Slides de mi presentación sobre ataque y defensa a sistemas Drupal, en el marco de la II Jornada de Seguridad en las Comunicaciones y la Información, en la Escuela Superior de Ingenieros de la Universidad de Sevilla, el 9 de junio de 2015
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
Slides from my presentation on DrupalCamp Spain 2014, on Valencia, related to Drupal security, and how to perform security audits on a web developed with this tool.
WordPress es el CMS que se encuentra detrás de un 25% de todos los sitios web.
Su facilidad de uso y la base de código abierto hacen que sea una solución popular. El número de instalaciones sigue creciendo, hay literalmente millones de instalaciones de WordPress en internet.
Esta popularidad hace que sea un objetivo jugoso para los chicos malos con un único objetivo: utilizar un servidor web comprometido con fines maliciosos.
En esta charla analizamos las distintas formas de obtener información de páginas web creadas con este CMS y su posterior intrusión.
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
Slides from my presentation on DrupalCamp Spain 2014, on Valencia, related to Drupal security, and how to perform security audits on a web developed with this tool.
WordPress es el CMS que se encuentra detrás de un 25% de todos los sitios web.
Su facilidad de uso y la base de código abierto hacen que sea una solución popular. El número de instalaciones sigue creciendo, hay literalmente millones de instalaciones de WordPress en internet.
Esta popularidad hace que sea un objetivo jugoso para los chicos malos con un único objetivo: utilizar un servidor web comprometido con fines maliciosos.
En esta charla analizamos las distintas formas de obtener información de páginas web creadas con este CMS y su posterior intrusión.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
Riesgos de Ciberseguridad en WORDPRESS en el 1er webinar de @DiviCon México. Se proporciona una introducción al Cyber Kill Chain aplicado a Wordpress y se realizan recomendaciones para la detección prevención y respuesta ante un incidente de seguridad en esta aplicación.
Que hacer cuando tu web WordPress ha sido Hackeada. Dejo también un enlace con recursos sobre plugins y artículos de Seguridad.
http://bit.ly/WordPressSeguridad
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Slides from the session I presented on DrupalCamp 2015 about Drupal scaling ability with Apache Mesos, Docker containers and some more fancy technologies.
Presentación empleada en el taller de introducción a Drupal, que impartí en las Jornadas de Software Libre, en la Universidad de Cádiz, el 26 de noviembre de 2013
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
Riesgos de Ciberseguridad en WORDPRESS en el 1er webinar de @DiviCon México. Se proporciona una introducción al Cyber Kill Chain aplicado a Wordpress y se realizan recomendaciones para la detección prevención y respuesta ante un incidente de seguridad en esta aplicación.
Que hacer cuando tu web WordPress ha sido Hackeada. Dejo también un enlace con recursos sobre plugins y artículos de Seguridad.
http://bit.ly/WordPressSeguridad
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Slides from the session I presented on DrupalCamp 2015 about Drupal scaling ability with Apache Mesos, Docker containers and some more fancy technologies.
Presentación empleada en el taller de introducción a Drupal, que impartí en las Jornadas de Software Libre, en la Universidad de Cádiz, el 26 de noviembre de 2013
Un ataque de inyección SQL, consiste en la inserción o inyección de una consulta SQL mediante una entrada de datos desde el cliente hacia la aplicación. Una explotación exitosa de inyección SQL puede leer datos sensibles desde la base de datos, modificarla, ejecutar operaciones de administración, recuperar contenido desde el sistema de archivos, y en algunos casos ejecutar comandos a nivel del sistema operativo subyacente.
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Nuestros administrador de sistemas y experto en seguridad nos habla de las buenas prácticas en la gestión de servidores, los ataques más comunes en Internet y las posibles soluciones a estas amenazas. Abordamos soluciones prácticas de diferente nivel (empezando por las más sencillas) para la protección de servidores evitando que usuarios malintencionados tengan acceso a este. ¡Aprende a proteger tu servidor!
