Desde la Cripta al Código: Seguridad Web Explorada a Través de Películas de Terror

This ad is not shown to multipass and full ticket holders
JSNation US
JSNation US 2025
November 17 - 20, 2025
New York, US & Online
See JS stars in the US biggest planetarium
Learn More
In partnership with Focus Reactive
Upcoming event
JSNation US 2025
JSNation US 2025
November 17 - 20, 2025. New York, US & Online
Learn more
Bookmark
Rate this content

Una cinta de video críptica que atormenta a sus espectadores, una entidad cambiante que acecha una estación de investigación, o un astronauta que lleva sin saberlo un alienígena a bordo de una nave espacial —¿te suenan familiares estos escenarios? Estas tramas de películas de terror comparten similitudes con escenarios en seguridad web que ya has encontrado.

Acompáñame en un escalofriante viaje a través de la seguridad web mientras exploramos las vulnerabilidades más comunes a través del lente de las películas de terror. Desde los siniestros fallos de inyección que recuerdan a "Alien" hasta el aterrador espectro de la autenticación rota similar a "Unfriended". Pero no te preocupes, también arrojaremos luz sobre soluciones en desarrollo web, convirtiendo estas pesadillas de seguridad en historias de triunfo. Si te atreves, únete a nosotros y aprende cómo conquistar la oscuridad invitada por tus aplicaciones web.

This talk has been presented at JSNation US 2024, check out the latest edition of this JavaScript Conference.

Ramona Schwering
Ramona Schwering
28 min
18 Nov, 2024

Comments

Sign in or register to post your comment.
Video Summary and Transcription
La charla explora los paralelismos entre la seguridad web y las películas de terror, destacando el impacto real de los problemas de seguridad. OWASP es presentado como un equipo útil que clasifica los riesgos de seguridad. El control de acceso roto se identifica como un riesgo importante, y se discuten las mejores prácticas para el control de acceso. Las fallas criptográficas se comparan con la película Hellraiser, enfatizando la importancia del cifrado. Sobrevivir a los problemas de seguridad implica cifrar datos sensibles, validación de entradas y el uso de protocolos seguros. Los ataques de inyección y las estrategias de defensa se ilustran a través de la película Alien. Se enfatiza la importancia de monitorear y actualizar las dependencias. Las pruebas de código son cruciales para la seguridad. Se mencionan brevemente la ingeniería social y las películas de terror favoritas. Se destacan las herramientas de prueba y la importancia de tomar medidas. En general, la charla proporciona valiosos conocimientos sobre seguridad web a través del lente de las películas de terror.

1. Introduction to Web Security for Horror Movies

Short description:

No es la primera vez que doy una charla en el Planetarium. Tendré dos pequeños avisos para ustedes: leve alerta de spoiler y las tramas de películas de terror pueden ser intensas.

No es la primera vez, como la primera vez en los Estados Unidos, la primera vez dando una charla en el Planetarium. ¿Qué tan genial es eso? Y puedo compartirlo con todos ustedes. Así que esto es simplemente maravilloso.

Pero aunque tener un tono maravilloso en esta charla es un poco difícil porque aunque Halloween ha terminado, hay algunas cosas espeluznantes, cosas aterradoras, temores, pesadillas que aún están ahí, que no desaparecerán solo porque Halloween ha terminado, ¿verdad? Así que no tengan miedo. Estamos juntos en esto. Están aquí conmigo en mi primera vez en el Planetarium. Así que son mis compañeros. Y déjenme llevarlos en un viaje desde la cripta hasta el código para explorar la seguridad web para películas de terror.

Y antes de comenzar rápidamente, tendré dos pequeños avisos para ustedes. El primero será una leve alerta de spoiler porque, por supuesto, si intento enseñar seguridad web para películas de terror, podría necesitar tocar la trama de alguna película de terror. Así que no se preocupen. No les arruinaré las películas completas. Pero me aseguraré de que entiendan de qué estoy hablando. Aunque, incluso cuando las películas de terror no sean de su agrado. Y el otro, por supuesto, las tramas de películas de terror a veces no son tan amigables por decirlo de esa manera. Así que intentaré ser lo más amable e inofensivo posible cuando se trate de mi redacción. Pero si me equivoco a veces, por favor tengan paciencia conmigo porque las películas de terror a veces son intensas. Y sí, podría mencionar algunos puntos de la trama. Así que una leve advertencia de contenido solo para que lo sepan.

