 2 3 4 5 6 —5 7 2 3 5 6 2 4 3— 5 6

SACE Tmax XT - ABB Ltd · sace tmax xt xt2 iii 3 (6) 3 (6) iv 4 (8) 4 (8) xt3 iii 3 (6) 3 (6) iv 4 (8) 4 (8) xt1 iii 3 (6) 3 (6) iv 4 (8) 4 (8) xt4 iv / 4 (8) 4 (8) iii / 3 (6) 3

5 - sites.leeschools.netsites.leeschools.net/AmberMK/Shared Documents/Math... · (Lesson 3.6) A 6 1 4 5 4 1 6 B 4 3 6 5 6 3 4 C 4 3 3 5 4 1 8 D 3 3 6 5 9 3 2 4. Find the product

Bebauungsplan Nr. Satzung über örtliche Bauvorschriften€¦ · 3 6 2 9 3 6 1 9 3 6 2 8 6 2 7 3 6 25 3 6 2 4 3 6 26 3 6 43 3 6 4 4 3 6 4 5 3 6 1 8 3 6 2 3 3 6 2 2 3 6 2 1 3 6 2

5)6 ,.6 #&-6. :/( 0/-*/& #*4/*4 3)4* - diKemas

3;1- -6 :8-3;)3-4 /--6 8741;1-3/.020 # --. 3;1- -6 :8-3;)3-4 /--6 8741;1-3 -A- >--3 A-; #879;9)), A126 =12.-6;>16;1/2)91/ *-C:;))6 4

آموزش زبان انگلیسی امید...4 3 % 4 3 % / % 3 3 ) 5 / 0 * 0 3 ' 3 ' / ! : % 4 ' 3 % 4 ' 3 % 2 6- = 77777777777777777777 % : 6- 77777777777777777777 / 6

clojure - riptutorial.com · 1: clojure 2 2 2 Examples 2 3 1 3 Linux 3 OS X. 3 Homebrew 3 MacPorts 3 3 2 3 3 4 “”REPL 4 4 “”Boot 4 5 2: CLJ- 6 6 Examples 6 Joda 6 6 6 6 joda

Sommaire . 1 .. .. 1 . 2 3 .. 3 . 4 .. 4 6 . 6

SEMESTREPRIMER REFORMA INTEGRAL DE LA ... - Cobach Sonoramail.cobachsonora.edu.mx/.../guia_quimica2.pdf · 1 7 14 3 6 3 6 3 6 3 6 4 8 4 8 3 6 1 7 14 3 6 5 10 4 8 4 8 4 8 5 10 3 7

計画幅員の変更 16m⇒11m...2 2 3 4 3 2 4 3 2 4 2 3 3 5 3 3 6 6 4 4 5 2 2 3 3 2 6 4 2 5 3 3 6 6 3 2 2 2 3 2 33 2 6 2 3 3 3 4 4 3 3 2 3 2 3 2 3 5 4 4 2 6 6 2 4 4 3 3 5 6 2 2 4

· 1 1 1 2 2 2 2 2 2 3 3 3 3 3 3 3 4 4 4 4 4 4 5 5 5 5 5 5 6 6 6 6 6 6 6 1 2 3 4 5 6 7 1 2 3 4 5 6 1 2 3 4 5 6 7 1 2 3 4 5 6 1 2 3 4 5 6 1 2 3 4

engrasad.weebly.com · 3 !) & 3 " $ 6 766 7 6 66 g h 6 " $ $ 4 4

informika-e.ruinformika-e.ru/S2/9_kl_bosova.pdf · 2016-09-23 · 9 9 9 9 9 9 9 2 1 1 6 6 6 6 6 6 3 9 O o 5 5 5 5 5 4 2 2 2 2 2 4 4 4 5 4 4 4 4 2 3 3 3 6 3 3 3 3 3 2 2 6 6 1 1 8 5