SlideShare una empresa de Scribd logo

Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

campus party
campus party

Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

Tecnología
1 de 20
Aseguramiento de aplicaciones web con ESAPI Juan David Parra (nopbyte)– LNHG nopbytelownoisehg.org Twitter: @nopbyte Blog: nopbyte.blogspot.com http://www.lownoisehg.org/
¿ QuéesLowNoise HG ? •Grupo de Investigación (Hacking only) •Creado en 1995 •Multidisciplinario (No sóloIngenieros) •ObjetivoComún: Seguridad vs. Inseguridad • Sin Ánimo de Lucro •RecursosPropios • Sin Afiliación a Empresas/Entidades
¿ QuéesLowNoise HG ? Investigacionesactuales en: - GSM / GPRS - Ingenieríareversa - Detección de intrusos - Muchasotras … Másinformación en: http://www.lownoisehg.org/
¿ Quiénesnopbyte ? •Juan David Parra •Afinidadesbásicas: •Desarrollo de herramientas de hacking •Detección de vulnerabilidades •Desarrollo de shellcode •Linux •Windows Internals
DISCLAIMER •Todo lo que se hable y se muestre en estacharlaes el resultado de investigaciones con fines educativos. YO = Alguien más •Tododescubrimientorealizado, ha sidoy seráusado de forma legal, por LNHG. •La audienciadebeasumirtodo lo se expongahoy, como “falso” y “sin fundamento” hastaque lo compruebepersonalmente. • Juan David no es el autordirecto de ninguno de los descubrimientosexpuestos, ni de lasherramientasdemostradas, ni los conoce.
¿ Qué vamos a ver hoy ? •OWASP ¿Qué es? •Algunas vulnerabilidades web •Arquitectura de ESAPI •Demostración de ataque a vulnerabilidades •Demostración de eliminación de vulnerabilidades
OWASP ¿Quées? •Proyecto ABIERTO de aseguramiento de aplicaciones web, porsussiglas en inglés (Open Web Application Security Project) •Existenproyectosdentro de OWASP como: •ESAPI •AntiSammy •WebScarab •OWASP top 10
Algunasvulnerabilidades web •Vulnerabilidadesmáscomunes en aplicaciones web. •XSS (Cross site scripting persistente, o no persistente) •XSRF o CSRF (Cross site request forgery) •Falta de control de acceso a URL •Inyección de código
Ilustración XSS (OWASP Top 10 2010) 1 Atacanteingresa la trampa Application with stored XSS Atacanteinserta script vulnerability malicioso en la página y lo guarda en el sistema Communication Bus. Functions Administration E-Commerce Transactions Knowledge Accounts Finance Mgmt 2 Victim views page – sees attacker profile Custom Code El script insertadopor el atacantecorre en el explorador de la victima con acceso al DOM y a suscookies 3 El script envíasilenciosamente la cookie del usuario al atacante
CSRF ilustrado OWASP( top 10 2010) El atacantecolocaunatrampa en supágina web o via email. 1 Application with El CSRF vulnerability códigomaliciosocont iene un tag <img> Communication Bus. Functions Administration Transactions E-Commerce Knowledge contra el sitio Accounts Finance Mgmt vulnerable La victimaabre el email o la página 2 web del atacantemientras se encuentra Logeado en el sistema Custom Code 3 El sitio vulnerable ve El tag <img>ejecuta un la request http GET accióncomolegítima (incluyendolascredemc (con lascredenciales iales del usuario en el de la victima ) y sitio vulnerable) ejecuta la acción.
Falta de restricción de Acceso a URL (OWASP top 10 2010) • El atacantepuedeverque la https://www.onlinebank.com/user/getAccounts URL indicasurol /usuario/buscarCuentas • Modifica la urlparaacceder a: /admin/buscarCuentas • El atacantetieneaccesomásinf ormación de la quedebería.
Inyección de código (SQL) •¿Quépodríatener de malohaceresto? consulta = “SELECT FROM usuarios where cuenta = „ ” +cuenta + “ ‟ ”; ejecutarSQL(consulta);
Inyección de código (SQL) •Y si el usuarioescribecomocuenta: pepito‟; DROP TABLE usuario;-- Entonces el progarmava a ejecutar: • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP TABLE usuario; -- ’ Ouch!!
Otrasvulnerabilidadesexistentes… •Modificación de cookies. •Predicción de identificador de sesión. •Mal uso de criptografía ( uso de algoritmosdébiles de cifrado y/o hashing ) •Entre otrasmás …
¿Cómosolucionarestosinconvenientes? •Debemosverificarpara la tecnologíaqueestemosusandolasgarantíasofreci daspor el ambiente de desarrollo (Hibernate evitaSQLiporejemplo). •Los puntosque no se encuentrencubiertosporestosmediosdeben ser aseguradosusandolibreríasexternas. •ESAPI esusado en la actualidadporempresascomo American Express, Foundstone(McAfee), U.S Navy.
Integración de ESAPI •Contienecódigoreutilizable. •Define un conjunto de interfaces que DEBEN ser implementadaspara la integración de la librería. •La definición de estas interfaces promueven el uso de buenasprácticas en cuanto a desarrolloseguro.
Arqutectura de ESAPI •Accesounificado a los recursos. •Interfaces: •Authenticator •HttpUtilities •Encoder •Cryptography •AccessReferenceMap •Entre otras…
Arqutectura de ESAPI •Contieneimplementacionespordefecto ( o guía de desarrollo ). •Interfaces: •FileBasedAuthenticator •DefaultHttpUtilities •DefaultEncoder •RandomAccessReferenceMap
A lo quevinimos •Ahorasi: •Vamos a HACKEARNOS algo! •Y luego… a evitarque se puedahackear …
FIN •Graciaspor la paciencia • Para investigaciones con LNHG: nopbyte@lownoisehg.org Twitter: @nopbyte http://www.lownoisehg.org/