2. Parallels between Web Security and Horror Movies

Short description:

Si ves películas o Halloween o básicamente películas de terror durante todo el año, ¿alguna vez escuchaste esta cita, "I'll be right back"? Es un mal presagio. No hagas esto. Hay muchos paralelismos entre la seguridad web, los problemas de seguridad y las películas de terror. E incluso puntos polares completos de películas de terror, reflejando incidentes completos. Son tomados de los medios porque estos son problemas de seguridad reales. Son reales y causan mucho daño. Pero hay algo positivo, que es que están en el mundo real, lo que nos ayudará en escenarios de terror también, así como ayuda a las personas en las películas de terror. El maravilloso profesor amigable, un equipo, un nerd, un grupo de personas, personas útiles y capaces ayudando al protagonista a sobrevivir. Así que hay muchas personas ayudándonos, ya sea dentro de una película de terror o en el mundo real.

Bueno, no sé si puedo ver a la audiencia tan bien. Pero tal vez pueda tener algo de luz porque tengo una pregunta para ustedes. Si ves películas o Halloween o básicamente películas de terror durante todo el año, ¿alguna vez escuchaste esta cita, "I'll be right back"? Y una persona se va. Sí, me alegra no estar solo. Espero que al menos estén un poco molestos porque si veo esto, realmente me molesta porque ¿por qué deberías separarte en absoluto? Es un mal presagio. No hagas esto. No hagas esto en películas de terror. Es tan famoso. Se convirtió en un meme y supongo que eso te dice todo sobre este plan inteligente de separarse. ¿Verdad?

Hay muchas personas en películas de terror tomando decisiones extrañas o incluso estúpidas. Y estamos justo detrás de nuestro televisor diciendo como, ja-ja, yo lo haría mejor. Pero realmente, realmente espero que nunca te encuentres en una situación como de película de terror. Pero no necesitamos ir tan lejos porque hay situaciones aterradoras e importantes en nuestra vida diaria como desarrollador de software, que pueden convertirse en una película de terror. ¿Verdad? Sí.

Creo que hay muchos paralelismos entre la seguridad web, los problemas de seguridad y las películas de terror. No solo personas haciendo cosas extrañas, no escuchan las advertencias, incluso si son claras y están justo en su cara, cosas así. Así que, por supuesto, no son completamente iguales. Pero hay muchos paralelismos que descubriremos más adelante. E incluso puntos polares completos de películas de terror, reflejando incidentes completos, lo cual es realmente genial. Estos títulos aquí son, algunos podrían sonar como películas pero no lo son. Son tomados de los medios porque estos son problemas de seguridad reales. Y son bastante famosos y bastante peligrosos. Por ejemplo, Heartbleed es una vulnerabilidad en el popular OpenSSL, ¿verdad? Así que, sí, están aquí. Son reales y causan mucho daño.

Pero hay algo positivo, que es que están en el mundo real, lo que nos ayudará en escenarios de terror también, así como ayuda a las personas en las películas de terror. El maravilloso profesor amigable, un equipo, un nerd, un grupo de personas, personas útiles y capaces ayudando al protagonista a sobrevivir. Como este profesor que intenté dibujar por la película Sinister. No sé si lo logré, pero entiendes el punto. Así que hay muchas personas ayudándonos, ya sea dentro de una película de terror o en el mundo real.

3. OWASP and 'The Invisible Man'

Short description:

El equipo que nos ayudará se llama OWASP. Ellos hacen un ranking de los riesgos de seguridad más importantes a tener en cuenta. Y los usé como base para elaborar nuestro manual de supervivencia de seguridad. La primera película de terror es 'The Invisible Man', que es un ejemplo maravilloso del riesgo más importante para nosotros: el control de acceso roto.

