Seguridad Base de Datos sql injection v1.0José Moreno
Método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación a nivel de validación de entradas para realizar operaciones sobre una base de datos.
I'm Andrea D'Ubaldo, I am a software developer and cyber security enthusiast. The purpose of this presentation is to warn people about google "hacking".
I don't pretend to teach, I only love sharing knowledge. Hope you enjoy ! Comments and remarks are welcome.
------------------------------------------------
Summary
- What is Google dorks
- Queries syntax
- Queries examples
- Conclusion
Google Dork Definition
"A Google dork is an employee who unknowingly exposes sensitive corporate information on the Internet. The word dork is slang for a slow-witted or in-ept person."
Margaret Rouse
Director, WhatIs.com at TechTarget
@WhatIsDotCom
What is
Google dorks is a powerful advanced search, an instrument to perform queries on Google search engine.
How it works
That queries allows the user to find detailed information over the internet, such files, hidden pages, sensitive documents and so on.
Why use
But...dork queries are considered by many an “hacking technique”. Because of his nature, the dorks can be used for different purposes, often bad purpose and we shall then see...
Queries syntax
a) inurl
Find that word or sentences in the URL
inurl: php?id=
b) related
Find that related websites
related:www.google.com
c) filetype
research by file type
filetype:pdf shakespeare
d) site
Restrict to a specific site
site:fakesite.com
e) intitle
Find that word or sentences in the title of a website
intitle: search
...Other syntax characters and operators.
Examples :
- Search files containing username and password
- Discover vulnerable server, affected by SQL Injection
- Pages containing login portal
- Sensitive directory
Credits and References
What is Google dork? – Margaret Rouse
What is Google dork? - WhatIs.com - TechTarget
whatis.techtarget.com
Conclusion
Be careful and protect your data!
Google hacking
https://en.wikipedia.org/wiki/Google_hacking
Wikipedia.
Google Hacking Database (GHDB)
https://www.exploit-db.com/google-hacking-database/
Exploit Database
Special thanks to all the people who made and released these awesome resources for free:
Presentation template by SlidesCarnival (http://www.slidescarnival.com/)
Photographs by Unsplash (http://unsplash.com/)
12 free (or almost free) sourcing tools every sourcing pro shouldn't live without, presented by Glenn Gutmacher with RecruitingBlogs.com and RecruitiFi.
Get your own RecruitiFi account: http://rdaily.co/1BRujup
Seguridad Base de Datos sql injection v1.0José Moreno
Método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación a nivel de validación de entradas para realizar operaciones sobre una base de datos.
I'm Andrea D'Ubaldo, I am a software developer and cyber security enthusiast. The purpose of this presentation is to warn people about google "hacking".
I don't pretend to teach, I only love sharing knowledge. Hope you enjoy ! Comments and remarks are welcome.
------------------------------------------------
Summary
- What is Google dorks
- Queries syntax
- Queries examples
- Conclusion
Google Dork Definition
"A Google dork is an employee who unknowingly exposes sensitive corporate information on the Internet. The word dork is slang for a slow-witted or in-ept person."
Margaret Rouse
Director, WhatIs.com at TechTarget
@WhatIsDotCom
What is
Google dorks is a powerful advanced search, an instrument to perform queries on Google search engine.
How it works
That queries allows the user to find detailed information over the internet, such files, hidden pages, sensitive documents and so on.
Why use
But...dork queries are considered by many an “hacking technique”. Because of his nature, the dorks can be used for different purposes, often bad purpose and we shall then see...
Queries syntax
a) inurl
Find that word or sentences in the URL
inurl: php?id=
b) related
Find that related websites
related:www.google.com
c) filetype
research by file type
filetype:pdf shakespeare
d) site
Restrict to a specific site
site:fakesite.com
e) intitle
Find that word or sentences in the title of a website
intitle: search
...Other syntax characters and operators.
