Enviar búsqueda
Cargar
Presentation OWASP Day @ FIUBA.AR
•
Descargar como PPTX, PDF
•
0 recomendaciones
•
457 vistas
Bonsai Information Security
Seguir
Presentation
Leer menos
Leer más
Denunciar
Compartir
Denunciar
Compartir
1 de 21
Descargar ahora
Recomendados
Introducción a JBoss
Introducción a JBoss
Iker Canarias
EJB con Eclipse y JBoss
EJB con Eclipse y JBoss
Paco Garat
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
Jon Vadillo Romero
Manual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en Eclipse
Stalin Eduardo Tusa Vitar
Administrando Jboss
Administrando Jboss
Javier Turégano Molina
JBoss AS Implantación - configuración - Curso JBoss JB366 Día 3
JBoss AS Implantación - configuración - Curso JBoss JB366 Día 3
César Pajares
JBoss AS web services - Curso JBoss JB366 Día 4
JBoss AS web services - Curso JBoss JB366 Día 4
César Pajares
Instalar Docker Desktop y Kubernetes en Windows 10
Instalar Docker Desktop y Kubernetes en Windows 10
Moisés Elías Araya
Recomendados
Introducción a JBoss
Introducción a JBoss
Iker Canarias
EJB con Eclipse y JBoss
EJB con Eclipse y JBoss
Paco Garat
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
Jon Vadillo Romero
Manual Jboss Server,Creación de Proyecto en Eclipse
Manual Jboss Server,Creación de Proyecto en Eclipse
Stalin Eduardo Tusa Vitar
Administrando Jboss
Administrando Jboss
Javier Turégano Molina
JBoss AS Implantación - configuración - Curso JBoss JB366 Día 3
JBoss AS Implantación - configuración - Curso JBoss JB366 Día 3
César Pajares
JBoss AS web services - Curso JBoss JB366 Día 4
JBoss AS web services - Curso JBoss JB366 Día 4
César Pajares
Instalar Docker Desktop y Kubernetes en Windows 10
Instalar Docker Desktop y Kubernetes en Windows 10
Moisés Elías Araya
Instalación de Roller sobre Glassfish3
Instalación de Roller sobre Glassfish3
Juan Luis Dorante Lucas
Instalacion basica ELK (elasticsearch) Windows
Instalacion basica ELK (elasticsearch) Windows
Moisés Elías Araya
Clase 3 instalación y primeros pasos
Clase 3 instalación y primeros pasos
hydras_cs
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
César Pajares
Construccion a través de compontes
Construccion a través de compontes
jalzate
Un ejemplo sencillo con ejb
Un ejemplo sencillo con ejb
lalov777
Instalacion Weblogic Server 12c Windows 10.
Instalacion Weblogic Server 12c Windows 10.
Moisés Elías Araya
Monitorizando aplicaciones con AspectJ
Monitorizando aplicaciones con AspectJ
Mauricio Quezada
Instalacion de Pentaho 5 con PostgreSQL 9.3
Instalacion de Pentaho 5 con PostgreSQL 9.3
Ciencias
12integracion de tomcat con apache
12integracion de tomcat con apache
Miguel Angel Lopez Torralba
MANUAL POO
MANUAL POO
WILBER BAUTISTA PIZARRO
Manual de instalación de pentaho para windows 7
Manual de instalación de pentaho para windows 7
German Pinchao
Epo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-es
Pablo
Prueba paso a paso de bonita life
Prueba paso a paso de bonita life
Johnny Laica
Trabajo zabbix
Trabajo zabbix
johanapreciosa
Tema1
Tema1
mcmoranr
Servidor ubuntu(linux)
Servidor ubuntu(linux)
simeon
10practicafinal
10practicafinal
Miguel Angel Lopez Torralba
Tomcat yant
Tomcat yant
Patxi Galán García
Instalación Joomla Ubuntu Hardy Heron
Instalación Joomla Ubuntu Hardy Heron
Mae Molina
Evasión de Técnicas Forenses
Evasión de Técnicas Forenses
Conferencias FIST
Cadius que es_moo_tools_
Cadius que es_moo_tools_
epplestun
Más contenido relacionado
La actualidad más candente
Instalación de Roller sobre Glassfish3
Instalación de Roller sobre Glassfish3
Juan Luis Dorante Lucas
Instalacion basica ELK (elasticsearch) Windows
Instalacion basica ELK (elasticsearch) Windows
Moisés Elías Araya
Clase 3 instalación y primeros pasos
Clase 3 instalación y primeros pasos
hydras_cs
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
César Pajares
Construccion a través de compontes
Construccion a través de compontes
jalzate
Un ejemplo sencillo con ejb
Un ejemplo sencillo con ejb
lalov777
Instalacion Weblogic Server 12c Windows 10.