Bien. Supongo que nunca se lo dices a nadie. {{^}}Bien. El equipo que nos ayudará se llama OWASP. OWASP es el término corto para Open Worldwide Application Security Project, y es un grupo de personas que tienen como objetivo aumentar la seguridad en la web. Así que están tratando de empujarnos a saber cuáles son los riesgos más peligrosos en la web. Y hacen un ranking, o supongo que cada cuatro años? No está mal. Así que el ranking de los riesgos de seguridad más importantes a tener en cuenta. Y supongo que el último ranking fue en 2021, si no me equivoco. Y los usé como base, porque son realmente útiles, para elaborar nuestro manual de supervivencia de seguridad. Al igual que otras películas de terror un poco irónicas como Scream o Zombieland lo hacen, tratando de darnos raíces a las que adherirnos si estamos dentro de una situación de película de terror.

Así que bien. No queda mucho por hablar. Vamos a entrar en la primera película de terror. Bien. Esta es la primera. Y al menos la película original es la más antigua. Es de 1933, supongo. Pero hubo un remake en 2020. Es sobre el hombre invisible. Y como el título ya te dijo, se trata de Griffin, que es un científico haciendo un experimento y fallando miserablemente y resultando ser invisible. Al principio quiere esconderse porque es una mala condición, ¿verdad? Si nadie puede verte. Pero por supuesto, la invisibilidad tiene algunas ventajas. Así que rápidamente hace uso de ella. Primero haciendo bromas, pero luego siendo tentado a cometer crímenes o incluso peores cosas como asesinato. Así que no es tan amable con otras personas, ¿verdad? Así que sí. Este es el resumen rápido de la trama, básicamente. Y creo que esta trama es una maravillosa alegoría, un ejemplo maravilloso del riesgo más importante para nosotros. Esto se llama control de acceso roto.

4. Access Control and Invisibility

Short description:

El control de acceso significa que un usuario no puede actuar fuera de sus permisos previstos. Esto puede llevar a la divulgación no autorizada de información, modificaciones no autorizadas o distracciones. La invisibilidad se asemeja al acceso no autorizado, falsa sensación de seguridad y no dejar rastros. Para sobrevivir al control de acceso roto, niega por defecto y usa limitadores de tasa para minimizar el daño.

El control de acceso generalmente significa que un usuario no puede actuar fuera de sus permisos previstos. Y una falla obviamente significa que un usuario es perfectamente capaz de hacerlo, como un hombre invisible que no puede ser visto y puede hacer lo que quiera. Así que sí. Esto puede llevar a muchas cosas, como la divulgación no autorizada de información, personas que pueden modificar cosas que no deberían poder, o incluso distracciones. Sí. Estoy mirando a ti, curso, o tomé una manipulación. Esto podría suceder.

Así que bien. Vamos a profundizar un poco más en los paralelismos. La invisibilidad puede insinuar acceso no autorizado. Porque un atacante puede operar sin ser visto, como puede Griffin. Pueden entrar, no serán vistos, pueden destrozar Harvard, leer cosas, acceder a datos sensibles, cosas así. Y como Griffin hizo al cometer crímenes y cosas. Es abuso del poder de la incapacidad. O en términos de seguridad, abuso de poder más allá de lo que debería permitirse. Bastante buen paralelo.

Otro es una falsa sensación de seguridad. Si puedes ver a un perpetrador, te sientes seguro, ¿verdad? Porque no hay nada. Y esas personas que no se ven, ya sea un hombre invisible o un atacante, no pueden ser detenidas. Porque los guardias y las cerraduras no pueden detener lo que no pueden detectar, ¿verdad? Bastante malo. Así que un acceso mal implementado puede llevar a una falsa sensación de seguridad. Y aún peor, si no lo bloqueas, no puedes saber que hay una brecha, tal vez. Y por último, pero no menos importante, un atacante invisible no dejará rastros. Como se dijo, cuando se trata de sin bloqueo púrpura, no pasa nada. Puedes explotar tus datos. Y tienes un desastre.

