Esta presentacion la prepare para el OWASP Latam, que se realizo en Peru en agosto 2011, esta vez prepraré un reciclado con su poco de update para el tema de MitM aplicado al Web Security. Espero sea de vuestro agrado.

1. Ing. Juan Pablo Quiñe Paz CISSP, ISO27001LA, GISP, OSCP, Cobit-F juan.quine@gmail.com Man in the middle aplicado a la Seguridad

5. ¿Que es Man in the Middle?

10. Sniffing en una Red con Hubs PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtra filtra

11. PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en una Red con Switches Datos PC 4

12. Ataque ARP M an I n T he M iddle ¿Quien tiene 1.1.1.2? 1.1.1.2 esta en 99:88:77:66:55:44 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.1 1.1.1.2 1.1.1.1 esta en 99:88:77:66:55:44

13. Man-in-the-Middle en HTTP Fernando G. - Alvaro R. Redes de Computadores

15. Arquitectura funcional de una aplicación HTTP Sistema Operativo Servidor Web Aplicación Web Aplicación Web Base de Datos (Información)

19. Diagrama de estados de una conexión HTTPS Diagrama teórico conexión HTTPS, usando SSL/TLS : handshake: ClientHello handshake: ServerHello handshake: Certificate handshake: ServerHelloDone handshake: ClientKeyExchange ChangeCipherSpec handshake: Finished ChangeCipherSpec handshake: Finished application_data application_data

20. Demostración practica de HTTPS : Resultados Paquetes captados utilizando herramienta wireshark :

22. Métodos HTTP

27. Partamos del siguiente supuesto

30. Manipulación de datos Proxy i.e. Achilles Web Browser Server

31. Manipulación de datos (Cont.)

32. Manipulación de datos (Cont.)

33. Manipulación de datos (Cont.)

36. A great power becomes with a great responsability

38. Muchas Gracias!