Recomendados

Riesgos de la información electronica
Riesgos de la información electronicaRiesgos de la información electronica
Riesgos de la información electronicaWANER ANDREY TOLEDO PARALES
 
Pc zombie
Pc zombiePc zombie
Pc zombienflores34
 
Lona Sonora
Lona SonoraLona Sonora
Lona SonoraMARTA FIGUERAS
 
Ch3 communities, biomes, ecosystems
Ch3 communities, biomes, ecosystemsCh3 communities, biomes, ecosystems
Ch3 communities, biomes, ecosystemsIliya Shofman
 
Espiyem
EspiyemEspiyem
Espiyemrabi atul
 
Reforma Contrarreforma
Reforma ContrarreformaReforma Contrarreforma
Reforma Contrarreformagutirozas
 
Plantilla proyecto de_vida
Plantilla proyecto de_vidaPlantilla proyecto de_vida
Plantilla proyecto de_vidaClaudia Yaneth Herrera Bolìvar
 
Presentación notas 2º trimestre
Presentación notas 2º trimestrePresentación notas 2º trimestre
Presentación notas 2º trimestremayma12
 

Recomendados

Riesgos de la información electronica
Riesgos de la información electronicaRiesgos de la información electronica
Riesgos de la información electronicaWANER ANDREY TOLEDO PARALES
 
Pc zombie
Pc zombiePc zombie
Pc zombienflores34
 
Lona Sonora
Lona SonoraLona Sonora
Lona SonoraMARTA FIGUERAS
 
Ch3 communities, biomes, ecosystems
Ch3 communities, biomes, ecosystemsCh3 communities, biomes, ecosystems
Ch3 communities, biomes, ecosystemsIliya Shofman
 
Espiyem
EspiyemEspiyem
Espiyemrabi atul
 
Reforma Contrarreforma
Reforma ContrarreformaReforma Contrarreforma
Reforma Contrarreformagutirozas
 
Plantilla proyecto de_vida
Plantilla proyecto de_vidaPlantilla proyecto de_vida
Plantilla proyecto de_vidaClaudia Yaneth Herrera Bolìvar
 
