Taller Hacking Ético #Sysmana2012

Miguel Á. Arroyo Moreno Carlos García García @PxyConsulting @ciyinetwww.proxyconsulting.es

Índice Presentación Hacking Ético WebHacking Ético Externo www.proxyconsulting.es

Presentación Consultoría cordobesa especializada en seguridad de la información Desde 2006 www.proxyconsulting.es Blog: www.hacking-etico.com www.proxyconsulting.es

Algunos de nuestros servicios: Hacking Ético Externo Seguridad Perimetral Hacking Ético Web Aula Segura Oficina Segura www.proxyconsulting.es

Carlos García García @ciyinetwww.proxyconsulting.es

Índice – Hacking Ético Web OWASP  OWASP Top 10 Demostración ataques  Inyección SQL  Cross Site Scripting  Manipulación cabeceras HTTP y POST  Robo de credenciales* Aplicación web segura  Programación segura  WAF www.proxyconsulting.es

OWASP Open Web Application Security Project (2001) Determinar y combatir las causas que hacen que el software sea inseguro Fundación (2004) / Comunidad Documentos Herramientas www.owasp.org www.proxyconsulting.es

OWASP Top 10 “Los diez riesgos más importantes en Aplicaciones Web” Documento educativo. De cada riesgo:  Descripción del mismo  Escenario de ejemplo  Cómo verificar si nuestra aplicación es vulnerable  Recomendaciones para prevenirlo Gratuito www.proxyconsulting.es

www.proxyconsulting.es

OWASP Top 10 www.proxyconsulting.es

Demostración de ataques SQLi XSS Manipulación datos HTTP Robo de credenciales* www.proxyconsulting.es

Inyección SQL Incluir comandos mal intencionados en los datos de una aplicación los cuales son enviados a un interprete El intérprete toma estos datos y los ejecuta como válidos: código SQL Impacto Severo  Pérdida o corrupción de datos  Negación de acceso  Toma de posesión completa del servidor www.proxyconsulting.es

Inyección SQL"SELECT * FROM usuario WHEREemail=".$_POST[log]."ANDpassword=".$_POST[pwd].""; www.proxyconsulting.es

Inyección SQL"SELECT * FROM usuario WHEREemail=".$_POST[log]."ANDpassword=".$_POST[pwd]."";"SELECT * FROM usuario WHERE email=i52gagac@uco.esANDpassword=password"; www.proxyconsulting.es

Inyección SQL"SELECT * FROM usuario WHEREemail=".$_POST[log]."ANDpassword=".$_POST[pwd]."";Usuario: OR 1=1Password: OR 1=1 www.proxyconsulting.es

Inyección SQL"SELECT * FROM usuario WHEREemail=". OR 1=1."ANDpassword=". OR 1=1."";Usuario: OR 1=1Password: OR 1=1 www.proxyconsulting.es

Inyección SQL"SELECT * FROM usuario WHEREemail= OR 1=1ANDpassword= OR 1=1";Sentencia correcta y verdadera www.proxyconsulting.es

Cross Site Scripting (XSS) Datos no validados de un atacante son enviados al navegador de una víctima Estos datos pueden estar:  Encontrarse almacenados en una base de datos  Ser reflejados desde una entrada web Impacto moderado:  Robo de sesión  Robar datos sensibles  Redireccionar usuario hacia sitio de malware o phising www.proxyconsulting.es

Manipulación cabeceras HTTP Testear aplicaciones modificando parámetros POST Validación en lado del cliente en lugar del servidor www.proxyconsulting.es

Aplicación web segura Seguridad debe estar presente en todas las fases del proyecto Diseño y programación segura Auditoría de seguridad WAF www.proxyconsulting.es

Programación segura Buenas prácticas a la hora de programar: OWASP Top 10 Sanitizar previamente entradas del usuario  OWASP Enterprise Security API  OWASP AntiSamy Project Mínimo privilegio en las conexiones a base de datos Validar referencias directas a objetos www.proxyconsulting.es

OWASP Enterprise Security API API con objetos y métodos que permiten validaciones y controles eficientes.  Evitar vulnerabilidades comunes Versiones para la mayoría de lenguajes de programación web:  ASP.NET, Java, PHP, ColdFusion, Javascript, Ruby, Pytho, etc. www.proxyconsulting.es

OWASP Enterprise Security API www.proxyconsulting.es

ESAPI – Manejo de validación y Codificación www.proxyconsulting.es

WAF Entradas -> Código en servidor Sanitizar todas las entradas -> Costoso modSecurity:  Plugin para servidor  Sólo disponible en Apache PHPIDS:  IDS para aplicaciones PHP  Reglas  Libertad toma decisiones www.proxyconsulting.es

PHPIDS Utilización de IDS Web: PHPIDS Paso por PHPIDS de peticiones:  SESSION  POST  GET  COOKIE Detecta XSS, SQLi, RFE, LFI, DoS, LDAP, etc. Medidas planteadas:  Si existe grado de amenaza: redirección a web con aviso  Si no existen amenaza: continuar script PHP Demostración www.proxyconsulting.es

