SlideShare una empresa de Scribd logo
Aseguramiento de
aplicaciones web con ESAPI



 Juan David Parra (nopbyte)– LNHG
       nopbytelownoisehg.org
         Twitter: @nopbyte
     Blog: nopbyte.blogspot.com
      http://www.lownoisehg.org/
¿ QuéesLowNoise HG ?


•Grupo de Investigación (Hacking only)
•Creado en 1995
•Multidisciplinario (No sóloIngenieros)
•ObjetivoComún:
Seguridad vs. Inseguridad
• Sin Ánimo de Lucro
•RecursosPropios
• Sin Afiliación a Empresas/Entidades
¿ QuéesLowNoise HG ?

Investigacionesactuales en:
      - GSM / GPRS
      - Ingenieríareversa
      - Detección de intrusos
      - Muchasotras …
Másinformación en:
         http://www.lownoisehg.org/
¿ Quiénesnopbyte ?

•Juan David Parra
•Afinidadesbásicas:
   •Desarrollo de herramientas de hacking
   •Detección de vulnerabilidades
   •Desarrollo de shellcode
   •Linux
   •Windows Internals
DISCLAIMER

•Todo lo que se hable y se muestre en
estacharlaes el resultado de investigaciones
con fines educativos.




                                                YO = Alguien más
•Tododescubrimientorealizado, ha sidoy
seráusado de forma legal, por LNHG.
•La audienciadebeasumirtodo lo se
expongahoy, como “falso” y “sin fundamento”
hastaque lo compruebepersonalmente.
• Juan David no es el autordirecto de ninguno
de los descubrimientosexpuestos, ni de
lasherramientasdemostradas, ni los conoce.
¿ Qué vamos a ver hoy ?



•OWASP ¿Qué es?
•Algunas vulnerabilidades web
•Arquitectura de ESAPI
•Demostración de ataque a vulnerabilidades
•Demostración de eliminación de
vulnerabilidades
OWASP ¿Quées?


•Proyecto ABIERTO de aseguramiento de
aplicaciones web, porsussiglas en inglés (Open
Web Application Security Project)
•Existenproyectosdentro de OWASP como:
   •ESAPI
   •AntiSammy
   •WebScarab
   •OWASP top 10
Algunasvulnerabilidades web


•Vulnerabilidadesmáscomunes en aplicaciones
web.
  •XSS (Cross site scripting persistente, o no
  persistente)
  •XSRF o CSRF (Cross site request forgery)
  •Falta de control de acceso a URL
  •Inyección de código
Ilustración XSS (OWASP Top 10 2010)
       1             Atacanteingresa la trampa

                                                      Application with
                                                        stored XSS
                     Atacanteinserta script            vulnerability
                     malicioso en la página
                       y lo guarda en el
                            sistema




                                                                                   Communication



                                                                                   Bus. Functions
                                                                  Administration




                                                                                    E-Commerce
                                                                  Transactions

                                                                                     Knowledge
                                                      Accounts
                                                      Finance




                                                                                       Mgmt
       2     Victim views page – sees attacker profile

                                                                 Custom Code


                     El script insertadopor
                     el atacantecorre en el
                        explorador de la
                     victima con acceso al
                      DOM y a suscookies
 3   El script envíasilenciosamente la cookie del usuario al
                              atacante
CSRF ilustrado OWASP( top 10 2010)
         El atacantecolocaunatrampa en supágina web o via email.
     1




                                                     Application with
                             El                     CSRF vulnerability
                    códigomaliciosocont
                     iene un tag <img>




                                                                                Communication



                                                                                Bus. Functions
                                                               Administration
                                                                Transactions



                                                                                 E-Commerce
                                                                                  Knowledge
                       contra el sitio




                                                    Accounts
                                                     Finance




                                                                                    Mgmt
                         vulnerable
             La victimaabre el email o la página
     2      web del atacantemientras se encuentra
                    Logeado en el sistema                  Custom Code