Examples :
- Search files containing username and password
- Discover vulnerable server, affected by SQL Injection
- Pages containing login portal
- Sensitive directory
Credits and References
What is Google dork? – Margaret Rouse
What is Google dork? - WhatIs.com - TechTarget
whatis.techtarget.com
Conclusion
Be careful and protect your data!
Google hacking
https://en.wikipedia.org/wiki/Google_hacking
Wikipedia.
Google Hacking Database (GHDB)
https://www.exploit-db.com/google-hacking-database/
Exploit Database
Special thanks to all the people who made and released these awesome resources for free:
Presentation template by SlidesCarnival (http://www.slidescarnival.com/)
Photographs by Unsplash (http://unsplash.com/)
12 free (or almost free) sourcing tools every sourcing pro shouldn't live without, presented by Glenn Gutmacher with RecruitingBlogs.com and RecruitiFi.
Get your own RecruitiFi account: http://rdaily.co/1BRujup
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
La seguridad en aplicaciones web es un aspecto fundamental para garantizar la protección de los datos y la confidencialidad de los usuarios. Si nuestro objetivo es aprender como Django gestiona la seguridad, PyGoat es una aplicación desarrollada con Django vulnerable de forma intencionada que puede ser utilizada para aprender a asegurar nuestras aplicaciones Django.
En esta charla, analizamos como Django gestiona la seguridad utilizando la aplicación vulnerable Pygoat, identificando los problemas de seguridad subyacentes. Aprenderemos sobre vulnerabilidades de seguridad comunes como las que aparecen en el OWASP Top 10 en aplicaciones Django y cómo solucionarlas para que podamos mantener nuestras aplicaciones a salvo de atacantes.
Entre los puntos a tratar podemos destacar:
Introducción a la seguridad en aplicaciones Django
Pygoat como ejemplo de aplicación vulnerable
Vulnerabilidades OWASP top 10 y mitigación
Lord Epsylon - XSSer: the cross site scripting framework [RootedCON 2012]RootedCON
XSSer es un framework de código libre escrito en python, que permite la automatización de procesos de detección, explotación y publicación de inyecciones de código “scripting”. Contiene diversas técnicas, tanto para evadir filtros, cómo para explotar código sobre vulnerabilidades de tipo XSS. En la presentación se mostrará la historia y evolución del proyecto, así cómo, una relación de todas las posibilidades que permite la herramienta, tanto desde el punto de vista de un auditor de seguridad profesional, cómo para aquellas personas que apenas tengan conocimientos.
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Nuestros administrador de sistemas y experto en seguridad nos habla de las buenas prácticas en la gestión de servidores, los ataques más comunes en Internet y las posibles soluciones a estas amenazas. Abordamos soluciones prácticas de diferente nivel (empezando por las más sencillas) para la protección de servidores evitando que usuarios malintencionados tengan acceso a este. ¡Aprende a proteger tu servidor!
Más info: http://www.nominalia.com/server/serverded.html
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 6. Seguridad de Bases de Datos
Slides de la charla hecha en el espacio Kunlabori con los chicos de MadridJS sobre las lecciones aprendidas desarrollando una red social con frontiers.
Hoy en día, los bancos chilenos buscan convencer a sus clientes para que realicen sus operaciones bancarias con su celular mediante el uso de aplicaciones móviles disponibles en las tiendas en linea de las diferentes plataformas móviles, bajo la premisa de su facilidad de uso y su seguridad. Sin embargo, cuando se trata de información extremadamente sensible, como saldos financieros, números de tarjetas de crédito, datos de contactos del usuario, información geográfica, etc., cabe hacerse la pregunta: ¿Cuán seguras son estas apps?
Charla para la conferencia de seguridad 8.8 2015.
Diseñar juegos (de mesa, de rol, videojuegos, etc.) u otras experiencias lúdicas como escape rooms o similares está todavía a medio camino entre un arte y una ciencia.
