SlideShare una empresa de Scribd logo

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"

Alonso Caballero
Alonso Caballero
Tecnología
1 de 10
Descargar para leer sin conexión
Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013 Webinar Gratuito Vulnerabilidades en Aplicaciones Web
¿Quién Soy? - Consultor e Instructor Independiente en Hacking Ético, Cómputo Forense y GNU/Linux. - Ex Integrante de RareGaZz y actual integrante de PeruSEC. - Ex Redactor en la Revista Linux+ DVD (ES). - Creador del II Reto Forense Digital Sudamericano - Chavin de Huantar 2012. - Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. - Más de 10 años de experiencia en el área. - Twitter: @Alonso_ReYDeS - LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada/
Vulnerabilidades más comunes en App Web ¿Qué es lo que típicamente buscan los atacantes cuando evalúan una aplicación web?. Los problemas son usualmente copiosos, pero pueden reunirse en algunas pocas categorías. “Open Web Application Security Project” - OWASP ha realizado un gran trabajo en documentar con un consenso general las vulnerabilidades de seguridad en aplicaciones web más críticas. Es muy interesante su “Top Ten Project”, el cual proporciona una lista regularmente actualizada de los temas de seguridad en aplicaciones web. Los ejemplos que se expondrán a continuación detallan algunas de estas categorías de OWASP. 1. Cross-Site Scripting (XSS) 2. Injection Flaws (i) 3. Cross-Site Request Forgery (CSRF) * OWASP - http://www.owasp.org
Cross-Site Scripting Los ataques Cross-Site Scripting recaen en la deficiencias de validación de entrada / salida en aplicaciones web. Sin embargo, a diferencia de otros tipos de ataque, el objetivo del XSS no es la aplicación en si misma, sino los otros usuarios de la aplicación vulnerable. Por ejemplo, un usuario malicioso puede publicar un mensaje en una aplicación web “Libro de visitantes” con un contenido ejecutable. Cuando otro usuario visualice este mensaje, el navegador interpretará el código y lo ejecutará, dando control al atacante sobre el sistema del segundo usuario. Por lo tanto la carga de un ataque XSS afecta típicamente la aplicación del usuario final. Un XSS adecuadamente ejecutado puede ser devastador de una aplicación web , como también en la reputación de la organización. Un XSS puede generar el secuestro de cuentas y sesiones o robo de cookies. OWASP describe con buen detalle técnico los ataques XSS. * XSS OWASP - https://www.owasp.org/index.php/XSS
SQL Injection Las aplicaciones web modernas confían en contenidos dinámicos. Esto se logra recuperando datos actualizados desde una Base de Datos o un servicio externo. En respuesta a una petición para una página web, la aplicación generará una consulta, algunas veces incorporando porciones de la petición dentro de la consulta. Si la aplicación no es cuidadosa en la forma como se construye la consulta, un atacante puede alterar la consulta, modificando como esta es procesada por el servicio externo. Estas fallas de inyección pueden ser devastadoras, ya que el servicio algunas veces confía completamente en la aplicación web, y casi siempre escondido “a salvo” detrás de algunos firewalls. Una de las plataformas más populares para almacenar datos web es SQL, y muchas aplicaciones web están basadas completamente en scripts front-end que simplemente consultan una base de datos SQL, ya sea en el mismo servidor web o en un sistema back-end separado.
SQL Injection (Cont.) Una de las mecanismos más eficientes para realizar esto es la técnica denominada SQL Injection. Mientras que las fallas de inyección afectan cualquier tipo de dispositivos externos, SQL Injection es de lejos la más prevalente y popular de las fallas. Una SQL Injection se relaciona al ingreso en bruto de consultas SQL dentro de una aplicación para realizar un acción inesperada. Algunas veces, las consultas existentes son simplemente editadas para lograr los mismos resultados – SQL es fácilmente manipulable por la ubicación de incluso un solo carácter en un lugar seleccionado con acierto, causando que toda la consulta se comporte de manera bastante maliciosa. Algunos de estos caracteres utilizados comúnmente para estos ataques de validación de ingreso incluyen la comilla simple ('), doble guión (--), y el punto y coma (;). Todos estos con un especial significa en SQL. OWASP describe con buen detalle técnico los ataques SQL Injection. * SQL Injection OWASP - https://www.owasp.org/index.php/SQL_Injection
Cross Site Request Forgery Las vulnerabilidades CSRF se conocen desde hace una década, pero recientemente se han reconocido como un tema bastante serio. El concepto detrás de un CSRF es sencillo: una aplicación web proporciona a los usuarios una autenticación de sesión persistente, de esta manera no hay necesidad de autenticarse nuevamente cada vez que se solicita una página. Pero si un atacante puede convencer al navegador web del usuario a enviar una petición a un sitio web, puede tomar ventaja de la sesión persistente para realizar acciones en lugar de la víctima. El resultado es una variedad de situaciones: cambio de contraseña de una cuenta, transferencia de dinero, compra de mercancía, y más. Un CSRF es fácil de explotar. Un atacante inserta una etiqueta “image” dentro de una página web, cuando la víctima carga la pagina, su navegador enviará la petición GET para cargar en enlace insertado en esta etiqueta. OWASP describe con buen detalle técnico los ataques CSRF. * CSRF OWASP - https://www.owasp.org/index.php/CSRF
Demos Es momento de las demostraciones
Curso Online de Hacking Aplicaciones Web Días: Sábados 6, 13, 20 Julio y 3, 10 de Agosto del 2013. Horario: De 9:00am a 12:00 (UTC -05:00) Más Información: http://www.slideshare.net/reydes/curso-hacking-aplicacionesweb Correo electrónico: caballero.alonso@gmail.com Twitter: https://twitter.com/Alonso_ReYDeS LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/ Skype: ReYDeS Sitio Web: http://www.reydes.com
Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013 Webinar Gratuito ¡Muchas Gracias!

