Pruebas de seguridad: Lo que la aplicación no debe hacer

La seguridad de las aplicaciones tiene una doble cara, por un lado hay que asegurar que no existan vulnerabilidades en la aplicación que permitan a un atacante sacar partido llegando a comprometer el sistema y por otro, existen las denominadas vulnerabilidades en la lógica de negocio a través de las cuales un atacante puede conseguir abusar de la funcionalidad de la aplicación. Esta conferencia tiene como foco éste segundo conjunto de vulnerabilidades dado que su impacto puede ser arbitrariamente significativo y sin embargo en la mayoría de los casos no se prueban.

Antes de comenzar, se ofrecen un conjunto de noticias que se pueden encontrar en diversos medios y que ofrecen  un primer acercamiento a la temática de la conferencia.

Acto seguido se expone el por qué es necesario contar con un mecanismo que detecte posibles fallos de seguridad en la lógica de negocio. Como hilo conductor figura una historieta sobre un desarrollador y un “hacker” en la que se cuenta cómo éste último fue capaz de descubrir vulnerabilidades incluso cuando todos los errores de seguridad habían sido aparentemente solucionados.

Utilizando las lecciones aprendidas a lo largo de diferentes proyectos, se muestra qué y cómo buscar mediante el uso del concepto 'caso de abuso' realizando además una comparación con los casos de uso.

Tras esto, se entra en detalle sobre cómo sistematizar el desarrollo de casos de abuso para detectar vulnerabilidades en la lógica de negocio.

Finalmente, éste enfoque sistemático es aplicado a un caso real donde se realiza una demostración en vivo de cómo se puede fácilmente alterar el comportamiento de un software para producir resultados no deseados.

Tipo: 
Taller
Fecha y Hora: 
Jueves, 12 Noviembre, 2015 -
10:30 a 12:00