Más info: http://www.nominalia.com/server/serverded.html
Wordpress como framework - DarioBF en WordCamp BarcelonaDarío BF
Esta sesión será una reflexión de por qué WordPress en la actualidad representa algo más que un gestor de contenidos orientado a blogs y nos hablará de:
- Gestión de administración sencilla.
- Gestión y permisos de usuarios.
- Motor de creación de temas.
- Plugins.
- Caché.
- Gestión de multimedia (imágenes, PDFs, etc).
Además, nos dará algunas claves para aprovechar al máximo sus funciones para utilizarlo como framework de desarrollo.
Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Hacking & Hardening Drupal
1. Hacking & Hardening Drupal
Ezequiel V´azquez De la calle (@RabbitLair)
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
2. Sobre mi
Estudios
Ingeniero T´ecnico en Inform´atica - UCA
M´aster en Ingenier´ıa del Software - US
M´aster en Seguridad de las TIC - US
Experiencia
5+ a˜nos como desarrollador web, 3+ en Drupal
Actualmente: DevOps Drupal
Seguridad, GNU/Linux, Python, Node.JS. . .
Aficiones
Rock’n’Roll (guitarra el´ectrica) y videojuegos
Narrativa fant´astica, rol, cine, cerveza. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
3. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
4. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
5. Introducci´on
¿Y esto de qu´e va?
CMS escrito en PHP
Extensible mediante
m´odulos y temas
Arquitectura LAMP
Software libre (GPL)
Actualmente, Drupal 7
Lo mejor: La comunidad
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
6. Seguridad
Pilares de la seguridad
Confidencialidad
Integridad
Disponibilidad
Autenticaci´on
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
11. ¿Por qu´e en profundidad?
El Abismo de Helm era inexpugnable. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
12. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
13. Recogida de informaci´on
Hacking con buscadores (fichero robots.txt)
“Fingerprint” de servidor, framework, versiones. . .
Crawlers, spiders, robots. . .
Herramientas autom´aticas: Burp, ZAP, Nikto2
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
14. Pruebas sobre configuraci´on
M´etodos HTTP permitidos (PUT, DELETE, TRACE)
Gesti´on de extensiones
Configuraci´on de plataforma (Apache, PHP, MySQL. . . )
Revisar backups en el ´arbol web (*.sql, *.bak. . . )
Esc´aner de puertos (Nmap)
Firewall/IDS/Web Application Firewall
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
15. Gesti´on de identidad y autorizaci´on
Definici´on de roles (filtros de entrada, permisos asignados)
Enumeraci´on de cuentas de usuario (m´odulo views)
Ataques de fuerza bruta (Hydra, m´odulos de Captcha)
Referencias inseguras (cambiar [nid] en /node/[nid])
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
16. Autenticaci´on
Credenciales por canal inseguro (MitM, m´odulo securepages)
Pol´ıtica de contrase˜nas d´ebil (m´odulo password policy)
Recordar contrase˜nas: ¿se vuelve a enviar la pass?
Sistema de autenticaci´on (Drupal Ok, pero ¿modificado?)
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
17. Gesti´on de la sesi´on
Duraci´on de la sesi´on (session expire y autologoff )
Gesti´on de cookies (cifrado, atributos httpOnly y Secure)
Robo de cookie de sesi´on = Robo de identidad
Cross Site Request Forgery (no s´olo forms)
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
18. Validaci´on de datos de entrada
Cross Site Scripting
SQL injection
Poluci´on de par´ametros HTTP
Inyecci´on de c´odigo
Subida de ficheros
En Drupal:
filter xss
db query
check plain
check markup
check url
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
19. Gesti´on de errores
Exposici´on de c´odigos y textos de error
Exposici´on de trazas
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
20. M´as testing. . .
Criptograf´ıa d´ebil
Heartbleed
Errores en l´ogica de negocio
Tests en lado de cliente
No solo web. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
21. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
22. Cross Site Scripting
¿Qu´e es?
