SlideShare una empresa de Scribd logo

Cómo son hackeados los sitios web: los principales vectores de ataque

Salvador Aguilar [ L.I.O.N ]
Salvador Aguilar [ L.I.O.N ]

Presentación para WPNicaragua.org - Meetup Mayo 2016

Tecnología
1 de 39
Descargar para leer sin conexión
BIENVENIDOS! Una charla de Salvador Aguilar @riper81 sal.aguilar81@gmail.com salrocks.wordpress.com COMO SON HACKIADOS LOS SITIOS WEB
Organización de esta charla COMO SON HACKIADOS LOS SITIOS WEB 1. ¿Quién es Salvador Aguilar? 2. ¿Para quien es esta charla? 3. Estadisticas generales 4. Tipos de infección & los impactos 5. Un ambiente complejo 6. Tipos de ataques 7. Flujo de los ataques 8. Vectores de ataque 9. ¿Pensando sobre seguridad? 10. Preguntas y respuestas
COMO SON HACKIADOS LOS SITIOS WEB • Papá de un niño de 8 y una niña de 1.5 años. • Entusiasta de Wordpress. • Con experiencia trabajando para empresas como SEARS Mexico, Site5.com & Sucuri.net • Analista de seguridad en Sucuri.net • Implementadorde Wordpress • CoFundador & SysAdmin de SenorCoders.com Quién es Salvador Aguilar?
Para quien es esta charla? COMO SON HACKIADOS LOS SITIOS WEB • Para cualquier persona que tiene un sitio web • Para profesioanles que diseñan sitios web • Para personas que han sido infectadas • Para personas que tienen su stiio web en una lista negra • Para personas que quieren saber como los hackiaron • Para personas que quieren saber sobre los diferentes vectores de ataque
Estadísticas Generales COMO SON HACKIADOS LOS SITIOS WEB ABRIL 2016 = 1.02 Billones de Sitios Web Sitios web con CMS Cobertura de CMS 33% 73%
Estadísticas sobre Wordpress COMO SON HACKIADOS LOS SITIOS WEB 25% MOTOR DE LA WEB EL CMS + POPULAR 59% VS LOS DEMAS MUCHOS PLUGINS 42000+ Gratis y más de 100 Plugins PREMIUM
Estadísticas de Infecciones: Enero – Marzo 2016 COMO SON HACKIADOS LOS SITIOS WEB 11,000 Sitios Web infectados 75% à Wordpress (8250) 50% Wordress Desactualizados +80% Sitios web infectados à desactualizados +
Estadísticas de Google COMO SON HACKIADOS LOS SITIOS WEB 50 Millones de Warnings Sitios web x semana en Lista Negra x Malware Sitios web x semana en Lista Negra Phishing 20,000 50,000 95% Reducción de tráfico
Estadísticas sobre Plugins de Wordpress COMO SON HACKIADOS LOS SITIOS WEB • RevSlider representa el 10% del total de las infecciones. • El bug de TimThumb tiene 4 años de estar afectando sitios web. • El problema de RevSlider es que viene incrustado en themes pagados.
Más estadísticas sobre infecciones COMO SON HACKIADOS LOS SITIOS WEB
Más estadísticas sobre infecciones COMO SON HACKIADOS LOS SITIOS WEB
Tipos de Infección COMO SON HACKIADOS LOS SITIOS WEB Malware Envenamiento de resultados de búsqueda Phishing DDoS/Bots/Backdoors
Tipos de Infección COMO SON HACKIADOS LOS SITIOS WEB • Spam Email • Defacement • Ransomware
Los Impactos del compromiso de tu sitio web COMO SON HACKIADOS LOS SITIOS WEB COMERCIALES TECNICOS
Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Computadora: Trojanos, keyloggers, computadora desenllavada, etc LAN/WIF: Sniffers, traffic loggers, etc User: Passwords inseguros, passwords en postips, agendas, etc.
Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Wordpress: XSS, SQL Enjections fingerprinting cPanel: bugs, cross site contamination, etc.
Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Linux: bugs en kernel. Fingerprinting, password debil root. Librerias: bus como Imagemagick, ssl, etc Windows: bugs, fingerprinting. PHP: bugs, write permissions. etc
Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Acceso a los servidores Puertos USB Port Hijacking, IP Hi jacking etc. Redes: Sniffing, DDoS
Un ambiente seguro COMO SON HACKIADOS LOS SITIOS WEB Tiene que tener políticas seguras en cada ambiente
O seremos víctimas de… COMO SON HACKIADOS LOS SITIOS WEB
Tienen alguna pregunta hasta ahora? COMO SON HACKIADOS LOS SITIOS WEB NO? Ok sigamos… (hora de tomar un poco agua)
Tipos de ataque COMO SON HACKIADOS LOS SITIOS WEB • Ocurre 0.01% de las veces • Hay un objetivo especifico • No se conoce la vulnerabilidad al inicio, sino que se define despues de pruebas • Automatizadao Manual • Alto nivel de expertise o habilidades • Motivos personales: politicos, rivales/competencia, odio, financieros. • Ocurre 99.99% de las veces • No hay un objetivo especifico • Se ataca una vulnerabilidad especifica conocida. • Mayoritariamente automatizada • Nivel bajo/intermedio de habilidades • No es personal Ataques Dirigidos Ataques Oportunistas
Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB Reconocimiento Identificación Explotación de vulnerabilidad Sustentabilidad Compromiso Limpieza
Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB FASE ATAQUE DIRIGIDO ATAQUE OPORTUNISTA RECONOCIMIENTO Explorar un ambiente especifico Explorar la web por un problema especifico IDENTIFICACION Identificar los posibles vectores de ataque en la red Ocurre en la fase de reconocimiento EXPLOTACION DE VULNERABILIDAD Explota vulnerabiliades basada en los servicios que contenga el ambiente Explota vulnerabilidades conocidas SUSTENTABILIDAD Aseguramiento de que el atacante pueda seguir entrando al sistema COMPROMISO Cumplir objectivo LIMPIEZA Reducir probabilidades de deteccion y borar huellas N/D
Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB FASE CONSIDERACIONES CONTROLES DE SEG. RECONOCIMIENTO ¿Como estamos reduciendo la superficie de ataque? Desactivar servicios/sitios web sin uso, puertos, aplicaciones. IDENTIFICACION ¿Cómo sabemos que hay vulnerabilidades? Administración de Vulnerabilidades (wpscan, sitecheck, etc) EXPLOTACION DE VULNERABILIDAD ¿Cómo estámos mitigando los intentos de explotar vulnerabilidades? Usar un WAF/IPS basado en la nube SUSTENTABILIDAD ¿Cómo sabemos que no hay backdoors? Usar sistemas IDS COMPROMISO ¿Cómo sabemos que no estamos comprometidos? Usar IDS para revisar integridad del sistema LIMPIEZA ¿Estamos reteniendo las bitacoras remotamente y backups? Revision de logs y realización de backups
¿Cómo son hackiados los sitios web? COMO SON HACKIADOS LOS SITIOS WEB Control de Acceso Vulnerabilidades de Software Contaminación cruzada de sitios Integración con aplicaciones de 3ros Hosting
Control de Acceso COMO SON HACKIADOS LOS SITIOS WEB • Se refiere al como se accesa a ciertas areas, lugares o cosas • El control de Acceso a sitios web se extiende a todas las aplicaciones que brindanalgún tipo de acceso al ambiente web • Panel de control del CMS (WP-ADMIN) • Panel control de hosting (cPanel, Plesk, Parallels, etc) • Nodos de acceso (SSH, sFTP, Email, etc) • Cuando pensemos en control de acceso, pensemos mas allá del sitio web o ambiente aplicativo. • Los ataques al Control de Acceso vienen en forma de ataques bruteforce.
Vulnerabilidades de Software COMO SON HACKIADOS LOS SITIOS WEB • Se refiere los bugs en el código de los aplicativos que pueden ser abusados. Incluyen cosas como: • Inyección SQL, Cross-Site Scripting (XSS), Remote Code Execution (RCE), Remote File Intrusion (RFI), etc. • Los CMS luchan con las vulnerabilidades de sus extensiones: plugins, temas, modulos, componentes, etc. • Sugerencia familiarizarse con los proyectos y suscribirse a alertas de seguridad.
Contaminación Cruzada de sitios web COMO SON HACKIADOS LOS SITIOS WEB • Se refiere al movimiento lateral de las infecciones una vez que entra a un servidor. • Este es un ataque interno y no externo. El atacante entra al servidor a travez de un sitio vulnerable y luego lo usa como pie de amigo para infectar el resto de lo sitios web en el servidor. • Es la razón #1 para la reinfección de sitios web, los propiertarios de sitios web se de concentran en el sitio web afectado y los sintomas, pero no revisan los sitios web que no muestran señales externas o visibles de compromiso. • Este método es super exitoso en los ambientes que no utilizan métodos funcionales de aislamient en el servidor, o que usan los permisos o configuraciones incorrectas.
Integración con 3ros COMO SON HACKIADOS LOS SITIOS WEB • Se refiere un sin numero de cosas, pero últimamente lo más prevalente son los servicios de Anuncios (Ads) y sus networks de anuncios asociados. • Estas integraciones introducen un eslabon debil en la cadena de seguridad. Estos Networks de Anuncios son atacados, infectados y utilizados para penetrar otros sitios web. Malvertising. • Malvertising, es el acto de manipular los anunciospara distribuir malware, a menudo en la forma de redireccionamiento maligno y downloads no solicitados. • Son extremadamente dificiles de detectar debido a su naturaleza condicional, y que están fuera del ambiente del sitio web.
Hosting COMO SON HACKIADOS LOS SITIOS WEB • Hace muchos años que no se ha dado un compromiso masivo de un proveedor de shared hosting grande. La última vez fue GoDaddy en 2011 (.htaccess redirect ) • El mayor problema en nuestros días, no son estos proveedores, sino organizaciones que intentan ofrecer una solución completa: Marketing, Desarrollo, Seguridad, Hosting, SEO, etc. • Proveedores con poca experencia que introducen confusión y ruido un ecosistema de por si ya saturado. • Saben lo suficiente para ser peligrosos, pero les faltan habilidades y conocimiento • Contribuyen a un gran numero de contaminación cruzada debido a malas configuraciones.
¿Pensando sobre seguridad? COMO SON HACKIADOS LOS SITIOS WEB Ideas sobre como mejorar tu postura sobre seguridad en sitios web
COMO SON HACKIADOS LOS SITIOS WEB La SEGURIDAD no es un proceso estático, Es un PROCESO CONTINUO
COMO SON HACKIADOS LOS SITIOS WEB Protección DetecciónRespuesta MANTENIMIENTO MEJORES PRACTICAS O PRINCIPIOS
COMO SON HACKIADOS LOS SITIOS WEB La tecnología NUNCA REEMPLAZARA tu responsabilidad como dueño de un sitio web
COMO SON HACKIADOS LOS SITIOS WEB Personas Procesos Tecnología SEGURIDAD
COMO SON HACKIADOS LOS SITIOS WEB La seguridad NO ES un Proyecto Hazlo Tu Mismo (DIY – Do It Yourself)
COMO SON HACKIADOS LOS SITIOS WEB
COMO SON HACKIADOS LOS SITIOS WEB P & RPreguntas y Respuestas