Recomendados

Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 

Recomendados

Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Seguridad de las web 2.0
Seguridad de las web 2.0Seguridad de las web 2.0
Seguridad de las web 2.0Daniel Alejandro Tenezaca Ramón
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Auditoria y seguridad de ti
Auditoria y seguridad de tiAuditoria y seguridad de ti
Auditoria y seguridad de tiDiego Sanchez Rodriguez
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Phishing
PhishingPhishing
PhishingPm2596
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applicationsEventos Creativos
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Mulher 4
Mulher 4Mulher 4
Mulher 4Ricardo Gomes
 
Si biv3
Si biv3Si biv3
Si biv3RobertoMarcondes
 
Blanca
BlancaBlanca
Blancamjluquino
 
Palestra Vivo
Palestra VivoPalestra Vivo
Palestra VivoConee Marketing Promocional e Eventos
 
Galdu naiz
Galdu naizGaldu naiz
Galdu naizaskartza
 

Más contenido relacionado

La actualidad más candente

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad gerardd98
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Phishing
PhishingPhishing
PhishingPm2596
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applicationsEventos Creativos
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 

La actualidad más candente (17)

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
Seguridad de las web 2.0
Seguridad de las web 2.0Seguridad de las web 2.0
Seguridad de las web 2.0
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones web
 
Auditoria y seguridad de ti
Auditoria y seguridad de tiAuditoria y seguridad de ti
Auditoria y seguridad de ti
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Phishing
PhishingPhishing
Phishing
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applications
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 

Destacado

Galdu naiz
Galdu naizGaldu naiz
Galdu naizaskartza
 
Adopt puppies
Adopt puppiesAdopt puppies
Adopt puppiesLIsapen9
 
Vivencias de la sede sur 2010 2011
Vivencias de la sede sur 2010 2011Vivencias de la sede sur 2010 2011
Vivencias de la sede sur 2010 2011sedesur
 
Save a cats life
Save a cats lifeSave a cats life
Save a cats lifeLIsapen9
 
שיעור מס 2
שיעור מס 2 שיעור מס 2
שיעור מס 2dufdufa
 
Jalen camp34
Jalen camp34Jalen camp34
Jalen camp34JalenCamp
 
Ti multicasos aprovado_enanpad
Ti multicasos aprovado_enanpadTi multicasos aprovado_enanpad
Ti multicasos aprovado_enanpadzeusi9iuto
 
La millor consola
La millor consolaLa millor consola
La millor consolaHamza ElBaz
 
Power Plant 4
Power Plant 4Power Plant 4
Power Plant 4samet2005
 

Destacado (20)