Ejecuci´on de c´odigo Javascript
Reflejado o almacenado
Ataca al cliente: robo de cookies, descarga de malware. . .
¡La m´as com´un en Drupal!
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
23. Cross Site Scripting
En Drupal. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
26. SQL Injection
¿Qu´e es?
Modificaci´on de consultas a base de datos
B´asico, blind o time based
Ataca al servidor: extrae informaci´on, o la modifica
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
28. Cross Site Request Forgery
¿Qu´e es?
Hacer que usuario pida URL sin que lo sepa
Petici´on a un formulario con par´ametros GET
Eliminar nodos, cambiar contrase˜na. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
29. Cross Site Request Forgery
En Drupal. . .
Utilizar siempre la Forms API
drupal valid token para env´ıos GET
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
30. Hijacking de sesi´on
¿Qu´e es?
Robo de cookies para suplantar a un usuario identificado
Drupal se encarga de la gesti´on de la sesi´on
Mejor pr´actica: utilizar SSL en todo el portal
Certificado v´alido, m´odulo securepages
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
31. Bypass de autorizaci´on
¿Qu´e es?
Usuario accede a URLs o
secciones no permitidas
En Drupal. . .
Controlado mediante el
sistema de men´u, roles y
permisos
Mejor pr´actica:
M´ınimo privilegio posible
Granularizar permisos tanto
como sea necesario
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
32. Referencias inseguras
¿Qu´e es?
Acceder a contenido para el cual no se tiene permiso
Permisos definidos, pero ¿se comprueban?
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
33. Referencias inseguras
Prevenci´on
Comprobar permisos: user access
Comprobar acceso a contenido: node access
En consultas SQL: $select→addtag(’node access’);
Utilizar la Forms API
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
34. Securizar la configuraci´on
Instalaci´on segura
M´odulo security review
M´odulo paranoia
M´odulo update
M´odulo password policy
Limitar duraci´on de sesi´on
Permisos “administer . . . ”
¡Ojo con los filtros de entrada!
Desactivar y eliminar m´odulo php
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
35. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
36. Un vector de ataque simple
Detecci´on de XSS almacenado (filtro “Full HTML”)
Inyectar JS que env´ıa cookies a atacante (SOP, httpOnly)
Atacante inyecta cookie en su navegador
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
37. Un vector de ataque simple
Activaci´on de m´odulo “PHP filter”
Modificar nodo para que use este filtro
Ejecutar comandos de sistema desde PHP (disable functions)
Lanzar shell reversa con netcat (cortafuegos saliente)
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
38. Un vector de ataque simple
¡Demo time!
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
39. Un vector de ataque simple
A partir de aqu´ı. . .
Escalado de privilegios para obtener root (CVE-2014-0196)
Persistencia del acceso
T´ecnica de pivoting: escanear red interna
¡En la imaginaci´on (y en el contrato) est´a el l´ımite!
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
40. ´Indice
1 Introducci´on
2 Hacking Drupal
3 Hardening Drupal
4 Live Demo
5 Conclusiones
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
41. En resumen. . .
Defensa en todas las capas
Buenas pr´acticas
Mucha documentaci´on, ¡no hay excusa!
Buscar la proporcionalidad
La importancia de la formaci´on
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
42. En resumen. . .
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
43. Referencias
Linux Administrator’s Security Guide
http://www.seifried.org/lasg
Apache Security Tips
http://httpd.apache.org/docs/current/misc/security tips.html
PHP security manual
http://php.net/manual/en/security.php
Cracking Drupal
http://www.crackingdrupal.com
Writing secure code
https://drupal.org/writing-secure-code
Securing your site
https://drupal.org/security/secure-configuration
Ezequiel V´azquez De la calle Hacking & Hardening Drupal
44. Esto es todo, amigos...
¡Gracias!
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´azquez De la calle Hacking & Hardening Drupal