Entonces, ¿qué podemos hacer para sobrevivir al hombre invisible? ¿O al control de acceso roto? Tu modo de operación por defecto debería ser negar por defecto. Si tienes, por ejemplo, un usuario por defecto sin ninguna asignación, por ejemplo, no deberían poder hacer nada, a menos que el usuario o el punto final sea un recurso público. Deberías intentar minimizar el daño usando limitadores de tasa en tu API y en tus controladores. Así que si las personas pueden hacer más de lo que pretendían hacer, es solo un área pequeña de daño.

5. Access Control Best Practices

Short description:

Si tienes identificadores de sesión con estado, invalídalos regularmente. Usa tokens JWT de corta duración o considera OAuth. Implementa y reutiliza mecanismos de control de acceso. Echa un vistazo a OpenFGA, un control de acceso basado en reglas inspirado en Google Sansibar, de código abierto y confiable.

Si tienes identificadores de sesión con estado, deberías invalidarlos regularmente. Tan pronto como sea posible y cuanto más rápido, mejor. Cuando pienso en un token JWT, deberías tenerlos de corta duración. Y si no es posible, quieres tener más conveniencia para tu usuario, intenta pensar en usar el estándar OAuth. Esto hace que la ventana de ataque sea un poco más pequeña. Por último, pero no menos importante, puedes pensar en implementar y reutilizar mecanismos de control de acceso. Y hay muchos que podrías considerar. Esto puede llevar a minimizar costos, sin compartir en otras cosas. Una pequeña recomendación que quiero mencionar aquí rápidamente es OpenFGA, que está inspirado en Google Sansibar, un control de acceso basado en reglas, pero también tiene algunos casos de uso de RBAC y ABAC. Y es de código abierto, lo cual me gusta mucho. Y hasta donde sé, es un proyecto de la Cloud Native Computing Foundation. Así que es una fuente confiable en la que puedes confiar.

6. Cryptographic Failures in Hellraiser

Short description:

Hellraiser es una película de 1987 que sirve como una alegoría de los fallos criptográficos. La caja de rompecabezas en la película representa un sistema de cifrado fácilmente quebrantable. Los Cenobites simbolizan las consecuencias del fallo, y la resurrección de Frank representa la recuperación de datos fallida.

Bien. ¿Estás listo para la segunda película? Whoo-hoo. Bueno, no estaría tan feliz de ver a este tipo, ¿verdad? Estoy hablando de Hellraiser. Es una película de 1987. ¿Perdón? Pinhead es bastante famoso, creo. Pero la trama, y especialmente para la seguridad, quiero echar un vistazo más de cerca a cierta caja que tienen, la caja de rompecabezas, que es básicamente la configuración Norman.

En la película, hay una persona, creo que se llama Peter o Frank, Frank, creo que Frank era su nombre. Está encontrando esta caja y básicamente la está resolviendo. La cuestión es que si resuelves el rompecabezas, abrirás una puerta al reino infernal de los Cenobites. Y los Cenobites no son tan amigables. No vienen solo a cenar o a tomar una taza de té o algo así. Quieren cazar personas para experimentar. Y supongo que nadie estaba dispuesto a ser un conejillo de indias, ¿verdad? Y hay una mujer, la amante de Frank, creo, que intenta resucitarlo, quien resolvió el rompecabezas y se convirtió en víctima.

Esta película es una maravillosa alegoría sobre los fallos criptográficos. Así que básicamente todos los fallos relacionados con la criptografía, toda la falta de ella. Este punto antes, cuando se trata de toda la sobreexposición, anteriormente se conocía como exposición de datos sensibles, que es el síntoma más prominente. Pero como no es la causa, lo renombraron. La película Peril, como ya se insinuó, alude a esta caja de rompecabezas, a la configuración LEMON, siendo un sistema de cifrado que es fácil o más fácil de romper. Los Cenobites son las consecuencias del fallo. Así que vendrán y te perseguirán porque tienen tus datos, por ejemplo, o pudieron acceder a ellos. Y la resurrección de Frank, es una recuperación de datos fallida. Así que incluso si intentas recuperar tus medidas, nunca puedes saber si todo está en orden, ¿verdad?

