Conferencia Rodrigo Navarro en Conferencia Diario Financiero Marzo 2013
Completo conferencia seguridad_web_software_libre_2015
49
SEGURIDAD WEB CON SOFTWARE LIBRE... ING. Diego Alejandro Salazar Perez Skype: tecnoweb2.com [email protected] wwww.tecnoweb2.com
-
Upload
securinfcom-seguridad-informatica-tecnoweb2com -
Category
Internet
-
view
162 -
download
0
Transcript of Completo conferencia seguridad_web_software_libre_2015
PRESENTACIÓN
- ASPECTOS BÁSICOS- HERRAMIENTAS CON SOFTWARE LIBRE- OWASP- CONSEJOS Y RECOMENDACIONES… - FIN ...
ASPECTOS BÁSICOS
Seguridad en Aplicaciones Web
- Es una Área de la Seguridad Informática que se especializa en Test, Intrusión y Aseguramiento de Código de lenguajes de Programación.
- Seguridad en Sitios WEB , Portales Web, Aplicación Web, Servicio Web. - Lenguajes de Programacion: PHP, Java EE, Java, Python, Ruby, ASP.NET, C#, VB.
NET o ASP clásico.- La mayoría de los ataques a aplicaciones web ocurren a través del cross-site scripting
(XSS) e inyección SQL5 el cual comúnmente resulta de una codificación deficiente y la falta de desinfección de las entradas y salidas de la aplicación web.
- El Phishing es otra amenaza común de las aplicaciones Web. "SA, la División de Seguridad del EMC, anuncio hoy lo hallado en su reporte sobre fraude de enero de 2013, estimando las pérdidas globales debido al phishing en $1.5 billones en 2012".7 Dos de los métodos de phishing más conocidos son Covert Redirect y Open Redirect.
ASPECTOS BÁSICOS
ASPECTOS BÁSICOS
- Fallos de Programación.- Personal No Formado en Seguridad WEB.- Vulnerabilidades 0day. : Un ataque de día-cero (en inglés zero-day attack o 0-day
attack) es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto.
-
SQL INJECTION: - Error en la Validación- Inyeccion de Codigo- Alteración del Funcionamiento en una Aplicación WEB Basado en la Base de Datos ( SQL)
Muchas sentencias SQL con un Propósito y Fin.
CASOS REALES
xss
XSS - REFLECTED Y STORED
- Inyeccion de Codigo Javascript. - Saltar Medidas de Protección. - <script> alert(estoy asustado);</script>
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de órdenes en sitios cruzados.1
XSS
SQL INJECTION
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
EJEMPLO DE SQL INJECTION
CASOS REALES
ESTÁNDAR OWASP
OWASP es el estándar emergente para la seguridad de aplicaciones Web. Han publicado el OWASP Top 10 que describe a detalle las principales amenazas de las aplicaciones web. El Consorcio de Seguridad de Aplicaciones Web (WASC) ha creado la Base de Datos de Incidentes de Hackeo9 así como mejores documentos de código abierto sobre seguridad de aplicaciones Web.
VER DOCUMENTO COMPLETO
CONSEJOS Y RECOMENDACIONES
- Actualizar Constantemente la Aplicación Web ( Aplicar Parches de Actualización y Seguridad )
- Mantener Cambios de Contraseñas en los Sistemas Web Cada 30 0 60 Dias.- Realizar Test Pent Web Cada 90 ó 120 Días. - Mantener un Orden con la GUÍA OWASP. - Mantener Actualizado en Conocimiento en nuevas vulnerabilidades WEB.- Para Sitio Grandes y Alto Trafico , Mantener sellos de Seguridad ( Sitelock,
Godaddy, Norton, Comodo , Etc … )- Para Sitio Grandes y Alto Trafico, Mantener un Servicio de Pago de
Monitoreo Web por una empresa de Hacker o Expertos en Seguridad Informática.
CONSEJOS Y RECOMENDACIONES
- Validar Entradas en el Servidor - Formulario, Campos, Pasado de Parámetros, Caracteres Especiales-
- Usar Cuentas SQL Restringidas ( la pereza nos da para decir crear usuario, crear base de datos, y asignar TODOS LOS PRIVILEGIOS del usuario a la Base de Datos. y Listo.
