SlideShare una empresa de Scribd logo

OWASP Meeting. Análisis de ECO

Internet Security Auditors
Internet Security Auditors

Presentación ofrecida en el marco del IV Owasp Spain Chapter Meeting. En esta conferencia se presentaron técnicas de análisis de aplicaciones mediante técnicas de respuestas de ECO.

Tecnología
1 de 26
Descargar para leer sin conexión
Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
Análisis de Eco OWASP Conference, Noviembre 2008 Jesus Olmos Gonzalez (jolmos@isecauditors.com) Su Seguridad es Nuestro Éxito
Análisis de eco Índice 1. Problemática en la auditoría de Caja Negra. 2. Caja Negra sin eco. 3. Deducción de código. 4. Filtros vs Saneos. 5. Búsqueda de salidas. 6. ¿Qué es el eco? 7. Análisis de los ecos. 8. Ecos indirectos. 9. Autómatas finitos de cara a deducir la evasión. 10. Conclusiones y recomendaciones. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 3
Análisis de eco 1. Problemática en la auditoría de Caja Negra. • No vemos el código. • Imposible probar todos los casos. • Los tipos de vulnerabilidades Web hoy día son “Well Known” (la humanidad cuenta con un rico histórico de vulnerabilidades) • Los desarrolladores validan los datos cada vez más. (pero no mejor) • Se realizan validaciones deficientes que no protegen la vulnerabilidad y además dificultan su detección. Ejemplo: „  ‟ /^‟.*(or|and)/ © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 4
Análisis de eco 2. Caja Negra sin eco. • • • • • Se induce un input Se observa el output Se buscan relaciónes entre el input y el output Se analizan las precondiciones Se analizan las poscondiciones Input output © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 5
Análisis de eco 3. Deducción de código. • En vez de ir realizando ataques hasta que alguno “funcione” es más efectivo tantear en busca del fallo y posteriormente explotarlo. • Este tanteo, consiste en estudiar los input/output de cara a elaborar un pseudocódigo. • Importante analizar. no atacar, sino © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 6
Análisis de eco 3. Deducción de código. • Es más importante una interpretación correcta del output, que emitir un input acertado. • Que componente interno nos da el error (BBDD, SA, SW, FWA, ..) (Ejemplo real: percepción subconsciente de un FWA mediante un cambio de fuente) • Que inputs “hacen daño” (cancelación de operativa, timmings largos, errores no controlados) • Cada aplicación funciona diferente, entender a los programadores, estudiar código de cliente, analizar errores. • Variables de decisión, variables permanentes, variables de llamada externa. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 7
Análisis de eco 3. Deducción de código. • Correlación input  error, que input provoca que error. • Significado subyacente de los errores y de los timmings. Ejemplo de análisis de una operativa: „ > } |  Error genérico.  Continua la operativa correctamente.  Tiempo de espera largo + Error genérico.  Continúa la operativa + Error genérico. ¿Qué byte ha hecho más daño? © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 8
Análisis de eco 3. Deducción de código – Timmings. Acceso a Datos Segundos Acceso a Sistema de Ficheros Milisegundos Acceso a memoria Nanosegundos Retardo Internet Milisegundos © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 9
Análisis de eco 4. Filtros vs Saneos. • Los filtros permiten detectar y registrar el intento de ataque. • Los filtros deniegan la operativa, el atacante puede darse cuenta que no se ha realizado la operativa. De manera que són más fáciles de analizar. • Los saneos limpian las variables y proceden con la operativa. • Los filtros y saneos se pueden hacer en una sola instrucción de código o diversas, el resultado no será el mismo. (análisis de orden de filtros) • Los saneos se pueden entorpecer entre ellos. • En ambos casos hay que tener en cuenta las transformaciones de datos, por ejemplo decodificaciones. En cuanto se codifique o decodifique o se transforme el valor se puede crear el ataque. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 10
Análisis de eco 4. Filtros vs Saneos. • La mayoría vulnerabilidades existen simplemente por el escape de contexto. Ejemplo: „input‟  El input no deberá de contener „ *input*  El input no deberá de contener * comando del sistema ping „input‟  input no deberá contener „ • Filtraremos o sanearemos el delimitador, para evitar escapes de contexto. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 11