7. Surviving Security Issues and the Alien Allegory

Short description:

Para sobrevivir a un problema de seguridad, cifra los datos sensibles, clasifica y descarta los datos innecesarios, evita almacenar en caché respuestas sensibles, utiliza protocolos seguros y aprende de la alegoría de Alien y el abrazacaras como ejemplo de omisión de validación de entrada e inyección de código.

Bien, ¿cómo podemos sobrevivir a un problema de seguridad tipo hell-wager? Lo primero es cifrar todos los datos sensibles. Bastante fácil, ¿verdad? Usa algoritmos de cifrado y sé realmente cuidadoso y completamente consistente. Intenta clasificar los datos que procesas, almacenas o transmites. Porque de esta manera puedes identificar qué datos son sensibles. No deberías almacenar datos sensibles innecesariamente, así que descártalos si ya no están en uso. Usa PCI DS como tokenización de componentes o concrétalo, y como dije, descártalo tan pronto como lo necesites. Ya no lo necesitas.

El punto que me gustaría que tuvieras en tu caja de herramientas es que intentes no almacenar en caché respuestas sensibles. Porque si no están en caché, nadie puede tomarlas, ¿verdad? Y por último, pero no menos importante, utiliza protocolos seguros, fuertes y actualizados como TLS e intenta evitar FTP o SMTP porque son un poco antiguos.

Bien. Bien. Ahora llegamos a mi alegoría favorita. No pude resistirme a incluirla aunque la película es un poco explícita para decirlo de alguna manera. Supongo que ya la viste alguna vez o has oído hablar de ella. Está en Alien. Es una película, supongo. Su original, la primera parte, fue en 1988, y trata sobre la tripulación de una nave espacial que investiga una nave espacial abandonada. Fueron un poco demasiado curiosos, supongo. Lo que los llevó a ser cazados por una criatura extraterrestre mortal llamada Xenomorph. Y sí, el aviso está en su lugar. La trama es explícita. Intenté cuidar mi redacción.

Si no, lo siento. Lo que los hizo un poco curiosos fue este pequeño amigo lindo que solo quiere abrazar a la gente. Supongo que si no estás dispuesto a llevarte un recuerdo especial, deberías abstenerte, supongo, a diferencia de la tripulación, que no fue tan cuidadosa. Exploraron un poco demasiado y trajeron de vuelta un pequeño recuerdo. Creo que Alien es un maravilloso ejemplo de alegoría sobre la inyección porque, sí, el abrazacaras, hace que las personas sean anfitrionas. Podría ser un maravilloso ejemplo de omisión de validación de entrada y la penetración inicial del sistema si un atacante logra que su código se implemente o compile dentro de tu programa. Si fuiste abrazado por el abrazacaras, la inyección de código tiene lugar.

8. Injection and Defense against it

Short description:

Si fuiste abrazado por el face hugger, la inyección de código tiene lugar. Alien dejando el anfitrión es un maravilloso ejemplo de ejecución de código y compromiso del sistema. Fuentes confiables, API seguras, validación de entrada del lado del servidor, características de SQL y saneamiento son medidas importantes contra la inyección.

Si fuiste abrazado por el face hugger, la inyección de código tiene lugar. Solo mencionaré el nombre chestburster. Las personas que vieron la película saben de qué estoy hablando. Cuando te conviertes en anfitrión, hay un alienígena adherido a ti. En algún momento, el alienígena es lo suficientemente grande como para vivir por sí mismo. No entro en detalles, pero tal vez puedas ver de qué estoy hablando. Porque el alienígena dejará al anfitrión. Y este es un maravilloso ejemplo de ejecución de código y compromiso del sistema, porque el alienígena está fuera. Puede causar estragos, ¿verdad?

Hola ahí. No te hemos visto más. Y supongo que no es tan amigable como el face hugger, ¿verdad? Como un acceso completo al sistema. Y el consumo de recursos, también podría ser. Así que sí, creo que Alien es perfecto para explicar la inyección. Y este es el tercer lugar en el ranking. Así que realmente importante, especialmente para nosotros los desarrolladores frontend.

