Este pasado martes impartí una charla en el grupo de usuarios de ASP.NET de España (AUGES) titulada como este post:

“Seguridad de aplicaciones Web: las técnicas más interesantes para que no hackeen tu aplicación”

El resumen de la misma es el siguiente:

Programar es mucho más que la simple creación de aplicaciones que cumplen con la funcionalidad para la que fueron diseñadas. Existen otras muchas consideraciones que hacer y multitud de características tan importantes como la propia funcionalidad que se deben tener en cuenta: rendimiento, extensibilidad, facilidad de mantenimiento, etc... entre las que destaca especialmente la seguridad del código que se escribe.

De poco o de nada sirve una aplicación que lleva a cabo su cometido principal pero que permite que casi cualquiera pueda acceder a la información que supuestamente protege o que, debido a la escritura de código descuidado, un competidor desleal impide su funcionamiento cuando más se necesita.

Y no, no llega con tener un buen cortafuegos si el fallo está en la lógica de la aplicación.

En esta charla se analizaron los principales puntos flojos de seguridad que suele haber en las aplicaciones Web ASP.NET, y se enseñará cómo evitarlos. Entre otros temas se tratarán la correcta configuración de IIS, la autenticación y autorización hechas correctamente, la suplantación de usuarios del sistema, las inyecciones de SQL, las secuencias de comandos entre sitios (XSS), los problemas de canonicalización...

Os dejo la grabación completa (¡son dos horas!) a continuación.

OJO: Dado que es una grabación en directo de Live Meeting la calidad del vídeo no es la mejor, pero es suficiente para seguirlo sin problemas. ¡Ponlo mejor a pantalla completa!

En la página de AUGES podrás encontrar los ejemplos de código que utilizao y las slides de la presentación.

¡Espero que te guste y te sea útil!

Escrito por un humano, no por una IA