En esta charla repasaremos los fundamentos básicos del diseño de juegos (mecánicas, historias, tecnologías y experiencias) y los diferentes tipos de diversión que puede buscar quien juegue a nuestros juegos (difícil, fácil, relacional y con propósito).
Además, veremos cómo empezar el diseño de un juego de mesa y qué fases deberemos llevar a cabo para terminarlo, desde el prototipado, testeo, edición, (micromecenazgo), producción y distribución.
Presentación empleada en la conferencia Bilbostack 2022.
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
La seguridad en aplicaciones web es un aspecto fundamental para garantizar la protección de los datos y la confidencialidad de los usuarios. Si nuestro objetivo es aprender como Django gestiona la seguridad, PyGoat es una aplicación desarrollada con Django vulnerable de forma intencionada que puede ser utilizada para aprender a asegurar nuestras aplicaciones Django.
En esta charla, analizamos como Django gestiona la seguridad utilizando la aplicación vulnerable Pygoat, identificando los problemas de seguridad subyacentes. Aprenderemos sobre vulnerabilidades de seguridad comunes como las que aparecen en el OWASP Top 10 en aplicaciones Django y cómo solucionarlas para que podamos mantener nuestras aplicaciones a salvo de atacantes.
Entre los puntos a tratar podemos destacar:
Introducción a la seguridad en aplicaciones Django
Pygoat como ejemplo de aplicación vulnerable
Vulnerabilidades OWASP top 10 y mitigación
Lord Epsylon - XSSer: the cross site scripting framework [RootedCON 2012]RootedCON
XSSer es un framework de código libre escrito en python, que permite la automatización de procesos de detección, explotación y publicación de inyecciones de código “scripting”. Contiene diversas técnicas, tanto para evadir filtros, cómo para explotar código sobre vulnerabilidades de tipo XSS. En la presentación se mostrará la historia y evolución del proyecto, así cómo, una relación de todas las posibilidades que permite la herramienta, tanto desde el punto de vista de un auditor de seguridad profesional, cómo para aquellas personas que apenas tengan conocimientos.
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Nuestros administrador de sistemas y experto en seguridad nos habla de las buenas prácticas en la gestión de servidores, los ataques más comunes en Internet y las posibles soluciones a estas amenazas. Abordamos soluciones prácticas de diferente nivel (empezando por las más sencillas) para la protección de servidores evitando que usuarios malintencionados tengan acceso a este. ¡Aprende a proteger tu servidor!
Más info: http://www.nominalia.com/server/serverded.html
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 6. Seguridad de Bases de Datos
Slides de la charla hecha en el espacio Kunlabori con los chicos de MadridJS sobre las lecciones aprendidas desarrollando una red social con frontiers.
Hoy en día, los bancos chilenos buscan convencer a sus clientes para que realicen sus operaciones bancarias con su celular mediante el uso de aplicaciones móviles disponibles en las tiendas en linea de las diferentes plataformas móviles, bajo la premisa de su facilidad de uso y su seguridad. Sin embargo, cuando se trata de información extremadamente sensible, como saldos financieros, números de tarjetas de crédito, datos de contactos del usuario, información geográfica, etc., cabe hacerse la pregunta: ¿Cuán seguras son estas apps?
Charla para la conferencia de seguridad 8.8 2015.
Diseñar juegos (de mesa, de rol, videojuegos, etc.) u otras experiencias lúdicas como escape rooms o similares está todavía a medio camino entre un arte y una ciencia.
En esta charla repasaremos los fundamentos básicos del diseño de juegos (mecánicas, historias, tecnologías y experiencias) y los diferentes tipos de diversión que puede buscar quien juegue a nuestros juegos (difícil, fácil, relacional y con propósito).
Además, veremos cómo empezar el diseño de un juego de mesa y qué fases deberemos llevar a cabo para terminarlo, desde el prototipado, testeo, edición, (micromecenazgo), producción y distribución.
