Daniel RomeroManuel Fernández
Daniel Romero y Manuel Fernández:    Consultores de Seguridad en Informática64        Auditorias Internas/Externas Web  ...
   Veníamos hablar de...    ◦   Fallos más comunes en auditorías web    ◦   Como encontrarlos en Internet    ◦   Casos re...
   Detección de necesidades (contacto con el cliente)    ◦   Obtención del número de portales a auditar    ◦   Obtención ...
   Nuestros vecinos decidieron reservar un viaje mediante una    agencia de viajes a través de internet.   Unos días des...
   Técnica (Fuzzing) Técnica utilizada para localizar directorios y    ficheros predecibles, a través de consultas automa...
   Análisis del código fuente   Buscaban: Patrones a la hora de nombrar los directorios o    ficheros de la aplicación w...
   Técnica (Fuzzing) Técnica utilizada para localizar directorios y    ficheros predecibles, a través de consultas automa...
   Técnica (BruteForcing) Técnica utilizada para automatizar los    intentos de inicio de sesión en base a diccionarios....
   Decidieron poner una reclamación a atención    al cliente
   Técnica (XSS): Número dos en el TOP 10 de OWASP   Buscaban: Robo de cookies de sesión de administradores o    usuario...
   Resultados obtenidos:
   Técnica (SQLi): Número uno en el TOP 10 de OWASP   Buscaban: Obtención de información confidencial de la Base de    d...
   Tabla Clientes: 12.000 registros (aprox)  SHA1   Tabla Usuarios: 20 registros (aprox)  MD5   Entre otras…
   Cracking: Aplicar una función de hash sobre un diccionario de    palabras para comparar con el hash original   Buscab...
   Webshells: Son pequeñas aplicaciones web que permiten a un    atacante interactuar directamente con el sistema.   Bus...
   Resultados obtenidos:
   Elevación de privilegios (BBDD): Conexión a la Base de Datos a    con permisos de ‘root’.   Buscaban: Lectura, escrit...
   Existencia de multitud de exploits que afectan al kernel    2.6.31-14, vulnerable a escalada de privilegios…
   Buscaban: Disfrutar de las vacaciones que habían planeado   Resultados obtenidos:
   Mucha información, poco conocimiento.   Poca seguridad en el portal web, siendo este la ‘carta de    bienvenida’ a cu...
Daniel Romero - dromero@informatica64.comManuel Fernández - mfernandez@informatica64.com
La dura vida del Pentester
La dura vida del Pentester
La dura vida del Pentester
La dura vida del Pentester
Upcoming SlideShare
Loading in …5
×

La dura vida del Pentester

1,469 views
1,378 views

Published on

Charla impartida por Manuel Fernández y Daniel Romero, ambos de la empresa Informática 64 durante el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,469
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
115
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

La dura vida del Pentester

  1. 1. Daniel RomeroManuel Fernández
  2. 2. Daniel Romero y Manuel Fernández:  Consultores de Seguridad en Informática64  Auditorias Internas/Externas Web  Auditorias Internas/Externas Redes y Sistemas  Análisis Forenses  Desarrollo de aplicaciones  Etcétera…
  3. 3.  Veníamos hablar de... ◦ Fallos más comunes en auditorías web ◦ Como encontrarlos en Internet ◦ Casos reales que nos habíamos encontrado ◦ Etcétera... Y vamos hablar de… ◦ La “mala suerte” que tuvieron nuestros vecinos del 3º con sus vacaciones
  4. 4.  Detección de necesidades (contacto con el cliente) ◦ Obtención del número de portales a auditar ◦ Obtención del número de módulos a auditar ◦ Tiempo del proceso de auditoría ◦ Tipo de auditoría que se desea realizar (interna/externa) ◦ Etcétera... Revisión Inicial del portal a auditar ◦ Obtención de productos, tecnologías, etcétera FASE 1: Recogida y análisis de información FASE 2: Detección y explotación de vulnerabilidades Documentación
  5. 5.  Nuestros vecinos decidieron reservar un viaje mediante una agencia de viajes a través de internet. Unos días después, recibieron una llamada de la agencia de viajes indicándoles la anulación de la reserva, por un problema de disponibilidad de plazas. Y se quedaron sin vacaciones… Decidieron ponerse a investigar sobre el portal web de la agencia de viajes..
  6. 6.  Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas. Buscaban: Directorios predecibles y confidenciales Aprovechándose: Desconocimiento del programador Resultados obtenidos:
  7. 7.  Análisis del código fuente Buscaban: Patrones a la hora de nombrar los directorios o ficheros de la aplicación web, código comentado, includes, etcétera. Aprovechándose: Confianza/descuido del programador Resultados obtenidos:
  8. 8.  Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas. Buscaban: Ficheros o carpetas que pudieran comprometer la seguridad Aprovechándose: Patrones en los directorios Resultados obtenidos:
  9. 9.  Técnica (BruteForcing) Técnica utilizada para automatizar los intentos de inicio de sesión en base a diccionarios. Buscaban: Obtener acceso a los paneles de Login localizados en /w_admin/ y /w_atencioncliente/ Aprovechándose: No implementación de sistemas de seguridad como sistemas de bloqueo o Captchas. Resultados obtenidos:
  10. 10.  Decidieron poner una reclamación a atención al cliente
  11. 11.  Técnica (XSS): Número dos en el TOP 10 de OWASP Buscaban: Robo de cookies de sesión de administradores o usuarios de atención al cliente. Aprovechándose: Desconocimiento y mala programación del desarrollador
  12. 12.  Resultados obtenidos:
  13. 13.  Técnica (SQLi): Número uno en el TOP 10 de OWASP Buscaban: Obtención de información confidencial de la Base de datos Aprovechándose: Desconocimiento y mala programación del desarrollador Resultados obtenidos:
  14. 14.  Tabla Clientes: 12.000 registros (aprox)  SHA1 Tabla Usuarios: 20 registros (aprox)  MD5 Entre otras…
  15. 15.  Cracking: Aplicar una función de hash sobre un diccionario de palabras para comparar con el hash original Buscaban: Crackear los hashes MD5 Aprovechándose: Falta de implementación de funciones de SALT Resultados obtenidos: 10/19 + 8/19 + 6/19 = 11/19
  16. 16.  Webshells: Son pequeñas aplicaciones web que permiten a un atacante interactuar directamente con el sistema. Buscaban: Obtener acceso al sistema de ficheros del servidor web y ejecución de comandos. ◦ Ficheros de configuración ◦ Ficheros confidenciales ◦ Etcétera.. Aprovechándose: Mala implementación en el filtrado de la subida de ficheros.
  17. 17.  Resultados obtenidos:
  18. 18.  Elevación de privilegios (BBDD): Conexión a la Base de Datos a con permisos de ‘root’. Buscaban: Lectura, escritura y modificación de la Base de datos Aprovechándose: Fugas de información en ficheros Resultados obtenidos:
  19. 19.  Existencia de multitud de exploits que afectan al kernel 2.6.31-14, vulnerable a escalada de privilegios…
  20. 20.  Buscaban: Disfrutar de las vacaciones que habían planeado Resultados obtenidos:
  21. 21.  Mucha información, poco conocimiento. Poca seguridad en el portal web, siendo este la ‘carta de bienvenida’ a cualquier usuario. Ausencia de sistemas de seguridad alternativos (Ej: WAF, IDS, IPS) La criticidad de los puntos anteriores se incrementan cuando el portal web permite la realización de compras o movimientos de dinero.
  22. 22. Daniel Romero - dromero@informatica64.comManuel Fernández - mfernandez@informatica64.com

×