Mulher 4
Mulher 4Mulher 4
Mulher 4
 
Si biv3
Si biv3Si biv3
Si biv3
 
Blanca
BlancaBlanca
Blanca
 
Palestra Vivo
Palestra VivoPalestra Vivo
Palestra Vivo
 
Galdu naiz
Galdu naizGaldu naiz
Galdu naiz
 
Projecto segura net
Projecto segura netProjecto segura net
Projecto segura net
 
Open gl directx
Open gl directxOpen gl directx
Open gl directx
 
Adopt puppies
Adopt puppiesAdopt puppies
Adopt puppies
 
Abc
AbcAbc
Abc
 
Vivencias de la sede sur 2010 2011
Vivencias de la sede sur 2010 2011Vivencias de la sede sur 2010 2011
Vivencias de la sede sur 2010 2011
 
Orientació professional i laboral
Orientació professional i laboralOrientació professional i laboral
Orientació professional i laboral
 
Cesitar
CesitarCesitar
Cesitar
 
Save a cats life
Save a cats lifeSave a cats life
Save a cats life
 
שיעור מס 2
שיעור מס 2 שיעור מס 2
שיעור מס 2
 
Jalen camp34
Jalen camp34Jalen camp34
Jalen camp34
 
Ti multicasos aprovado_enanpad
Ti multicasos aprovado_enanpadTi multicasos aprovado_enanpad
Ti multicasos aprovado_enanpad
 
Kilometros
KilometrosKilometros
Kilometros
 
La millor consola
La millor consolaLa millor consola
La millor consola
 
Power Plant 4
Power Plant 4Power Plant 4
Power Plant 4
 
Manospintadas
ManospintadasManospintadas
Manospintadas
 

Similar a Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"

Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptxssusercb51cd
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Alonso Caballero
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 

Similar a Webinar Gratuito "Vulnerabilidades en Aplicaciones Web" (20)

Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondo
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
Xss attacks
Xss attacksXss attacks
Xss attacks
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 

Más de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit FrameworkWebinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit FrameworkAlonso Caballero
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de RedesAlonso Caballero
 
Webinar Gratuito: Análisis Forense a Apache
Webinar Gratuito: Análisis Forense a ApacheWebinar Gratuito: Análisis Forense a Apache
Webinar Gratuito: Análisis Forense a ApacheAlonso Caballero
 

Más de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit FrameworkWebinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit Framework
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de Redes
 
Webinar Gratuito: Análisis Forense a Apache
Webinar Gratuito: Análisis Forense a ApacheWebinar Gratuito: Análisis Forense a Apache
Webinar Gratuito: Análisis Forense a Apache
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"