Presentación notas 2º trimestre
Presentación notas 2º trimestrePresentación notas 2º trimestre
Presentación notas 2º trimestremayma12
 
Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Kate Todd
 
Slam
SlamSlam
Slamcampus party
 
201205McKesson6sigma.PDF
201205McKesson6sigma.PDF201205McKesson6sigma.PDF
201205McKesson6sigma.PDFAustin Watase
 
Evaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresEvaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresPatricia Raquel Jordán
 
Maestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoMaestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoRed Incusiva
 
Villa Mar Pp12.23.08
Villa Mar Pp12.23.08Villa Mar Pp12.23.08
Villa Mar Pp12.23.08TorreVillamar
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchicampus party
 
Overclock para todos!
Overclock para todos!Overclock para todos!
Overclock para todos!campus party
 
byeinkapp keynote
byeinkapp keynotebyeinkapp keynote
byeinkapp keynoteFabián Pedrero Gallego
 
Movimiento De La Tierra
Movimiento De La TierraMovimiento De La Tierra
Movimiento De La Tierraguest3d9851f
 
2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual ReportJennifer Schechter
 
Taller de empaquetamiento
Taller de empaquetamientoTaller de empaquetamiento
Taller de empaquetamientocampus party
 
Announcements - April 28
Announcements - April 28Announcements - April 28
Announcements - April 28ParkAveBC
 
SóC Compositor
SóC CompositorSóC Compositor
SóC CompositorMARTA FIGUERAS
 
Яка ти, лялька мотанка?
Яка ти, лялька мотанка?Яка ти, лялька мотанка?
Яка ти, лялька мотанка?kolosynova
 
SecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksSecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksEUBrasilCloudFORUM .
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 

Más contenido relacionado

Destacado

Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Kate Todd
 
201205McKesson6sigma.PDF
201205McKesson6sigma.PDF201205McKesson6sigma.PDF
201205McKesson6sigma.PDFAustin Watase
 
Evaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresEvaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresPatricia Raquel Jordán
 
Maestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoMaestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoRed Incusiva
 
Villa Mar Pp12.23.08
Villa Mar Pp12.23.08Villa Mar Pp12.23.08
Villa Mar Pp12.23.08TorreVillamar
 
Overclock para todos!
Overclock para todos!Overclock para todos!
Overclock para todos!campus party
 
Movimiento De La Tierra
Movimiento De La TierraMovimiento De La Tierra
Movimiento De La Tierraguest3d9851f
 
2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual ReportJennifer Schechter
 
Taller de empaquetamiento
Taller de empaquetamientoTaller de empaquetamiento
Taller de empaquetamientocampus party
 
Announcements - April 28
Announcements - April 28Announcements - April 28
Announcements - April 28ParkAveBC
 
Яка ти, лялька мотанка?
Яка ти, лялька мотанка?Яка ти, лялька мотанка?
Яка ти, лялька мотанка?kolosynova
 
SecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksSecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksEUBrasilCloudFORUM .
 

Destacado (16)

Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Making easter hat note 2016 (1)
Making easter hat note 2016 (1)
 
Slam
SlamSlam
Slam
 
201205McKesson6sigma.PDF
201205McKesson6sigma.PDF201205McKesson6sigma.PDF
201205McKesson6sigma.PDF
 
Evaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresEvaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeres
 
Maestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoMaestros de Apoyo Psicológico
Maestros de Apoyo Psicológico
 
Villa Mar Pp12.23.08
Villa Mar Pp12.23.08Villa Mar Pp12.23.08
Villa Mar Pp12.23.08
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchi
 
Overclock para todos!
Overclock para todos!Overclock para todos!
Overclock para todos!
 
byeinkapp keynote
byeinkapp keynotebyeinkapp keynote
byeinkapp keynote
 
Movimiento De La Tierra
Movimiento De La TierraMovimiento De La Tierra
Movimiento De La Tierra
 
2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report
 
Taller de empaquetamiento
Taller de empaquetamientoTaller de empaquetamiento
Taller de empaquetamiento
 
Announcements - April 28
Announcements - April 28Announcements - April 28
Announcements - April 28
 
SóC Compositor
SóC CompositorSóC Compositor
SóC Compositor
 
Яка ти, лялька мотанка?
Яка ти, лялька мотанка?Яка ти, лялька мотанка?
Яка ти, лялька мотанка?
 
SecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksSecFuNet - Security for Future Networks
SecFuNet - Security for Future Networks
 

Similar a Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.Dylan Irzi
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 

Similar a Aseguramiento de Vulnerabilidades Web con tecnologías OWASP (20)

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Presentacion
PresentacionPresentacion
Presentacion
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

Más de campus party

¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? campus party
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas vocescampus party
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilcampus party
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contrerascampus party
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contrerascampus party
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminalcampus party
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallercampus party
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1campus party
 
Theremin Alfredo Vargas
Theremin Alfredo Vargas Theremin Alfredo Vargas
Theremin Alfredo Vargas campus party
 
Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon campus party
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés BautistaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautistacampus party
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés FonsecaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonsecacampus party
 
Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping campus party
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticacampus party
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...campus party
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook aircampus party
 

Más de campus party (20)

Titulo
Titulo Titulo
Titulo
 
¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad?
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas voces
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvil
 
Liminal Bluevia 1
Liminal Bluevia 1Liminal Bluevia 1
Liminal Bluevia 1
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminal
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-taller
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
 
Theremin Alfredo Vargas
Theremin Alfredo Vargas Theremin Alfredo Vargas
Theremin Alfredo Vargas
 
Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés BautistaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés FonsecaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
 
Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en práctica
 
Android+Arduino
Android+ArduinoAndroid+Arduino
Android+Arduino
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
 
Linux en caja
Linux en cajaLinux en caja
Linux en caja
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook air
 

Último

Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 

Último (20)

Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 

Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

  • 1. Aseguramiento de aplicaciones web con ESAPI Juan David Parra (nopbyte)– LNHG nopbytelownoisehg.org Twitter: @nopbyte Blog: nopbyte.blogspot.com http://www.lownoisehg.org/
  • 2. ¿ QuéesLowNoise HG ? •Grupo de Investigación (Hacking only) •Creado en 1995 •Multidisciplinario (No sóloIngenieros) •ObjetivoComún: Seguridad vs. Inseguridad • Sin Ánimo de Lucro •RecursosPropios • Sin Afiliación a Empresas/Entidades
  • 3. ¿ QuéesLowNoise HG ? Investigacionesactuales en: - GSM / GPRS - Ingenieríareversa - Detección de intrusos - Muchasotras … Másinformación en: http://www.lownoisehg.org/
  • 4. ¿ Quiénesnopbyte ? •Juan David Parra •Afinidadesbásicas: •Desarrollo de herramientas de hacking •Detección de vulnerabilidades •Desarrollo de shellcode •Linux •Windows Internals
  • 5. DISCLAIMER •Todo lo que se hable y se muestre en estacharlaes el resultado de investigaciones con fines educativos. YO = Alguien más •Tododescubrimientorealizado, ha sidoy seráusado de forma legal, por LNHG. •La audienciadebeasumirtodo lo se expongahoy, como “falso” y “sin fundamento” hastaque lo compruebepersonalmente. • Juan David no es el autordirecto de ninguno de los descubrimientosexpuestos, ni de lasherramientasdemostradas, ni los conoce.
  • 6. ¿ Qué vamos a ver hoy ? •OWASP ¿Qué es? •Algunas vulnerabilidades web •Arquitectura de ESAPI •Demostración de ataque a vulnerabilidades •Demostración de eliminación de vulnerabilidades
  • 7. OWASP ¿Quées? •Proyecto ABIERTO de aseguramiento de aplicaciones web, porsussiglas en inglés (Open Web Application Security Project) •Existenproyectosdentro de OWASP como: •ESAPI •AntiSammy •WebScarab •OWASP top 10
  • 8. Algunasvulnerabilidades web •Vulnerabilidadesmáscomunes en aplicaciones web. •XSS (Cross site scripting persistente, o no persistente) •XSRF o CSRF (Cross site request forgery) •Falta de control de acceso a URL •Inyección de código
  • 9. Ilustración XSS (OWASP Top 10 2010) 1 Atacanteingresa la trampa Application with stored XSS Atacanteinserta script vulnerability malicioso en la página y lo guarda en el sistema Communication Bus. Functions Administration E-Commerce Transactions Knowledge Accounts Finance Mgmt 2 Victim views page – sees attacker profile Custom Code El script insertadopor el atacantecorre en el explorador de la victima con acceso al DOM y a suscookies 3 El script envíasilenciosamente la cookie del usuario al atacante
  • 10. CSRF ilustrado OWASP( top 10 2010) El atacantecolocaunatrampa en supágina web o via email. 1 Application with El CSRF vulnerability códigomaliciosocont iene un tag <img> Communication Bus. Functions Administration Transactions E-Commerce Knowledge contra el sitio Accounts Finance Mgmt vulnerable La victimaabre el email o la página 2 web del atacantemientras se encuentra Logeado en el sistema Custom Code 3 El sitio vulnerable ve El tag <img>ejecuta un la request http GET accióncomolegítima (incluyendolascredemc (con lascredenciales iales del usuario en el de la victima ) y sitio vulnerable) ejecuta la acción.
  • 11. Falta de restricción de Acceso a URL (OWASP top 10 2010) • El atacantepuedeverque la https://www.onlinebank.com/user/getAccounts URL indicasurol /usuario/buscarCuentas • Modifica la urlparaacceder a: /admin/buscarCuentas • El atacantetieneaccesomásinf ormación de la quedebería.
  • 12. Inyección de código (SQL) •¿Quépodríatener de malohaceresto? consulta = “SELECT FROM usuarios where cuenta = „ ” +cuenta + “ ‟ ”; ejecutarSQL(consulta);
  • 13. Inyección de código (SQL) •Y si el usuarioescribecomocuenta: pepito‟; DROP TABLE usuario;-- Entonces el progarmava a ejecutar: • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP TABLE usuario; -- ’ Ouch!!
  • 14. Otrasvulnerabilidadesexistentes… •Modificación de cookies. •Predicción de identificador de sesión. •Mal uso de criptografía ( uso de algoritmosdébiles de cifrado y/o hashing ) •Entre otrasmás …
  • 15. ¿Cómosolucionarestosinconvenientes? •Debemosverificarpara la tecnologíaqueestemosusandolasgarantíasofreci daspor el ambiente de desarrollo (Hibernate evitaSQLiporejemplo). •Los puntosque no se encuentrencubiertosporestosmediosdeben ser aseguradosusandolibreríasexternas. •ESAPI esusado en la actualidadporempresascomo American Express, Foundstone(McAfee), U.S Navy.
  • 16. Integración de ESAPI •Contienecódigoreutilizable. •Define un conjunto de interfaces que DEBEN ser implementadaspara la integración de la librería. •La definición de estas interfaces promueven el uso de buenasprácticas en cuanto a desarrolloseguro.
  • 17. Arqutectura de ESAPI •Accesounificado a los recursos. •Interfaces: •Authenticator •HttpUtilities •Encoder •Cryptography •AccessReferenceMap •Entre otras…
  • 18. Arqutectura de ESAPI •Contieneimplementacionespordefecto ( o guía de desarrollo ). •Interfaces: •FileBasedAuthenticator •DefaultHttpUtilities •DefaultEncoder •RandomAccessReferenceMap
  • 19. A lo quevinimos •Ahorasi: •Vamos a HACKEARNOS algo! •Y luego… a evitarque se puedahackear …
  • 20. FIN •Graciaspor la paciencia • Para investigaciones con LNHG: nopbyte@lownoisehg.org Twitter: @nopbyte http://www.lownoisehg.org/