Presentación empleada en la conferencia Bilbostack 2022.
Luces y sombras en el uso de la tecnología en clasePablo Garaizar
Intervención de Pablo Garaizar en las jornadas "Las pruebas de la educación" organizadas por la Fundación Promaestro y la Cátedra de Cultura Científica de la EHU/UPV en CaixaForum Madrid
Neurobollocks: el nuevo aceite de serpientePablo Garaizar
Lo “neuro” está de moda. Los recientes avances en neurociencia han insuflado tanto optimismo en otras disciplinas que todas ellas quieren participar de la fiesta: neuroeducación, neuromarketing, neuropolítica, neuroeconomía... Hemos pasado del “todo es mejor con Bluetooth” al “todo es mejor con una imagen del cerebro tomada por resonancia magnética funcional”. Sin embargo, de la misma forma que los hallazgos en física cuántica no son directamente aprovechables para el deporte, muchos de los descubrimientos neurocientíficos están lejos de ser de aplicación directa en todas esas disciplinas con las que se pretende converger.
A pesar del interés que despierta la neurociencia en ámbitos muy variados, la comunicación de sus hallazgos es muy definciente. Esto provoca que sean muchos los neuromitos que persisten y muchas las teorías no probadas que se asumen como ciertas (estilos de aprendizaje, inteligencias múltiples, paisajes de aprendizaje, etc.). Esta charla pretende pinchar el globo de lo “neuro”, repasando qué sabemos que funciona y qué propuestas no han demostrado su validez. Un jarro de agua fría en clave de humor para entusiastas de las neuromandangas, sin intención de sentar cátedra pero sí de provocar debate.
Algunas cuestiones psicológicas que nos pueden ayudar a diseñar mejorPablo Garaizar
Breve introducción a la psicología para ayudarnos en los procesos de diseño.
Master class dentro del master clandestino de Arketipo: http://www.arketipo.net/index.php/10-lanzando-el-guante/10-montate-un-master-clandestino-no-es-oficial-y-eso-es-lo-mejor.html
Participación en las VI Jornadas Tecnología, Desarrollo y Sociedad, Ciencia, Tecnología y Feminismo organizadas por Ingeniería Sin Fronteras en la Universidad de Deusto (01/10/2015)
Errores comunes en la visualización de datos y algunas solucionesPablo Garaizar
Charla sobre visualización de datos para BilboStack 2015 en la Universidad de Deusto, Bilbao, 17 de enero de 2015.
Todas las imágenes son propiedad de sus respectivos creadores (ver sección de Referencias).
Video-games 101: Unleashing the potential of students and teachers to create ...Pablo Garaizar
Video-games 101: Unleashing the potential of students and teachers to create fun stuff
Presented at Scratch Conference 2013, 25-27 July, Barcelona.
Since 2006, hundreds of learning resources about Scratch have been developed and shared through the Internet. Therefore, learning how to install Scratch, arrange the blocks, upload projects, or create simple animations is straightforward for younger scratchers. However, they often realize that knowing how to use the Scratch programming environment does not necessarily mean knowing how to develop video-games. Moreover, teachers are usually not aware that their Mathematics, Physics or Arts knowledge can easily turned into video-game programming skills. With the purpose of helping both students and teachers to develop their own video-games in mind, we have created an online course that will be open and freely available for everyone.
The course covers several kinds of video-games and provides step-by-step tutorials to build them from scratch. The first section explains typical videogame mechanisms (i.e., scores, stages, etc.). The second section shows how to build a simple “snake” game using Scratch 2.0 new features like cloning or saving high scores in the Cloud. Section 3 is aimed to create a “Pang” version where simple Physics knowledge is needed to define the movements of the balls. In the fourth section of the course, we use a “Pac-Man”-like game to introduce basic concepts of Artificial Intelligence. Section 5 is focused on horizontal scrolling games like “Super Mario”. Non-arcade video-games are explained in section 6 with a two-player “Checkers” videogame. Finally, miscellaneous demos and proof-of-concepts are shown in section 7.