  • 1. Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013 Webinar Gratuito Vulnerabilidades en Aplicaciones Web
  • 2. ¿Quién Soy? - Consultor e Instructor Independiente en Hacking Ético, Cómputo Forense y GNU/Linux. - Ex Integrante de RareGaZz y actual integrante de PeruSEC. - Ex Redactor en la Revista Linux+ DVD (ES). - Creador del II Reto Forense Digital Sudamericano - Chavin de Huantar 2012. - Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. - Más de 10 años de experiencia en el área. - Twitter: @Alonso_ReYDeS - LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. Vulnerabilidades más comunes en App Web ¿Qué es lo que típicamente buscan los atacantes cuando evalúan una aplicación web?. Los problemas son usualmente copiosos, pero pueden reunirse en algunas pocas categorías. “Open Web Application Security Project” - OWASP ha realizado un gran trabajo en documentar con un consenso general las vulnerabilidades de seguridad en aplicaciones web más críticas. Es muy interesante su “Top Ten Project”, el cual proporciona una lista regularmente actualizada de los temas de seguridad en aplicaciones web. Los ejemplos que se expondrán a continuación detallan algunas de estas categorías de OWASP. 1. Cross-Site Scripting (XSS) 2. Injection Flaws (i) 3. Cross-Site Request Forgery (CSRF) * OWASP - http://www.owasp.org
  • 4. Cross-Site Scripting Los ataques Cross-Site Scripting recaen en la deficiencias de validación de entrada / salida en aplicaciones web. Sin embargo, a diferencia de otros tipos de ataque, el objetivo del XSS no es la aplicación en si misma, sino los otros usuarios de la aplicación vulnerable. Por ejemplo, un usuario malicioso puede publicar un mensaje en una aplicación web “Libro de visitantes” con un contenido ejecutable. Cuando otro usuario visualice este mensaje, el navegador interpretará el código y lo ejecutará, dando control al atacante sobre el sistema del segundo usuario. Por lo tanto la carga de un ataque XSS afecta típicamente la aplicación del usuario final. Un XSS adecuadamente ejecutado puede ser devastador de una aplicación web , como también en la reputación de la organización. Un XSS puede generar el secuestro de cuentas y sesiones o robo de cookies. OWASP describe con buen detalle técnico los ataques XSS. * XSS OWASP - https://www.owasp.org/index.php/XSS
  • 5. SQL Injection Las aplicaciones web modernas confían en contenidos dinámicos. Esto se logra recuperando datos actualizados desde una Base de Datos o un servicio externo. En respuesta a una petición para una página web, la aplicación generará una consulta, algunas veces incorporando porciones de la petición dentro de la consulta. Si la aplicación no es cuidadosa en la forma como se construye la consulta, un atacante puede alterar la consulta, modificando como esta es procesada por el servicio externo. Estas fallas de inyección pueden ser devastadoras, ya que el servicio algunas veces confía completamente en la aplicación web, y casi siempre escondido “a salvo” detrás de algunos firewalls. Una de las plataformas más populares para almacenar datos web es SQL, y muchas aplicaciones web están basadas completamente en scripts front-end que simplemente consultan una base de datos SQL, ya sea en el mismo servidor web o en un sistema back-end separado.
  • 6. SQL Injection (Cont.) Una de las mecanismos más eficientes para realizar esto es la técnica denominada SQL Injection. Mientras que las fallas de inyección afectan cualquier tipo de dispositivos externos, SQL Injection es de lejos la más prevalente y popular de las fallas. Una SQL Injection se relaciona al ingreso en bruto de consultas SQL dentro de una aplicación para realizar un acción inesperada. Algunas veces, las consultas existentes son simplemente editadas para lograr los mismos resultados – SQL es fácilmente manipulable por la ubicación de incluso un solo carácter en un lugar seleccionado con acierto, causando que toda la consulta se comporte de manera bastante maliciosa. Algunos de estos caracteres utilizados comúnmente para estos ataques de validación de ingreso incluyen la comilla simple ('), doble guión (--), y el punto y coma (;). Todos estos con un especial significa en SQL. OWASP describe con buen detalle técnico los ataques SQL Injection. * SQL Injection OWASP - https://www.owasp.org/index.php/SQL_Injection
  • 7. Cross Site Request Forgery Las vulnerabilidades CSRF se conocen desde hace una década, pero recientemente se han reconocido como un tema bastante serio. El concepto detrás de un CSRF es sencillo: una aplicación web proporciona a los usuarios una autenticación de sesión persistente, de esta manera no hay necesidad de autenticarse nuevamente cada vez que se solicita una página. Pero si un atacante puede convencer al navegador web del usuario a enviar una petición a un sitio web, puede tomar ventaja de la sesión persistente para realizar acciones en lugar de la víctima. El resultado es una variedad de situaciones: cambio de contraseña de una cuenta, transferencia de dinero, compra de mercancía, y más. Un CSRF es fácil de explotar. Un atacante inserta una etiqueta “image” dentro de una página web, cuando la víctima carga la pagina, su navegador enviará la petición GET para cargar en enlace insertado en esta etiqueta. OWASP describe con buen detalle técnico los ataques CSRF. * CSRF OWASP - https://www.owasp.org/index.php/CSRF
  • 8. Demos Es momento de las demostraciones
  • 9. Curso Online de Hacking Aplicaciones Web Días: Sábados 6, 13, 20 Julio y 3, 10 de Agosto del 2013. Horario: De 9:00am a 12:00 (UTC -05:00) Más Información: http://www.slideshare.net/reydes/curso-hacking-aplicacionesweb Correo electrónico: caballero.alonso@gmail.com Twitter: https://twitter.com/Alonso_ReYDeS LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/ Skype: ReYDeS Sitio Web: http://www.reydes.com
  • 10. Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 4 de Julio del 2013 Webinar Gratuito ¡Muchas Gracias!