Entonces, ¿qué podemos hacer? Deberíamos usar solo fuentes confiables, una API segura, que tal vez incluso evite intérpretes o ORMs. Así que hay vectores de inyección menos grandes, por así decirlo. Deberíamos intentar pensar en la validación de entrada del lado del servidor. Deberíamos usar características de SQL como limit u otros controles para que no haya tantos datos que ingresen a un compilador y escapen caracteres especiales. Y sé, sí, necesitamos tener cuidado cuando se trata de estructuras SQL, porque los nombres de estructuras proporcionados por el usuario podrían ser peligrosos y podrían romper algunas cosas. Así que debería ser una combinación de todas esas medidas. Lo más importante es el saneamiento. Este es un ejemplo simplificado que se me ocurrió para básicamente referirlo de nuevo a Alien, ¿verdad? Es como una defensa contra la inyección, que básicamente está haciendo tiempo actual y decombination. Así que tendremos un punto, esta declaración if, donde intentamos detectar patrones o anfitriones. Y lanzaremos un error si vemos algunos, por lo que la entrada se descarta. Y si no, haremos una decombination, como intentar desechar todos los caracteres especiales que tenemos. Podemos hacerlo con bibliotecas. Podemos construirlo por nuestra cuenta. Podemos hacer una combinación de ambos, que es lo que estoy haciendo aquí. Como usar DOM purifier para tener un saneamiento HTML, pensando en un saneamiento SQL con la advertencia de estos nombres de usuario.

9. Command Injection and Vulnerable Dependencies

Short description:

Inyección de comandos usando Regex. La película The Blob como una alegoría de dependencias vulnerables y obsoletas. Eliminar dependencias innecesarias, hacer un seguimiento de los números de versión, obtener paquetes de fuentes confiables.

Y una inyección de comandos. Me gusta usar Regex para eso. Tengo un pequeño resumen, pero como no tenemos mucho tiempo, espero que puedan tomar una foto o compartiré mis diapositivas después para que puedan simplemente verlas. Pero puedes atrapar cosas como XSS, cosas como etiquetas de script, inyecciones de SQL, comandos, y incluso más.

Bien. Avancemos rápido por el tiempo, porque tengo un rango más, que no está en el rango 4. Pero en mi opinión, es realmente importante. Y quiero presentártelo con esta pequeña película. Se llama The Blob. Es de 1958. Y es nuevamente un alienígena, pero hace cosas diferentes a un xenomorfo. Y se estrella en la tierra. Y es como un gran, no sé cómo llamarlo, blob, cosa. No sé cómo describirlo, pero puedes verlo en este póster. Está creciendo porque consume cosas y seres vivos y se hace más grande, más grande, más grande. Se vuelve más rojo, agresivo y más grande. Y esto es malo, ¿verdad?

Es mi alegoría favorita sobre dependencias vulnerables y obsoletas. Un gran blob de deuda técnica. Un gran blob de dependencias que no sabes por qué las elegiste. No sabes cuándo las actualizaste por última vez. Y sí, se vuelve más y más grande y aterrador y difícil de probar y difícil de arreglar. El paralelo obvio es el crecimiento del blob, que son las dependencias o la deuda técnica. El consumo de las víctimas por el blob es cómo las vulnerabilidades y como la deuda técnica podrían extenderse a aún más problemas o riesgos de seguridad potenciales. Porque tal vez te perdiste una corrección de seguridad, ¿verdad? Y el crecimiento es imparable del blob, como cuando se trata de dependencias no gestionadas.

Así que sí. ¿Qué puedes hacer? Seré un poco más rápido ahora. Deberías eliminar todas las dependencias que ya no necesitas. Deberías tener un inventario de todos los números de versión. O al menos intentar seguir las redes sociales o los registros de cambios para saber si hay más actualizaciones. Deberías intentar obtener todos tus paquetes de fuentes confiables y enlaces seguros y no solo de cualquier lugar en internet.

10. Monitoreo de Dependencias y Reglas Generales de Seguridad

Short description:

Monitorea y actualiza bibliotecas y herramientas. Usa scripts de auditoría y SNICK para pruebas de seguridad y actualizaciones. Nueva ramificación de OS el próximo año. Reglas generales de seguridad como mantenerse juntos, pedir ayuda y verificar herramientas para actualizaciones. Verifica dos veces si el asesino realmente ha sido derrotado.