Instalacion Weblogic Server 12c Windows 10.
Moisés Elías Araya
Monitorizando aplicaciones con AspectJ
Monitorizando aplicaciones con AspectJ
Mauricio Quezada
Instalacion de Pentaho 5 con PostgreSQL 9.3
Instalacion de Pentaho 5 con PostgreSQL 9.3
Ciencias
12integracion de tomcat con apache
12integracion de tomcat con apache
Miguel Angel Lopez Torralba
MANUAL POO
MANUAL POO
WILBER BAUTISTA PIZARRO
Manual de instalación de pentaho para windows 7
Manual de instalación de pentaho para windows 7
German Pinchao
Epo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-es
Pablo
Prueba paso a paso de bonita life
Prueba paso a paso de bonita life
Johnny Laica
Trabajo zabbix
Trabajo zabbix
johanapreciosa
Tema1
Tema1
mcmoranr
Servidor ubuntu(linux)
Servidor ubuntu(linux)
simeon
10practicafinal
10practicafinal
Miguel Angel Lopez Torralba
Tomcat yant
Tomcat yant
Patxi Galán García
Instalación Joomla Ubuntu Hardy Heron
Instalación Joomla Ubuntu Hardy Heron
Mae Molina
La actualidad más candente
(20)
Instalación de Roller sobre Glassfish3
Instalación de Roller sobre Glassfish3
Instalacion basica ELK (elasticsearch) Windows
Instalacion basica ELK (elasticsearch) Windows
Clase 3 instalación y primeros pasos
Clase 3 instalación y primeros pasos
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
Construccion a través de compontes
Construccion a través de compontes
Un ejemplo sencillo con ejb
Un ejemplo sencillo con ejb
Instalacion Weblogic Server 12c Windows 10.
Instalacion Weblogic Server 12c Windows 10.
Monitorizando aplicaciones con AspectJ
Monitorizando aplicaciones con AspectJ
Instalacion de Pentaho 5 con PostgreSQL 9.3
Instalacion de Pentaho 5 con PostgreSQL 9.3
12integracion de tomcat con apache
12integracion de tomcat con apache
MANUAL POO
MANUAL POO
Manual de instalación de pentaho para windows 7
Manual de instalación de pentaho para windows 7
Epo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-es
Prueba paso a paso de bonita life
Prueba paso a paso de bonita life
Trabajo zabbix
Trabajo zabbix
Tema1
Tema1
Servidor ubuntu(linux)
Servidor ubuntu(linux)
10practicafinal
10practicafinal
Tomcat yant
Tomcat yant
Instalación Joomla Ubuntu Hardy Heron
Instalación Joomla Ubuntu Hardy Heron
Similar a Presentation OWASP Day @ FIUBA.AR
Evasión de Técnicas Forenses
Evasión de Técnicas Forenses
Conferencias FIST
Cadius que es_moo_tools_
Cadius que es_moo_tools_
epplestun
Prueba De Aplicaciones Web con Selenium 2 y WebDriver
Prueba De Aplicaciones Web con Selenium 2 y WebDriver
David Gómez García
Materiales del curso de Symfony2
Materiales del curso de Symfony2
Raul Fraile
Docker y PostgreSQL
Docker y PostgreSQL
Jorge Moratilla Porras
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
METROPOLITANO
Tutorial mysqlphp
Tutorial mysqlphp
william kozisck
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Ernesto Gamboa
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
Ubeimar Navarro Herrera
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Ignacio Reyes
633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)
Eduardo Monroy Husillos
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Alberto Martinez
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Andrés Amaya
Php andmysql (1)
Php andmysql (1)
Carolina Valdivieso
Silex: Microframework y camino fácil de aprender Symfony
Silex: Microframework y camino fácil de aprender Symfony
Ryan Weaver
Rendimiento en magento
Rendimiento en magento
Onestic
Introducción al framework Symfony
Introducción al framework Symfony
Alejandro Hernández
Gestión Remota de Equipos con Python
Gestión Remota de Equipos con Python
Juan Manuel Rodriguez Burgos
Primeros pasos Symfony PHPVigo
Primeros pasos Symfony PHPVigo
PHP Vigo
Programacion web java
Programacion web java
César Ocampo
Similar a Presentation OWASP Day @ FIUBA.AR
(20)
Evasión de Técnicas Forenses
Evasión de Técnicas Forenses
Cadius que es_moo_tools_
Cadius que es_moo_tools_
Prueba De Aplicaciones Web con Selenium 2 y WebDriver
Prueba De Aplicaciones Web con Selenium 2 y WebDriver
Materiales del curso de Symfony2
Materiales del curso de Symfony2
Docker y PostgreSQL
Docker y PostgreSQL
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
Tutorial mysqlphp
Tutorial mysqlphp
Tutorial de php y my sql completo
Tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
Tutorial de php y my sql completo
Tutorial de php y my sql completo
633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Tutorial de php y my sql completo
Php andmysql (1)
Php andmysql (1)
Silex: Microframework y camino fácil de aprender Symfony
Silex: Microframework y camino fácil de aprender Symfony
Rendimiento en magento
Rendimiento en magento
Introducción al framework Symfony
Introducción al framework Symfony
Gestión Remota de Equipos con Python
Gestión Remota de Equipos con Python
Primeros pasos Symfony PHPVigo
Primeros pasos Symfony PHPVigo
Programacion web java
Programacion web java
Presentation OWASP Day @ FIUBA.AR
1.