                                                         3
                                                     El sitio vulnerable ve
                 El tag <img>ejecuta un                         la
                     request http GET                accióncomolegítima
                 (incluyendolascredemc               (con lascredenciales
                  iales del usuario en el               de la victima ) y
                      sitio vulnerable)                ejecuta la acción.
Falta de restricción de Acceso a URL
          (OWASP top 10 2010)
                                              • El atacantepuedeverque la
https://www.onlinebank.com/user/getAccounts      URL indicasurol
                                                /usuario/buscarCuentas

                                              • Modifica la urlparaacceder
                                                 a:
                                                /admin/buscarCuentas

                                              • El
                                                atacantetieneaccesomásinf
                                                ormación de la quedebería.
Inyección de código (SQL)


•¿Quépodríatener de malohaceresto?

consulta = “SELECT FROM usuarios
            where cuenta = „ ” +cuenta + “ ‟ ”;
ejecutarSQL(consulta);
Inyección de código (SQL)


•Y si el usuarioescribecomocuenta:
   pepito‟; DROP TABLE usuario;--


Entonces el progarmava a ejecutar:

 • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP
                  TABLE usuario; -- ’


Ouch!!
Otrasvulnerabilidadesexistentes…


•Modificación de cookies.
•Predicción de identificador de sesión.
•Mal uso de criptografía ( uso de
algoritmosdébiles de cifrado y/o hashing )
•Entre otrasmás …
¿Cómosolucionarestosinconvenientes?


 •Debemosverificarpara la
 tecnologíaqueestemosusandolasgarantíasofreci
 daspor el ambiente de desarrollo (Hibernate
 evitaSQLiporejemplo).
 •Los puntosque no se
 encuentrencubiertosporestosmediosdeben ser
 aseguradosusandolibreríasexternas.
 •ESAPI esusado en la
 actualidadporempresascomo American
 Express, Foundstone(McAfee), U.S Navy.
Integración de ESAPI


•Contienecódigoreutilizable.
•Define un conjunto de interfaces que DEBEN
ser implementadaspara la integración de la
librería.
•La definición de estas interfaces promueven el
uso de buenasprácticas en cuanto a
desarrolloseguro.
Arqutectura de ESAPI


•Accesounificado a los recursos.
•Interfaces:
   •Authenticator
   •HttpUtilities
   •Encoder
   •Cryptography
   •AccessReferenceMap
   •Entre otras…
Arqutectura de ESAPI


•Contieneimplementacionespordefecto ( o guía
de desarrollo ).
•Interfaces:
   •FileBasedAuthenticator
   •DefaultHttpUtilities
   •DefaultEncoder
   •RandomAccessReferenceMap
A lo quevinimos


•Ahorasi:


•Vamos a HACKEARNOS algo!


•Y luego… a evitarque se puedahackear …
FIN



•Graciaspor la paciencia
• Para investigaciones con LNHG:
        nopbyte@lownoisehg.org
            Twitter: @nopbyte
       http://www.lownoisehg.org/

Más contenido relacionado

Destacado

Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Making easter hat note 2016 (1)
Making easter hat note 2016 (1)
Kate Todd
 
Slam
SlamSlam
201205McKesson6sigma.PDF
201205McKesson6sigma.PDF201205McKesson6sigma.PDF
201205McKesson6sigma.PDFAustin Watase
 
Evaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresEvaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeres
Patricia Raquel Jordán
 
Maestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoMaestros de Apoyo Psicológico
Maestros de Apoyo Psicológico
Red Incusiva
 
Villa Mar Pp12.23.08
Villa Mar Pp12.23.08Villa Mar Pp12.23.08
Villa Mar Pp12.23.08
TorreVillamar
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchi
campus party
 