Análisis de eco 4. Filtros vs Saneos. Input Dato incorrecto Filtro de Longitud Err Generico Filtro de SQL Acceso a fichero Timming + Err Generico Filtro de Trasnversal Acceso a BD ¿El código conduce al usuario o el usuario conduce al código? Operación OK © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 12
Análisis de eco 5. Búsqueda de salidas. • Existe una vulnerabilidad, pero el filtro nos impide ver su existencia.  Analizar los filtros en vez de atacar directamente.  Aplicar evasiones. • Es posible incluso estar explotándola correctamente pero no percibirlo.  Buscar una salida. • Provocar retardos. (sleeps de SO, BD, …, carga de ficheros largos, SQL pesada) • Retroconexiones. • Envío por email • Aprovechar componentes que permitan una salida (ej envío de sms) • DoS en terceras aplicaciones © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 13
Análisis de eco 6. ¿Que es el eco o echo? • Si input ~= output  eco Input output © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 14
Análisis de eco 6. ¿Que es el eco o echo? © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 15
Análisis de eco 7. Análisis de eco Ejemplo: eco‟|”<  Búsquedas relacionadas con: <b>eco&#39;|&quot;&lt;</b> eco*  <title>eco* - Buscar con Google</title> • • Saneados = { „,“,< } Aceptados = {e,c,o,|,*} • Se puede determinar el alfabeto permitido con el cual crear palabras de ataque. • El eco permite analizar con mayor exactitud las alteraciones que ha sufrido el input antes de llegar al output. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 16
Análisis de eco 7. Análisis de eco • Chequeo automatizado: Is vulnerable to echo analysis ' ==> &#39; Sanitized " ==> &quot; Sanitized ` ==> ` Accepted $ ==> $ Accepted - ==> - Accepted * ==> * Accepted %3f(?) ==> ? Accepted %26(%26) ==> &amp; Sanitized < ==> &lt; Sanitized > ==> &gt; Sanitized ( ==> ( Accepted ) ==> ) Accepted … %39(9) ==> 9 Accepted %3a(:) ==> : Accepted %3b(;) ==> ; Accepted %3c(%3c) ==> &lt; Sanitized %3d(=) ==> = Accepted %3e(%3e) ==> &gt; Sanitized %3f(?) ==> ? Accepted %40(@) ==> @ Accepted %41(A) ==> A Accepted %42(B) ==> B Accepted %43(C) ==> C Accepted … © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 17
Análisis de eco 8. Eco indirecto • No hay eco pero se puede intuir a partir de la respuesta. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 18
Análisis de eco 8. Eco indirecto © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 19
Análisis de eco 8. Eco indirecto • No filtran ni sanean el asterisco. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 20
Análisis de eco 8. Eco indirecto • • No filtra el byte º <b>owaspº</b> • Parece un error interno bien disimulado, pero no lo es. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 21
Análisis de eco 8. Eco indirecto • En una variable cambia < por &lt; sin embargo en otra lo suprime y no influye en la búsqueda ni a 3º party apps. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 22
Análisis de eco 8. Eco indirecto . © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 23
Análisis de eco 8. Eco indirecto Input: búsqueda WS: decodifica Saneo1 Saneo2 Outputs eco: titulo,recuerda búsqueda, búsquedas relacionadas Operativas Output: timming Outputs eco indirecto: Resultados de búsqueda • En el eco el input está conectado con el output, en el “indirecto” tenemos un output generado a partir del input © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 24
Análisis de eco 9. Autómatas finitos de los filtros • Una vez identificada la validación, se puede analizar los estados de aceptación de su autómata finito. • Ejemplo: • Regexp: • Alfabeto del atacante E = { „ a-z } • Serán aceptadas: λ (null) o comillas que no estén al inicio λ A /^„.*/ (todo lo que comience por comilla es un ataque) a-z „ „ a-z B © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 25
Análisis de eco 10. Conclusiones y Recomendaciones • Analisis de filtro en vez de probar ataques y probar evasiones. (un analizador automático que haga esto está bien, detectará rápidamente las vulnerabilidades menos escondidas) • Solventar los problemas desde diseño, el poner una validación en algunos casos implica tapar el problema. • Diseñar evasiones personalizadas para el filtro / saneo identificado. • Usar variables de decisión para esquivar validaciones. • Reducir los inputs y outputs. • Reducir la inferencia de los outputs. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 26