Nahuel Grisolía nahuel@bonsai-sec.com
BonsaiInformation Security http://www.bonsai-sec.com Post Explotación de Vulnerabilidades Web
2.
3.
Fasesclave deun test
de Intrusión
4.
Vulnerabilidades típicasparalograrel compromiso de
un sitio Web
5.
Técnicas de explotación básica
6.
La Post-Explotación
7.
Escalamiento horizontal y vertical
8.
Herramientas de Post Explotación
9.
Introducción reDUH, DBKissy Metasploit Web Payloads
10.
Aprovechando la red de
confianza del equipovulnerado
11.
Demos
12.
DBKiss y reDUH
13.
Metasploit Web Payloads –
No interactiva
14.
Conclusiones
15.
16.
4 FasesClásicas de
un Test de Intrusión Descubrimiento Análisis Explotación Escalamiento
17.
18.
Excelentedocumentación en el
sitio
19.
Actualizado al 19
de Abril de 2010
20.
Lineamientos a seguir
y verificacionesque no hay quedejar de lado
21.
¡Este hallazgo no
me sirveparaescalar!
22.
23.
get_documento.jsp?fichero=../../../../../../../../etc/passwd
24.
error_page.pl?mensaje=<script>alert(“XSS”);</script>
25.
/Cuentas/miCuenta!getSaldo=[ID DE OTRA
CUENTA]
26.
sitio.php?pagina=../../../../../tmp/uploads/shell.php
27.
Listar_archivos.seam?dir=; cat /etc/passwd>
/var/www/a.txt ;
28.
error_redirect.asp=http://www.attacker.com
29.
http://www.verysecure.com/login.asp
30.
31.
32.
Elevación de Privilegios
de un usuarioválido
33.
Acceso a credencialesválidas
de un usuario de mayoresprivilegios
34.
35.
Scripts con credenciales
en textoclaro de un servidor FTP de confianza
36.
37.
reDUH
38.
39.
Features: Import/Export, search,
SQL editor, etc.
40.
Últimaactualización 21 de
Mayo, 2010
41.
42.
Esquemacliente (JAVA) /
servidor (varioslenguajes)
43.
Posibilidad de Bypass
de reglas de Firewall
44.
45.
46.
php/download_exec
Download an EXE from a HTTP URL and execute it
47.
php/exec
Execute a single system command
48.
php/reverse_perl
Creates an interactive shell via perl
49.
50.
51.
DMZ Mal (muy
mal) configurada… Mi Microsoft IIS dondetengomi Web perteneceal Dominio General y se puedeconectar al Controlador de Dominio. OMG!
52.
Equiposadyacentes en DMZ
con credencialestriviales o reutilizadas– “SI DESDE AFUERA NO SE VE, yafue! Le dejoadmin:admin”
53.
54.
Etapaquegeneralmente no se
llevaadelante de maneracompleta y exhaustiva
55.
En un
ataque real, es la fasemáspeligrosa
56.
Defensa en Profundidad,
la mejoraliada
57.
Web Application
Firewalls, buenos amigos
58.
59.
60.
Me interesaría aprender
más sobre esto, ¿como puedo hacer?
61.
¿Podés volver atrás?
que no entendí la diferencia entre eso de Horizontal y Vertical…
62.
Descargar ahora