-
DEMO HACK
AUDITORÍA AUTOMATIZADA WAPITI
QUE HACE WAPITI
Wapiti can detect the following vulnerabilities :- File disclosure (Local and remote include/require, fopen, readfile...)- Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)- XSS (Cross Site Scripting) injection (reflected and permanent)- Command Execution detection (eval(), system(), passtru()...)- CRLF Injection (HTTP Response Splitting, session fixation...)- XXE (XmleXternal Entity) injection- Use of know potentially dangerous files (thanks to the Nikto database)- Weak .htaccess configurations that can be bypassed
RECURSOS BIBLIOGRÁFICOS
- https://es.wikipedia.org/wiki/Cross-site_scripting - http://tools.kali.org/tools-listing - https://www.offensive-security.com/kali-linux-vmware-arm-image-download/ - https://pandazen.wordpress.com/2009/05/14/hackertest-net-level-1-20/- https://prezi.com/gn3zack_uxr-/typo3-website-hacking-and-penetration-testing/ - http://www.seguridad.unam.mx/documento/?id=17 - https://www.owasp.org/- https://www.owasp.org/index.php/Automated_Audit_using_WAPITI- https://es.wikipedia.org/wiki/Seguridad_de_aplicaciones_web- http://www.slideshare.net/Seifreed/seguridad-web-15818334 - http://www.slideshare.net/chemai64/asegrit-iii-ataques-sql-injectino-masivos-presentation- http://www.slideshare.net/Tensor/inyecciones-sql-para-aprendices -
CASO REAL - CARPETA CON PERMISOS 7777
ERRORES DE PROGRAMACIÓN, QUE SIRVEN PARA ATACAR UN SISTEMA.
DEFACE, PÁGINA DE SOFTWARE LIBRE CRM VTIGER
PÁGINA INFECTADA CON VIRUS
CARPETA, IDENTIFICANDO EL VIRUS , VEMOS ARCHIVOS SOSPECHOSOS . exploit
IDENTIFICANDO LOS VIRUS , Scaneer
VIRUSTOTAL - Identificando Virus
GOOGLE REPORTA LOS VIRUS Y VULNERABILIDADES ?? Pero Cuales???
SUCURI - Para verificar Mejor el Sitio
REPORTE DE SECURI SITECHECK . Vemos que nos Dice el Virus y la URL infectada
REPORTE DE SECURI - VEMOS LA INFECCIÓN XSS
GOOGLE NOS TIENE EL LISTA NEGRA … Y mi Posicionamiento SEO QUE?????
SOFTWARE MALICIOSOS REPORTADO EN GOOGLE WEBMASTER
ARCHIVO .htaccess , Vemos como se modifico para clonar información cuando navegas por estos Sitios.
ESTE TIENE AFECTADO ARCHIVOS DE DRUPAL
CONTENIDO MALICIOSO EN LOS ARCHIVOS… Envía un Correo a ????
CÓDIGO MALICIOSO , ENCRIPTADO , Y ESTO QUE …. QUE DICE NI IDEA ????
OTROS ARCHIVO, OTRA INSTRUCCIÓN
DATACENTER , ENTREGA DEPORTE DE ARCHIVOS INFECTADO CON MALWARE
NOS HAN HACKEADO , AL SITIO PRINCIPAL, Tiempo de Respuesta en 1 HORA..
QUITTERA , para Escanear las paginas web , en busqueda …
www.sitecheck.sucuri.net ---> EXCELENTE HERRAMIENTA
SI USTED OBSERVA QUIEREN REALIZAR UN ATAQUE CON MIGO… Skype me quiere infectar ….
Mirando la URL, vemos que el correo que enviaron con la url está infectada…
Deface - SISTEMA DE ENCUENTAS HACKEADO….OHHHH POR DIOS .. Arreglado en 10 Minutos…
EL CÓDIGO DEL HACKER .. FUE RASTREADO Y REPORTADO…. Señor, DAMANEDZ
MIREN TODO LO INFECTADO…. ES DE LOCOS … Pero nosotros lo hacemos facilito….
DZ ALGERIA ……. ESE ARCHIVO Dzz.php
BY DamaneDZ …. AHH ESTE QUE HACE ….