Recomendados

Análisis de Eco. OWASP Conference. 2008
Análisis de Eco. OWASP Conference. 2008Análisis de Eco. OWASP Conference. 2008
Análisis de Eco. OWASP Conference. 2008Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Procesos geológicos terminado
Procesos geológicos terminadoProcesos geológicos terminado
Procesos geológicos terminadoInes Maybel Santivañez Richter
 
A1 florentino-ana-mi presentacion
A1 florentino-ana-mi presentacionA1 florentino-ana-mi presentacion
A1 florentino-ana-mi presentacionIuski
 
WindowsxpIntroducation
WindowsxpIntroducationWindowsxpIntroducation
WindowsxpIntroducationRaja Mewara
 
Ficha de descrição dos conteúdos dos eixos li e pt
Ficha de descrição dos conteúdos dos eixos li e ptFicha de descrição dos conteúdos dos eixos li e pt
Ficha de descrição dos conteúdos dos eixos li e ptAngelica Santos
 
Presentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxPresentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxFabricioMogroMantill
 

Recomendados

Análisis de Eco. OWASP Conference. 2008
Análisis de Eco. OWASP Conference. 2008Análisis de Eco. OWASP Conference. 2008
Análisis de Eco. OWASP Conference. 2008Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Procesos geológicos terminado
Procesos geológicos terminadoProcesos geológicos terminado
Procesos geológicos terminadoInes Maybel Santivañez Richter
 
A1 florentino-ana-mi presentacion
A1 florentino-ana-mi presentacionA1 florentino-ana-mi presentacion
A1 florentino-ana-mi presentacionIuski
 
WindowsxpIntroducation
WindowsxpIntroducationWindowsxpIntroducation
WindowsxpIntroducationRaja Mewara
 
Ficha de descrição dos conteúdos dos eixos li e pt
Ficha de descrição dos conteúdos dos eixos li e ptFicha de descrição dos conteúdos dos eixos li e pt
Ficha de descrição dos conteúdos dos eixos li e ptAngelica Santos
 
Presentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxPresentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxFabricioMogroMantill
 
Analogico y-digital
Analogico y-digitalAnalogico y-digital
Analogico y-digital5transmisiondedatos
 
2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologicaAland Bravo Vecorena
 
COMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].pptCOMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].pptSusanaMileydiAlfaroL
 
COMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptCOMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptSusanaMileydiAlfaroL
 
Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistenciasAntonio Olivares
 
Convertir a word este manual bueno
Convertir a word este manual buenoConvertir a word este manual bueno
Convertir a word este manual buenosoportemv
 
Sistema AnalóGico Y Sistema Digital
Sistema AnalóGico Y Sistema DigitalSistema AnalóGico Y Sistema Digital
Sistema AnalóGico Y Sistema DigitalJuan Manuel Guerrero Garza
 
Seminario2
Seminario2Seminario2
Seminario2Juan Carlos Olivares Rojas
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoluisj9212
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoAlberto Vargas
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizVictor Manuel Nuñez
 
Control automático de un sistema de riego
Control automático de un sistema de riegoControl automático de un sistema de riego
Control automático de un sistema de riegoRFIC-IUMA
 
Curso
CursoCurso
Cursoguestdb8ea2b
 
ECDA
ECDAECDA
ECDAJuan Carlos Pachón Espitia
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Internet Security Auditors
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaAndreaG84
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaAndreaG84
 
Practica 1
Practica 1Practica 1
Practica 1hlopezpepe
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Más contenido relacionado

Similar a OWASP Meeting. Análisis de ECO

2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologicaAland Bravo Vecorena
 
COMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].pptCOMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].pptSusanaMileydiAlfaroL
 
COMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptCOMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptSusanaMileydiAlfaroL
 
Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistenciasAntonio Olivares
 
Convertir a word este manual bueno
Convertir a word este manual buenoConvertir a word este manual bueno
Convertir a word este manual buenosoportemv
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoluisj9212
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoAlberto Vargas
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizVictor Manuel Nuñez
 
Control automático de un sistema de riego
Control automático de un sistema de riegoControl automático de un sistema de riego
Control automático de un sistema de riegoRFIC-IUMA
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Internet Security Auditors
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaAndreaG84
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaAndreaG84
 

Similar a OWASP Meeting. Análisis de ECO (20)

Analogico y-digital
Analogico y-digitalAnalogico y-digital
Analogico y-digital
 
2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica
 
COMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].pptCOMPUERTAS_logicasssssssssssss [Autoguardado].ppt
COMPUERTAS_logicasssssssssssss [Autoguardado].ppt
 
COMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptCOMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.ppt
 
Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistencias
 
Convertir a word este manual bueno
Convertir a word este manual buenoConvertir a word este manual bueno
Convertir a word este manual bueno
 
Sistema AnalóGico Y Sistema Digital
Sistema AnalóGico Y Sistema DigitalSistema AnalóGico Y Sistema Digital
Sistema AnalóGico Y Sistema Digital
 