We want to explain how to create completely finished games, not simple demos. Therefore, each section shows every aspect involved in their development (i.e., architecture, design, fx, coding). In summary, our aim is to create an environment where students and teachers could learn how to use their Mathematics, Physics, or Arts knowledge in a fun-oriented way.
Scratch Eguna: From Scratch Day to Scratch every dayPablo Garaizar
Scratch Eguna: From Scratch Day to Scratch every day
Presented at Scratch Conference 2013, 25-27 July, Barcelona.
Over the last years, Scratch community has grown tremendously worldwide. Undoubtedly, the Scratch Day initiative has a key role in the popularization of Scratch. However, a one-day effort is often not enough to create a local community. With this concern in mind, we designed Scratch Eguna, an educational project aimed to bring Scratch into primary schools in an innovative way.
Scratch Eguna is sequenced throughout the school year in various stages. First, spreading the initiative. Second, training school teachers. Third, mentoring the work of student teams at schools. Finally, the Scratch Eguna, a science fair where young programmers of 5th and 6th grades share their Scratch knowledge and provide live demos of their work in a non-competitive environment.
Scratch Eguna places the emphasis on the children. Through a learner-centered approach, enables children to lead their own learning process. Considering Scratch knowledge naivety of school teachers, they adopt the role of facilitators, fostering self-learning processes in their students. This approach has been tested over the last three years with very positive results. Consequently, the Scratch community of the Basque Country is bigger than ever and some of the schools are considering to develop programming skills as a part of their curricula. Moreover, Scratch Eguna has been endorsed by the Institute of Educational Technologies and Teachers Training of Spain with the "Best Practices 2.0" award.
Our aim is to continue improving the Scratch Eguna’s methodology to engage more and more people in this participative learning approach. Therefore, this year we will invite students from the 1st Stage of Secondary School to take part in Scratch Eguna in order to show new ways of using Scratch to younger participants. From our perspective, fostering teamwork, creativity, and interest in research are the most valuable outcomes of Scratch Eguna, and we firmly believe our future society will take advantage from them.
El problema de parada y los castores laboriososPablo Garaizar
Charla de introducción al problema de parada y a los "castores laboriosos" dentro de los actos de homenaje a Alan Turing en la Universidad de Deusto con motivo del Alan Turing Year 2012.
Los nuevos paradigmas de computación como el Cloud Computing y los escenarios sugeridos en torno a la Internet del Futuro indican la próxima prevalencia de Web como entorno de ejecución de aplicaciones. Los desarrollos de estándares que posibilitan este cambio tienen a HTML5 como referencia. Sin embargo, a pesar de las múltiples APIs que han sido desarrolladas para igualar o incluso superar a tecnologías web anteriores a este estándar, la funcionalidad de reproducción, generación y análisis de audio está todavía en una fase definitoria en la que varias implementaciones compiten por lograr ser reconocidas como el estándar de facto. En esta presentación repasaremos estas API, aportando explicaciones de su funcionalidad y ejemplos de su uso.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
5. A1 - Injection
SQL, OS, and LDAP injections
https://www.owasp.org/index.php/Top_10_2013-A1
6. SQL Injection
Ha ido evolucionando mucho con los años
● 1998 rain.forest.puppy, "NT Web Technology Vulnerabilities". Phrack Magazine Vol.
8, Issue 54.
● 1999 rain forest puppy, "How I Hacked PacketStorm. A look at hacking wwwthreads
via SQL". Advisory RFP2K01, rfp.labs.
● 2001 David Litchfield, "Web Application Disassembly with ODBC Error Messages",
NGS Software.
● 2002 Chrish Anley, "Advanced SQL Injection", "(more) Advanced SQL Injection",
NGS Software.