Y trata de monitorear si tienes bibliotecas en su lugar o herramientas que ya no se mantienen. Porque si no se mantiene, por supuesto, no obtendrás correcciones de seguridad. Y por último, pero no menos importante, nunca ignores dependabot. Siempre actualiza tus dependencias.

Aquí hay algunos scripts que podrías considerar, como hacer el script de auditoría, que básicamente pedirá un informe de vulnerabilidades conocidas. Puedes solucionarlo, cosas desactualizadas. Si algo está desactualizado, podrías usar SNICK, que es una herramienta útil para probar y tener para problemas de seguridad. Y básicamente actualizas de forma segura. Esto es NPM check updates, ayudándote a actualizar todos tus paquetes y dependencias a las últimas versiones.

Hay una nueva ramificación de OS que viene el próximo año. Hasta donde sé, están recopilando nuevos datos ahora mismo. Así que noviembre, diciembre de este año. Bien.

Ahora voy a cerrar. Permíteme resumirlo con reglas generales de películas de terror de seguridad. Como pantalla, básicamente. Primero, mantente junto como equipo. No te separes. Ni siquiera si piensas que es un trato astuto. Para el desarrollo, no te sientas solo. Aborda los problemas con las comunidades. No tengas miedo de pedir ayuda. Y todos estamos juntos en esto cuando se trata de combatir problemas de seguridad. Cuida tus baterías.

En una película de terror, no es tan bueno tener una linterna vacía o una batería de teléfono vacía, solo pregunta a tus herramientas. Intenta verificar si están actualizadas, si hay un nuevo problema de seguridad o un parche, y simplemente ten un maravilloso jardín de herramientas y cuídalo. Verifica dos veces si el asesino realmente ha sido derrotado. Así que en una película de terror, a veces la gente no verifica si el asesino está muerto. Y luego están súper sorprendidos de que esté resurgiendo. Lo mismo con tu código.

11. Code Testing and Final Remarks

Short description:

Revisa tu código, prueba a fondo y toma en serio las advertencias. Gracias por acompañarme en este viaje a través de películas de terror. Soy Ramona, defensora de desarrolladores para Auth0.

Revisa tu inicio de sesión, prueba tu código, prueba tus correcciones y verifica si realmente está hecho. Y por último, pero no menos importante, toma en serio tus consejos. Si hay una advertencia, podría haber una razón para ello, especialmente si es clara y está justo frente a ti.

Bien. Bueno, muchas gracias por estar conmigo como compañero en mi viaje a través de películas de terror. Me hizo mucho menos miedo. Mi nombre es Ramona, trabajo como defensora de desarrolladores para Auth0, y espero verte en un momento.

QnA

Social Engineering and Favorite Horror Movies

Short description:

Protegerse contra la ingeniería social requiere una combinación de herramientas y conciencia humana. Las pruebas de extremo a extremo y las herramientas de prueba de IA pueden ayudar, pero siempre habrá cierta incertidumbre debido al comportamiento humano. Es importante capacitar y educar a las personas para evitar caer en intentos de phishing internos. En cuanto a las películas de terror favoritas, recomiendo ver las películas de terror psicológico de A24, como Hereditary y Midsommar. Para el control de acceso, recomiendo la herramienta de código abierto OpenFGA.

Muchas gracias por escuchar.

Bien. Así que tenemos algunas preguntas aquí para ti. Por favor. Alguien está preguntando, ¿cómo te proteges contra la ingeniería social? Esa es una buena pregunta. ¿Es esto virtualmente imposible? Bueno, por supuesto, podrías verificar si hay algunas herramientas en el mercado para ayudarte, pero por supuesto la gente es gente, ¿verdad? Aconsejaría pensar, por ejemplo, por supuesto es otra discusión si es efectivo o eficiente o no, pero siempre podrías optar por pruebas de extremo a extremo, imitando a un usuario. Así que tal vez sea una buena idea. Hay algunas herramientas de prueba de IA por ahí, eso podría ser una idea. Y algunas predicen cosas. Olvidé el nombre, lo buscaré, pero estas son las cosas espontáneas que revisaría. Pero por supuesto, la gente es gente. La gente a veces no es racional. Incluso yo mismo, no siempre soy racional, así que siempre hay un poco de incertidumbre en ello.