Overclock para todos!
Overclock para todos!Overclock para todos!
Overclock para todos!
campus party
 
byeinkapp keynote
byeinkapp keynotebyeinkapp keynote
byeinkapp keynote
Fabián Pedrero Gallego
 
Movimiento De La Tierra
Movimiento De La TierraMovimiento De La Tierra
Movimiento De La Tierra
guest3d9851f
 
2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report
Jennifer Schechter
 
Taller de empaquetamiento
Taller de empaquetamientoTaller de empaquetamiento
Taller de empaquetamiento
campus party
 
Announcements - April 28
Announcements - April 28Announcements - April 28
Announcements - April 28
ParkAveBC
 
Яка ти, лялька мотанка?
Яка ти, лялька мотанка?Яка ти, лялька мотанка?
Яка ти, лялька мотанка?
kolosynova
 
SecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksSecFuNet - Security for Future Networks
SecFuNet - Security for Future Networks
EUBrasilCloudFORUM .
 

Destacado (16)

Making easter hat note 2016 (1)
Making easter hat note 2016 (1)Making easter hat note 2016 (1)
Making easter hat note 2016 (1)
 
Slam
SlamSlam
Slam
 
201205McKesson6sigma.PDF
201205McKesson6sigma.PDF201205McKesson6sigma.PDF
201205McKesson6sigma.PDF
 
Evaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeresEvaluación de la aplicación de las acciones positivas para las mujeres
Evaluación de la aplicación de las acciones positivas para las mujeres
 
Maestros de Apoyo Psicológico
Maestros de Apoyo PsicológicoMaestros de Apoyo Psicológico
Maestros de Apoyo Psicológico
 
Villa Mar Pp12.23.08
Villa Mar Pp12.23.08Villa Mar Pp12.23.08
Villa Mar Pp12.23.08
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchi
 
Overclock para todos!
Overclock para todos!Overclock para todos!
Overclock para todos!
 
byeinkapp keynote
byeinkapp keynotebyeinkapp keynote
byeinkapp keynote
 
Movimiento De La Tierra
Movimiento De La TierraMovimiento De La Tierra
Movimiento De La Tierra
 
2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report2013_Hope Through Health_Annual Report
2013_Hope Through Health_Annual Report
 
Taller de empaquetamiento
Taller de empaquetamientoTaller de empaquetamiento
Taller de empaquetamiento
 
Announcements - April 28
Announcements - April 28Announcements - April 28
Announcements - April 28
 
SóC Compositor
SóC CompositorSóC Compositor
SóC Compositor
 
Яка ти, лялька мотанка?
Яка ти, лялька мотанка?Яка ти, лялька мотанка?
Яка ти, лялька мотанка?
 
SecFuNet - Security for Future Networks
SecFuNet - Security for Future NetworksSecFuNet - Security for Future Networks
SecFuNet - Security for Future Networks
 

Similar a Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
Jose Miguel Holguin
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Alonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
Alan Resendiz
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
Rafael Seg
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
Presentacion
PresentacionPresentacion
Presentacion
v3l3r0f0nt3
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
Carlos Fernandez
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
Santiago Rodríguez Paniagua
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
NPROS Perú
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
Dylan Irzi
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
Jaime Restrepo
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
Carlos Alderete
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
Grupo Educativo Cepea
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
Alonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Alonso Caballero
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
Cristian Borghello
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
limahack
 

Similar a Aseguramiento de Vulnerabilidades Web con tecnologías OWASP (20)

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Presentacion
PresentacionPresentacion
Presentacion
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

Más de campus party

Titulo
Titulo Titulo
Titulo
campus party
 
¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad?
campus party
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas voces
campus party
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvil
campus party
 
Liminal Bluevia 1
Liminal Bluevia 1Liminal Bluevia 1
Liminal Bluevia 1
campus party
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
campus party
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
campus party
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminal
campus party
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-taller
campus party
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1campus party
 
Theremin Alfredo Vargas
Theremin Alfredo Vargas Theremin Alfredo Vargas
Theremin Alfredo Vargas
campus party
 
Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon
campus party
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés BautistaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
campus party
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés FonsecaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
campus party
 
Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping
campus party
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en práctica
campus party
 
Android+Arduino
Android+ArduinoAndroid+Arduino
Android+Arduino
campus party
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
campus party
 
Linux en caja
Linux en cajaLinux en caja
Linux en caja
campus party
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook air
campus party
 

Más de campus party (20)

Titulo
Titulo Titulo
Titulo
 
¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad?
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas voces
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvil
 
Liminal Bluevia 1
Liminal Bluevia 1Liminal Bluevia 1
Liminal Bluevia 1
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminal
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-taller
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
 
Theremin Alfredo Vargas
Theremin Alfredo Vargas Theremin Alfredo Vargas
Theremin Alfredo Vargas
 
Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés BautistaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés FonsecaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
 
Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en práctica
 
Android+Arduino
Android+ArduinoAndroid+Arduino
Android+Arduino
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
 
Linux en caja
Linux en cajaLinux en caja
Linux en caja
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook air
 

Último

Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación  (1).docxEstructuras básicas_ conceptos de programación  (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
AMADO SALVADOR
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
juanchogame18
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
AMADO SALVADOR
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
aljitagallego
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
yuki22434
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
tamarita881
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
Trabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De ProgramaciónTrabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De Programación
SofiaCollazos
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
SERVANDOBADILLOPOLEN
 

Último (20)

Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación  (1).docxEstructuras básicas_ conceptos de programación  (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
Trabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De ProgramaciónTrabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De Programación
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
 