Miguel Á. Arroyo Moreno @PxyConsultingwww.proxyconsulting.es

Índice – Hacking Ético Externo Hacking Ético Search Engine Hacking  Google Hacking  Bing Hacking  Shodan Hacking Metasploit & Metasploitable www.proxyconsulting.es

Índice Buscadores como herramienta para Pentesters  Direcciones de correo  Archivos y carpetas con información sensible  Metadatos (Foca online)  Usuarios y contraseñas Search Engine Hacking  Google  Bing  Shodan www.proxyconsulting.es

Buscadores como herramienta Herramienta de gran utilidad para la fase de obtención de información. Se trata de un proceso pasivo y poco intrusivo.  Pasivo porque no existe comunicación directa con el objetivo (posibilidad de usar versiones cacheadas).  Poco intrusivo porque no hay consecuencias directas tras la búsqueda. Obtenemos direcciones de correo electrónico, archivos, metadatos, usuarios y contraseñas. www.proxyconsulting.es

SEH con Google Google indexa todo lo que hay en la red, salvo aquello que nosotros no “queremos” que se indexe, robots.txt. Potentes comandos de búsqueda muy útiles para el Hacking Ético. Uso de versiones cacheadas para mantener la pasividad. Ruido documental; cómo reducirlo. www.proxyconsulting.es

SEH con Google – robots.txt www.proxyconsulting.es

SEH con Google – Errores www.proxyconsulting.es

SEH con Google - MySQL Una de las búsquedas más usadas es la de localizar servidores MySQL. Es bastante sencillo sabiendo usar las frases claves apropiadas, y reduciendo el ruido documental.  “welcome to phpmyadmin” “your mysql server is running” –”not allowed” Contramedida: evitar indexación del directorio /phpmyadmin con la cláusula disallow en nuestro fichero robots.txt. Más información en www.hacking-etico.com. www.proxyconsulting.es

SEH con Bing – Direcciones correo Bing tiene ciertos comandos que Google no tiene, por ejemplo el comando near. Nos puede venir muy bien para encontrar direcciones de correo electrónico. Los resultados de búsqueda varían cuando se usa el comando near para buscar direcciones: correo near:3 ayuncordoba.es. Conseguimos mejor resultados. www.proxyconsulting.es

SEH con Bing – Direcciones correo www.proxyconsulting.es

SEH con Bing – Dominios por IP Otro comando muy interesante es el comando ip, que nos muestra todos los dominios que apuntan a una determinada ip. Nos puede ayudar a encontrar nuevos dominios y subdominios que apuntan a dicha ip, ¿virtualhosts? Con los resultados podemos ampliar el scope (alcance) de la auditoría. Ejemplo con ayuncordoba.es (195.57.42.107). Aparecen nuevos dominios y subdominios. www.proxyconsulting.es

SEH con Bing – Dominios por IP www.proxyconsulting.es

SEH con Shodan – Recursos Buscador orientado a buscar otros recursos en Internet que no son documentos; routers, puntos de acceso, servidores, cámaras ip… Herramienta realmente interesante desde el punto de vista del pentester. Servicio gratuito pero limitado. Registro gratuito aumenta resultados de búsqueda y filtros (net, port, country, city, geo...). Opción de pago. Por ejemplo, podemos buscar dispositivos con snmp. www.proxyconsulting.es

SEH con Shodan – snmp www.proxyconsulting.es

SEH con Shodan – Geo y cámaras IP Shodan cuenta con unos filtros muy interesantes que son country y city. Éste último sólo funciona con ciudades grandes, por ejemplo, con Córdoba no funciona. Pero tenemos el filtro geo… Podemos usar las coordenadas de Córdoba, en formato decimal, para especificar que se busquen recursos sólo de Córdoba. Usaremos el filtro geo:37.884722,-4.778889. Veamos un ejemplo buscando cámaras IP en Córdoba. www.proxyconsulting.es

SEH con Shodan – Geo y cámaras IP www.proxyconsulting.es

Recuerda Que Google no sólo sirve para buscar documentos o sitios Web. Que hay otros buscadores, como Bing, que nos pueden aportar otros resultados interesantes, que Google no nos da. Que Shodan nos permite encontrar recursos hardware, como servidores, routers, impresoras… Y que uséis lo aprendido aquí de forma ética y legal. www.proxyconsulting.es

Referencias http://www.slideshare.net/fcerullo/owasp-top10- spanish http://www.jtmelton.com/2009/01/03/the-owasp- top-ten-and-esapi/ www.proxyconsulting.es

GRACIASMiguel Á. Arroyo Moreno Carlos García García @PxyConsulting @ciyinet

http://www.iesgrancapitan.org	857
http://elportalpina.blogspot.com	167
http://planeta.cordobapedia.org	34
http://es.paperblog.com	4
http://elportalpina.blogspot.mx	2
http://www.ig.gmodules.com	1

Taller Hacking Ético #Sysmana2012

by iesgrancapitan.org on Feb 02, 2012

Accessibility

Categories

Tags

Upload Details

Usage Rights

6 Embeds 1,065

Statistics

Taller Hacking Ético #Sysmana2012 — Presentation Transcript