● 2002 Cesar Cerrudo, "Manipulating Microsoft SQL Server using SQL Injection".
Application Security.
● 2003 Kevin Spett, "Blind SQL Injection", Spi Dynamics.
● 2003 Ofer Maor, Amichai Shulman, "Blindfolded SQL Injection", Imperva.
7. SQL Injection
Ha ido evolucionando mucho con los años
● 2004 Ofer Maor, Amichai Shulman, "SQL Injection Signatures Evasion", Imperva.
● 2004 Cameron Hotchkies, "Blind SQL Injection Automation Techniques", BlackHat
Conferences.
● 2005 David Litchfield, "Data-mining with SQL Injection and Inference", NGS Software.
● 2007 David Litchfield, "Cursor Injection", NGS Software.
● 2008 David Litchfield, "Lateral SQL Injection: A new Class of Vulnerability in Oracle", NGS
Software.
● 2008 Chema Alonso, José Parada. "Time-Based Blind SQL Injection using heavy queries: A
practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and
Marathon Tool". Informática64, Microsoft.
● 2009 Daniel Kachakil, "Select for XML SQL Injection. Fast data extraction using SQL
injection and XML statements", (dani@kachakil.com)
● ...
8. SQL Injection
Por una comilla de nada...
sql = "SELECT * FROM users WHERE user = '" + userName + "';";
userName -> ' or '1'='1
SELECT * FROM users WHERE user = '' OR '1'='1';
userName -> ';DROP TABLE users;--
SELECT * FROM users WHERE user = '';DROP TABLE users;--'
userName -> ';SELECT * FROM data WHERE name LIKE '%
SELECT * FROM users WHERE user = '';SELECT * FROM data WHERE name
LIKE '%';
9. SQL Injection
Por una comilla de nada...
http://es.xkcd.com/strips/exploits-de-una-madre/
11. SQL Injection
Campos sin comillas (numéricos):
sql = "SELECT * FROM users WHERE id = " + userID + ";";
userID -> 1 OR 1=1
SELECT * FROM users WHERE id = 1 OR 1=1;
userID -> 1;DROP TABLE users
SELECT * FROM users WHERE id = 1;DROP TABLE users;
userID -> 1; SELECT * FROM data WHERE name LIKE '%'
SELECT * FROM users WHERE id = 1;SELECT * FROM data WHERE name
LIKE '%';
12. SQL Injection
A veces no se sabe el número de campos en la tabla: usamos mensajes de error
sql = "SELECT * FROM users WHERE user = " + userName + ";";
userName -> ' HAVING 1=1--
SELECT * FROM users WHERE user = '' HAVING 1=1--';
userName -> ' GROUP BY campo1 HAVING 1=1--
SELECT * FROM users WHERE user = '' GROUP BY campo1 HAVING 1=1--';
userName -> ' GROUP BY campo1, campo2 HAVING 1=1--
SELECT * FROM users WHERE user = '' GROUP BY campo1, campo2 HAVING
1=1--';
13. SQL Injection
Si no hay mensajes de error, Blind SQL Injection
● Si no hay error, se muestra la página normal.
● http://myblog.com/post.asp?id=33 AND 1=1
● SELECT * FROM posts WHERE id = 33 AND 1=1
● Si hay error, se muestra otra página.
● http://myblog.com/post.asp?id=33 AND 1=0
● SELECT * FROM posts WHERE id = 33 AND 1=0
● Google Hacking:
– inurl:"php?id="
– inurl:"asp?id="
19. A3 - Cross-Site Scripting (XSS)
Allows attackers to execute scripts in the victim’s browser
https://www.owasp.org/index.php/Top_10_2013-A3
20. Cross-Site Scripting (XSS)
Diferentes tipos y alcances
● Tipo 0: Basado en DOM.
– Una página maliciosa abre una página local con permisos de Zona
Local y ejecuta código con esas credenciales.