Aseguramiento de Vulnerabilidades Web con tecnologías OWASP

  • 1. Aseguramiento de aplicaciones web con ESAPI Juan David Parra (nopbyte)– LNHG nopbytelownoisehg.org Twitter: @nopbyte Blog: nopbyte.blogspot.com http://www.lownoisehg.org/
  • 2. ¿ QuéesLowNoise HG ? •Grupo de Investigación (Hacking only) •Creado en 1995 •Multidisciplinario (No sóloIngenieros) •ObjetivoComún: Seguridad vs. Inseguridad • Sin Ánimo de Lucro •RecursosPropios • Sin Afiliación a Empresas/Entidades
  • 3. ¿ QuéesLowNoise HG ? Investigacionesactuales en: - GSM / GPRS - Ingenieríareversa - Detección de intrusos - Muchasotras … Másinformación en: http://www.lownoisehg.org/
  • 4. ¿ Quiénesnopbyte ? •Juan David Parra •Afinidadesbásicas: •Desarrollo de herramientas de hacking •Detección de vulnerabilidades •Desarrollo de shellcode •Linux •Windows Internals
  • 5. DISCLAIMER •Todo lo que se hable y se muestre en estacharlaes el resultado de investigaciones con fines educativos. YO = Alguien más •Tododescubrimientorealizado, ha sidoy seráusado de forma legal, por LNHG. •La audienciadebeasumirtodo lo se expongahoy, como “falso” y “sin fundamento” hastaque lo compruebepersonalmente. • Juan David no es el autordirecto de ninguno de los descubrimientosexpuestos, ni de lasherramientasdemostradas, ni los conoce.
  • 6. ¿ Qué vamos a ver hoy ? •OWASP ¿Qué es? •Algunas vulnerabilidades web •Arquitectura de ESAPI •Demostración de ataque a vulnerabilidades •Demostración de eliminación de vulnerabilidades
  • 7. OWASP ¿Quées? •Proyecto ABIERTO de aseguramiento de aplicaciones web, porsussiglas en inglés (Open Web Application Security Project) •Existenproyectosdentro de OWASP como: •ESAPI •AntiSammy •WebScarab •OWASP top 10
  • 8. Algunasvulnerabilidades web •Vulnerabilidadesmáscomunes en aplicaciones web. •XSS (Cross site scripting persistente, o no persistente) •XSRF o CSRF (Cross site request forgery) •Falta de control de acceso a URL •Inyección de código
  • 9. Ilustración XSS (OWASP Top 10 2010) 1 Atacanteingresa la trampa Application with stored XSS Atacanteinserta script vulnerability malicioso en la página y lo guarda en el sistema Communication Bus. Functions Administration E-Commerce Transactions Knowledge Accounts Finance Mgmt 2 Victim views page – sees attacker profile Custom Code El script insertadopor el atacantecorre en el explorador de la victima con acceso al DOM y a suscookies 3 El script envíasilenciosamente la cookie del usuario al atacante
  • 10. CSRF ilustrado OWASP( top 10 2010) El atacantecolocaunatrampa en supágina web o via email. 1 Application with El CSRF vulnerability códigomaliciosocont iene un tag <img> Communication Bus. Functions Administration Transactions E-Commerce Knowledge contra el sitio Accounts Finance Mgmt vulnerable La victimaabre el email o la página 2 web del atacantemientras se encuentra Logeado en el sistema Custom Code 3 El sitio vulnerable ve El tag <img>ejecuta un la request http GET accióncomolegítima (incluyendolascredemc (con lascredenciales iales del usuario en el de la victima ) y sitio vulnerable) ejecuta la acción.
  • 11. Falta de restricción de Acceso a URL (OWASP top 10 2010) • El atacantepuedeverque la https://www.onlinebank.com/user/getAccounts URL indicasurol /usuario/buscarCuentas • Modifica la urlparaacceder a: /admin/buscarCuentas • El atacantetieneaccesomásinf ormación de la quedebería.
  • 12. Inyección de código (SQL) •¿Quépodríatener de malohaceresto? consulta = “SELECT FROM usuarios where cuenta = „ ” +cuenta + “ ‟ ”; ejecutarSQL(consulta);
  • 13. Inyección de código (SQL) •Y si el usuarioescribecomocuenta: pepito‟; DROP TABLE usuario;-- Entonces el progarmava a ejecutar: • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP TABLE usuario; -- ’ Ouch!!
  • 14. Otrasvulnerabilidadesexistentes… •Modificación de cookies. •Predicción de identificador de sesión. •Mal uso de criptografía ( uso de algoritmosdébiles de cifrado y/o hashing ) •Entre otrasmás …
  • 15. ¿Cómosolucionarestosinconvenientes? •Debemosverificarpara la tecnologíaqueestemosusandolasgarantíasofreci daspor el ambiente de desarrollo (Hibernate evitaSQLiporejemplo). •Los puntosque no se encuentrencubiertosporestosmediosdeben ser aseguradosusandolibreríasexternas. •ESAPI esusado en la actualidadporempresascomo American Express, Foundstone(McAfee), U.S Navy.
  • 16. Integración de ESAPI •Contienecódigoreutilizable. •Define un conjunto de interfaces que DEBEN ser implementadaspara la integración de la librería. •La definición de estas interfaces promueven el uso de buenasprácticas en cuanto a desarrolloseguro.
  • 17. Arqutectura de ESAPI •Accesounificado a los recursos. •Interfaces: •Authenticator •HttpUtilities •Encoder •Cryptography •AccessReferenceMap •Entre otras…
  • 18. Arqutectura de ESAPI •Contieneimplementacionespordefecto ( o guía de desarrollo ). •Interfaces: •FileBasedAuthenticator •DefaultHttpUtilities •DefaultEncoder •RandomAccessReferenceMap
  • 19. A lo quevinimos •Ahorasi: •Vamos a HACKEARNOS algo! •Y luego… a evitarque se puedahackear …
  • 20. FIN •Graciaspor la paciencia • Para investigaciones con LNHG: nopbyte@lownoisehg.org Twitter: @nopbyte http://www.lownoisehg.org/