Seminario2
Seminario2Seminario2
Seminario2
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogico
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogico
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotriz
 
Control automático de un sistema de riego
Control automático de un sistema de riegoControl automático de un sistema de riego
Control automático de un sistema de riego
 
Curso
CursoCurso
Curso
 
ECDA
ECDAECDA
ECDA
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Practica 1
Practica 1Practica 1
Practica 1
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (19)

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

OWASP Meeting. Análisis de ECO

  • 1. Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
  • 2. Análisis de Eco OWASP Conference, Noviembre 2008 Jesus Olmos Gonzalez (jolmos@isecauditors.com) Su Seguridad es Nuestro Éxito
  • 3. Análisis de eco Índice 1. Problemática en la auditoría de Caja Negra. 2. Caja Negra sin eco. 3. Deducción de código. 4. Filtros vs Saneos. 5. Búsqueda de salidas. 6. ¿Qué es el eco? 7. Análisis de los ecos. 8. Ecos indirectos. 9. Autómatas finitos de cara a deducir la evasión. 10. Conclusiones y recomendaciones. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 3
  • 4. Análisis de eco 1. Problemática en la auditoría de Caja Negra. • No vemos el código. • Imposible probar todos los casos. • Los tipos de vulnerabilidades Web hoy día son “Well Known” (la humanidad cuenta con un rico histórico de vulnerabilidades) • Los desarrolladores validan los datos cada vez más. (pero no mejor) • Se realizan validaciones deficientes que no protegen la vulnerabilidad y además dificultan su detección. Ejemplo: „  ‟ /^‟.*(or|and)/ © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 4
  • 5. Análisis de eco 2. Caja Negra sin eco. • • • • • Se induce un input Se observa el output Se buscan relaciónes entre el input y el output Se analizan las precondiciones Se analizan las poscondiciones Input output © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 5
  • 6. Análisis de eco 3. Deducción de código. • En vez de ir realizando ataques hasta que alguno “funcione” es más efectivo tantear en busca del fallo y posteriormente explotarlo. • Este tanteo, consiste en estudiar los input/output de cara a elaborar un pseudocódigo. • Importante analizar. no atacar, sino © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 6
  • 7. Análisis de eco 3. Deducción de código. • Es más importante una interpretación correcta del output, que emitir un input acertado. • Que componente interno nos da el error (BBDD, SA, SW, FWA, ..) (Ejemplo real: percepción subconsciente de un FWA mediante un cambio de fuente) • Que inputs “hacen daño” (cancelación de operativa, timmings largos, errores no controlados) • Cada aplicación funciona diferente, entender a los programadores, estudiar código de cliente, analizar errores. • Variables de decisión, variables permanentes, variables de llamada externa. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 7
  • 8. Análisis de eco 3. Deducción de código. • Correlación input  error, que input provoca que error. • Significado subyacente de los errores y de los timmings. Ejemplo de análisis de una operativa: „ > } |  Error genérico.  Continua la operativa correctamente.  Tiempo de espera largo + Error genérico.  Continúa la operativa + Error genérico. ¿Qué byte ha hecho más daño? © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 8
  • 9. Análisis de eco 3. Deducción de código – Timmings. Acceso a Datos Segundos Acceso a Sistema de Ficheros Milisegundos Acceso a memoria Nanosegundos Retardo Internet Milisegundos © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 9
  • 10. Análisis de eco 4. Filtros vs Saneos. • Los filtros permiten detectar y registrar el intento de ataque. • Los filtros deniegan la operativa, el atacante puede darse cuenta que no se ha realizado la operativa. De manera que són más fáciles de analizar. • Los saneos limpian las variables y proceden con la operativa. • Los filtros y saneos se pueden hacer en una sola instrucción de código o diversas, el resultado no será el mismo. (análisis de orden de filtros) • Los saneos se pueden entorpecer entre ellos. • En ambos casos hay que tener en cuenta las transformaciones de datos, por ejemplo decodificaciones. En cuanto se codifique o decodifique o se transforme el valor se puede crear el ataque. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 10
  • 11. Análisis de eco 4. Filtros vs Saneos. • La mayoría vulnerabilidades existen simplemente por el escape de contexto. Ejemplo: „input‟  El input no deberá de contener „ *input*  El input no deberá de contener * comando del sistema ping „input‟  input no deberá contener „ • Filtraremos o sanearemos el delimitador, para evitar escapes de contexto. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 11
