Este módulo cubrirá una variedad de vulnerabilidades de inyección y autenticación rota.
Este módulo cubrirá una variedad de vulnerabilidades de inyección y autenticación rota. Aprenderá a almacenar datos confidenciales de usuario cifrados. También aprenderá la importancia de las contraseñas de usuario seguras.
Objetivos de aprendizaje:
- Aprender cómo funcionan los ataques de inyección SQL
- Aprender cómo funcionan los ataques de secuestro de sesiones
- Aprender a trabajar con contraseñas cifradas
- Aprender la importancia de las contraseñas seguras
Habilidades:
- Prevenir ataques de inyección SQL
- Evitar ataques de fijación de sesiones
- Poder caducar sesiones de usuario
- Poder volver a autenticar para acciones sensibles
- Requerir contraseñas de usuario de cierta longitud
Habilidades que obtendrás
Inyección de códigoLaboratorio de pruebas de módulos criptográficosMódulos de seguridad de LinuxMódulo de autenticación enchufable (PAM)Módulo de seguridad a prueba de manipulacionesGestión de vulnerabilidadesLo que aprenderás
- Comprender cómo funcionan los ataques de inyección SQL y cómo prevenirlos
- Reconocer cómo funcionan los ataques de secuestro de sesiones contra la autenticación rota
- Almacenar datos confidenciales de usuarios en forma cifrada
- Trabajar con contraseñas cifradas para cuentas de usuario
- Aplicar re-autenticación para acciones sensibles
- Explicar la importancia de contraseñas de usuario fuertes
Puntos clave
- El módulo cubre una variedad de vulnerabilidades de inyección y autenticación rota.
- Los datos confidenciales de usuarios deben almacenarse en forma cifrada.
- Las contraseñas de usuario fuertes son importantes para proteger las cuentas.
- El curso explica cómo funcionan los ataques de inyección SQL y cómo prevenirlos.
- El secuestro de sesiones es una forma de ataque de autenticación rota que el curso examina.
Preguntas frecuentes
¿Qué cubre este módulo?
Cubre una variedad de vulnerabilidades de inyección y autenticación rota, incluida la inyección SQL, el secuestro de sesiones, el almacenamiento de datos confidenciales cifrados y la re-autenticación para acciones sensibles.
¿Qué aprenderé sobre la inyección SQL?
Aprenderás cómo funcionan los ataques de inyección SQL y cómo prevenir la inyección SQL.
¿Aborda el curso las contraseñas?
Sí. Aprenderás cómo trabajar con contraseñas cifradas y la importancia de las contraseñas de usuario fuertes.
¿Qué habilidades se asocian con este curso?
Las habilidades asociadas incluyen Inyección de Código, Laboratorio de Pruebas de Módulos Criptográficos, Módulos de Seguridad de Linux, Módulo de Autenticación Conectable (PAM), Módulo de Seguridad Resistente a Manipulaciones y Gestión de Vulnerabilidades.
¿Qué temas se enseñan sobre autenticación?
El curso cubre autenticación rota, ataques de secuestro de sesiones y re-autenticación para acciones sensibles.
Transcripción
Transcripción
Hola. En esta lección, veremos cómo volver a autenticar para acciones sensibles. Incluso si expiramos las sesiones, los piratas aún podrían hacer mucho daño antes de que expire la sesión. Otra táctica que podemos usar para limitar el daño. es obligar al usuario a introducir su contraseña para acciones sensibles. Esto es utilizado por muchas aplicaciones de comercio web. Vamos a tratar la edición de un perfil. como una acción sensitiva. El primer paso es proporcionar un campo en la pantalla de editar perfil para que el usuario ingrese su contraseña actual. Vamos a hacer eso en el archivo de plantilla. Así que aquí tenemos el archivo de plantilla. para el editor de perfil, y podemos ver que hemos comentado actualmente espacio para su contraseña actual. Así que lo descomentamos y lo guardamos. Ahora, si actualizamos esa página, vamos a ver que tienen espacio para escribir su contraseña actual. El segundo paso es validar la contraseña en el script de edición de perfil. Entonces, si miramos edit profile.php, podemos ver que en las lineas 23 y 24 tenemos un código que verificará la contraseña a ver si es lo mismo como contraseña del usuario. Bueno, descomenta eso y luego guardarlo. Ahora deberíamos poder ir y realmente probar esto. Así que si hacemos un cambio en el perfil y luego entrar en otra cosa que la contraseña real del usuario, podemos ver que el cambio no se hizo. Introducimos la contraseña real del usuario. Podemos ver que se realizó el cambio. Esto evita que un hacker de robar una sesion y luego editar el perfil. Todavía pueden hacer otras cosas. Por ejemplo, como administrador, todavía podrían eliminar publicaciones. Probablemente deberíamos tratar eso como una acción sensible también y volver a solicitar al usuario su contraseña. En general, no desea volver a solicitar al usuario su contraseña por cada acción, porque eso rápidamente se volverá molesto para el usuario. Así que reduzca su lista de acciones a aquellas que son lo suficientemente sensibles que pueden hacer daño si un hacker fuera capaz de realizarlos y luego vuelva a verificar solo para esos. Gracias por ver. En la próxima lección veremos cómo almacenar datos confidenciales encriptados.
Aprende sobre la marcha
Lleva tu aprendizaje a todas partes: la app de KnowledgeCity te permite ver las lecciones sobre la marcha.