– Típicamente en phising o SPAM.
● Tipo 1: No persistente.
– El más común, necesita Ingeniería Social para explotarse.
– Típicamente en webs de búsquedas, se muestra a su vez la cadena
consultada (si tiene código, será ejecutado).
● Tipo 2: Persistente.
– El código está almacenado en una BD, fichero, o similar.
– No requiere mucha Ingeniería Social para que la víctima lo ejecute.
– Típicamente en foros o similares.
21. Cross-Site Scripting (XSS)
Técnicas de evasión de filtros
● Evitar espacios.
● Listas negras de tags:
– <scr<script>ipt>
● Codificación alternativa:
– <IMG
SRC=javas...>
● Strings con caracteres nulos:
– perl -e 'print "<SCR0IPT>alert("XSS")</SCR0IPT>";' >
out
● XSS en Flash:
– <EMBED SRC="http://ha.ckers.org/xss.swf"
AllowScriptAccess="always"></EMBED>
23. A4 - Insecure Direct Object References
References to an internal implementation object, such as a file, directory, or database key
https://www.owasp.org/index.php/Top_10_2013-A4
27. A6 - Sensitive Data Exposure
Sensitive data deserves extra protection such as encryption
https://www.owasp.org/index.php/Top_10_2013-A6
28. Seguridad a través de la oscuridad
robots.txt
http://www.casareal.es/robots.txt
User-agent: *
Disallow:
Disallow: /_*/
Disallow: /ES/FamiliaReal/Urdangarin/
Disallow: /CA/FamiliaReal/Urdangarin/
Disallow: /EU/FamiliaReal/Urdangarin/
Disallow: /GL/FamiliaReal/Urdangarin/
Disallow: /VA/FamiliaReal/Urdangarin/
Disallow: /EN/FamiliaReal/Urdangarin/
Sitemap: http://www.casareal.es/sitemap.xml
29. Seguridad a través de la oscuridad
Meta-datos: Fear the FOCA!
http://www.informatica64.com/foca.aspx
30. A7 - Missing Function Level Access Control
Attackers are able to forge requests in order to access unauthorized functionality
https://www.owasp.org/index.php/Top_10_2013-A7
32. Proteger el cron en Moodle
Similar para v1.9, 2.x, etc.
http://docs.moodle.org/19/en/Cron
33. A8 - Cross-Site Request Forgery (CSRF)
Forces a logged-on victim’s browser to send a forged HTTP request
https://www.owasp.org/index.php/Top_10_2013-A8
34. Cross-Site Request Forgery (CSRF)
XSRF o "sea-surf"
● Explota la confianza que tiene un sitio en el
navegador de un cliente autenticado.
– El servidor: acepta las credenciales de la sesión de
usuario almacenada en el navegador.
– El cliente: accede a una web que fuerza a su
navegador a realizar acciones no deseadas en un sitio
en el que previamente se ha autenticado.
● Contramedida: tokens específicos en cada
formulario.
36. A9 - Using Components with Known Vulnerabilities
Vulnerable components, such as libraries, frameworks, and other software modules
https://www.owasp.org/index.php/Top_10_2013-A9
38. A10 - Unvalidated Redirects and Forwards
Attackers can redirect victims to phishing or malware sites
https://www.owasp.org/index.php/Top_10_2013-A10
49. Referencias
● OWASP: The Open Web Application Security Project.
● El lado del mal, retos hacking, por Chema Alonso.
● Fear the FOCA! Informática64.
● IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd, por
Soroush Dalili.
● Scriptless Attacks: Stealing the pie without touching the sill, por Mario
Heiderich, Felix Schuster y Marcus Niemietz.
● The Exploit Database.
● Wikipedia.
50. Todas las imágenes son propiedad de
sus respectivos dueños, el resto del
contenido está licenciado bajo
Creative Commons by-sa 3.0