  • 12. Análisis de eco 4. Filtros vs Saneos. Input Dato incorrecto Filtro de Longitud Err Generico Filtro de SQL Acceso a fichero Timming + Err Generico Filtro de Trasnversal Acceso a BD ¿El código conduce al usuario o el usuario conduce al código? Operación OK © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 12
  • 13. Análisis de eco 5. Búsqueda de salidas. • Existe una vulnerabilidad, pero el filtro nos impide ver su existencia.  Analizar los filtros en vez de atacar directamente.  Aplicar evasiones. • Es posible incluso estar explotándola correctamente pero no percibirlo.  Buscar una salida. • Provocar retardos. (sleeps de SO, BD, …, carga de ficheros largos, SQL pesada) • Retroconexiones. • Envío por email • Aprovechar componentes que permitan una salida (ej envío de sms) • DoS en terceras aplicaciones © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 13
  • 14. Análisis de eco 6. ¿Que es el eco o echo? • Si input ~= output  eco Input output © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 14
  • 15. Análisis de eco 6. ¿Que es el eco o echo? © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 15
  • 16. Análisis de eco 7. Análisis de eco Ejemplo: eco‟|”<  Búsquedas relacionadas con: <b>eco&#39;|&quot;&lt;</b> eco*  <title>eco* - Buscar con Google</title> • • Saneados = { „,“,< } Aceptados = {e,c,o,|,*} • Se puede determinar el alfabeto permitido con el cual crear palabras de ataque. • El eco permite analizar con mayor exactitud las alteraciones que ha sufrido el input antes de llegar al output. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 16
  • 17. Análisis de eco 7. Análisis de eco • Chequeo automatizado: Is vulnerable to echo analysis ' ==> &#39; Sanitized " ==> &quot; Sanitized ` ==> ` Accepted $ ==> $ Accepted - ==> - Accepted * ==> * Accepted %3f(?) ==> ? Accepted %26(%26) ==> &amp; Sanitized < ==> &lt; Sanitized > ==> &gt; Sanitized ( ==> ( Accepted ) ==> ) Accepted … %39(9) ==> 9 Accepted %3a(:) ==> : Accepted %3b(;) ==> ; Accepted %3c(%3c) ==> &lt; Sanitized %3d(=) ==> = Accepted %3e(%3e) ==> &gt; Sanitized %3f(?) ==> ? Accepted %40(@) ==> @ Accepted %41(A) ==> A Accepted %42(B) ==> B Accepted %43(C) ==> C Accepted … © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 17
  • 18. Análisis de eco 8. Eco indirecto • No hay eco pero se puede intuir a partir de la respuesta. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 18
  • 19. Análisis de eco 8. Eco indirecto © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 19
  • 20. Análisis de eco 8. Eco indirecto • No filtran ni sanean el asterisco. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 20
  • 21. Análisis de eco 8. Eco indirecto • • No filtra el byte º <b>owaspº</b> • Parece un error interno bien disimulado, pero no lo es. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 21
  • 22. Análisis de eco 8. Eco indirecto • En una variable cambia < por &lt; sin embargo en otra lo suprime y no influye en la búsqueda ni a 3º party apps. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 22
  • 23. Análisis de eco 8. Eco indirecto . © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 23
  • 24. Análisis de eco 8. Eco indirecto Input: búsqueda WS: decodifica Saneo1 Saneo2 Outputs eco: titulo,recuerda búsqueda, búsquedas relacionadas Operativas Output: timming Outputs eco indirecto: Resultados de búsqueda • En el eco el input está conectado con el output, en el “indirecto” tenemos un output generado a partir del input © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 24
  • 25. Análisis de eco 9. Autómatas finitos de los filtros • Una vez identificada la validación, se puede analizar los estados de aceptación de su autómata finito. • Ejemplo: • Regexp: • Alfabeto del atacante E = { „ a-z } • Serán aceptadas: λ (null) o comillas que no estén al inicio λ A /^„.*/ (todo lo que comience por comilla es un ataque) a-z „ „ a-z B © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 25
  • 26. Análisis de eco 10. Conclusiones y Recomendaciones • Analisis de filtro en vez de probar ataques y probar evasiones. (un analizador automático que haga esto está bien, detectará rápidamente las vulnerabilidades menos escondidas) • Solventar los problemas desde diseño, el poner una validación en algunos casos implica tapar el problema. • Diseñar evasiones personalizadas para el filtro / saneo identificado. • Usar variables de decisión para esquivar validaciones. • Reducir los inputs y outputs. • Reducir la inferencia de los outputs. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 26