Betabeers Sevilla - Hacking web con OWASP

629 views

Published on

Slides from my talking about web application security,

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
629
On SlideShare
0
From Embeds
0
Number of Embeds
33
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Betabeers Sevilla - Hacking web con OWASP

  1. 1. Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
  2. 2. Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
  3. 3. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  4. 4. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  5. 5. Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
  6. 6. OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
  7. 7. OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
  8. 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
  9. 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
  10. 10. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  11. 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
  12. 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
  13. 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
  14. 14. OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
  15. 15. Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
  16. 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
  17. 17. Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
  18. 18. Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
  19. 19. Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
  20. 20. Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
  21. 21. Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
  22. 22. Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
  23. 23. ¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
  24. 24. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  25. 25. OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
  26. 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
  27. 27. Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
  28. 28. SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
  29. 29. OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
  30. 30. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  31. 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
  32. 32. Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
  33. 33. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
  34. 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
  35. 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP

×