Sí, definitivamente. Definitivamente he caído en esos intentos de phishing internos. Hace que sea aún más importante capacitar a las personas y educarlas.

Oh, wow. La siguiente es una pregunta popular, y es, ¿cuál es tu película de terror favorita? Ooh, esa es interesante. Bueno, me encantan las películas de A24. Así que si te gustan las películas de terror psicológico, échales un vistazo. No soy tan fanático de Splatter o Gore, porque creo que no tienen mejores argumentos para ser impactantes. Así que tal vez Hereditary o Midsommar. Oh, esas son realmente buenas. Amo A24 y lo que hacen. Mi primera película de terror fue The Ring. ¿Oh sí? Definitivamente tengo que verla.

Bien, la siguiente es de Matt. ¿Cuál fue la herramienta de código abierto que recomiendas para el control de acceso? Se llama OpenFGA. De hecho, olvidé incluir un código QR, así que solo busca OpenFGA, o supongo que lo agregaré rápidamente a mis diapositivas cuando las comparta. Oh sí, suena bien.

Testing for Security and Conclusion

Short description:

Para garantizar la seguridad, las herramientas de prueba como ZAP de Ovaas pueden ser útiles, existen versiones tanto de código abierto como de pago. Se recomienda combinar la automatización de pruebas. Toma acción y realiza pruebas. Gracias por tu tiempo y aplausos.

Gracias por hacer eso.

Bien, tenemos preguntas de alguien anónimo. Espeluznante. ¿Cómo pruebas que algo es seguro? Bueno, hay algunas herramientas. Supongo que se llama ZAP de Ovaas, que podrías echar un vistazo. No estoy tan seguro de cuántas versiones de código abierto hay afuera, pero definitivamente hay algunas herramientas de pago. Y de hecho vi un Cypress Hybrid con ZAP. Es bastante antiguo. Con suerte, tal vez pueda encontrar algo de tiempo para intentar actualizarlo o cualquier otra persona en la comunidad de código abierto. Combinar la automatización de pruebas es una buena idea, porque con suerte ya he tenido algunas pruebas.

Sí, ¿fue eso un llamado a la acción para que las personas aquí lo actualicen? Oh sí, hagan sus pruebas, por favor. Suena bien.

Bueno, eso es todo el tiempo que tenemos. Qué charla tan encantadora. Encantadora como en espeluznante, supongo que eso es un cumplido para la charla. Muchas gracias.

Sí, gracias por tu tiempo. Y puedes encontrar a Ramona afuera, ¿o tienes una sala de discusión próximamente? ¿Es correcto? No, no hay sala de discusión. Así que deberías encontrarme en el Q&A.

Bien. Cada sala con Ramona será una sala de discusión. Así que está bien. Gracias. Muchas gracias.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Cómo se hackean las aplicaciones React en el mundo real
React Summit 2022React Summit 2022
7 min
Cómo se hackean las aplicaciones React en el mundo real
Top Content
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced 2021React Advanced 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Cómo Construir Control de Acceso Front-End con NFTs
JSNation 2024JSNation 2024
88 min
Cómo Construir Control de Acceso Front-End con NFTs
WorkshopFree
Solange Gueiros
Solange Gueiros
Comprende los fundamentos de la tecnología NFT y su aplicación en el fortalecimiento de la seguridad web. A través de demostraciones prácticas y ejercicios prácticos, los asistentes aprenderán cómo integrar sin problemas mecanismos de control de acceso basados en NFT en sus proyectos de desarrollo front-end.
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
JSNation 2022JSNation 2022
99 min
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
Workshop
Matthew Salmon
Matthew Salmon
npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.
Aporta Calidad y Seguridad al pipeline de CI/CD
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Aporta Calidad y Seguridad al pipeline de CI/CD
Workshop
Elena Vilchik
Elena Vilchik
En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.