Recomendados

Listas Negras: ¿Qué son y como afectan tu sitio WordPress?
Listas Negras: ¿Qué son y como afectan tu sitio WordPress?Listas Negras: ¿Qué son y como afectan tu sitio WordPress?
Listas Negras: ¿Qué son y como afectan tu sitio WordPress?Salvador Aguilar [ L.I.O.N ]
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Building mobile apps with Wordpress REST API
Building mobile apps with Wordpress REST APIBuilding mobile apps with Wordpress REST API
Building mobile apps with Wordpress REST APISalvador Aguilar [ L.I.O.N ]
 
Convierte tu WordPress en una app con React Native
Convierte tu WordPress en una app con React NativeConvierte tu WordPress en una app con React Native
Convierte tu WordPress en una app con React NativeJoan Artés
 
Como limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRComo limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRSucuri
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
 

Recomendados

Listas Negras: ¿Qué son y como afectan tu sitio WordPress?
Listas Negras: ¿Qué son y como afectan tu sitio WordPress?Listas Negras: ¿Qué son y como afectan tu sitio WordPress?
Listas Negras: ¿Qué son y como afectan tu sitio WordPress?Salvador Aguilar [ L.I.O.N ]
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Building mobile apps with Wordpress REST API
Building mobile apps with Wordpress REST APIBuilding mobile apps with Wordpress REST API
Building mobile apps with Wordpress REST APISalvador Aguilar [ L.I.O.N ]
 
Convierte tu WordPress en una app con React Native
Convierte tu WordPress en una app con React NativeConvierte tu WordPress en una app con React Native
Convierte tu WordPress en una app con React NativeJoan Artés
 
Como limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRComo limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRSucuri
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
tipos de seguridad
tipos de seguridadtipos de seguridad
tipos de seguridadWilson Cardenas
 
seguridad en pymes
seguridad en pymesseguridad en pymes
seguridad en pymesWilson Cardenas
 
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSeguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSucuri
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyectoFernando Solis
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Alonso Caballero
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012Henry Troncoso
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Más contenido relacionado

Similar a Cómo son hackeados los sitios web: los principales vectores de ataque

Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSeguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSucuri
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Alonso Caballero
 

Similar a Cómo son hackeados los sitios web: los principales vectores de ataque (20)

Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones Web
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
tipos de seguridad
tipos de seguridadtipos de seguridad
tipos de seguridad
 
seguridad en pymes
seguridad en pymesseguridad en pymes
seguridad en pymes
 
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSeguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)Webinar Gratuito: Cross-Site Scripting (XSS)
Webinar Gratuito: Cross-Site Scripting (XSS)
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012
 

Último

Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Último (15)

Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Cómo son hackeados los sitios web: los principales vectores de ataque

  • 2. Organización de esta charla COMO SON HACKIADOS LOS SITIOS WEB 1. ¿Quién es Salvador Aguilar? 2. ¿Para quien es esta charla? 3. Estadisticas generales 4. Tipos de infección & los impactos 5. Un ambiente complejo 6. Tipos de ataques 7. Flujo de los ataques 8. Vectores de ataque 9. ¿Pensando sobre seguridad? 10. Preguntas y respuestas
  • 3. COMO SON HACKIADOS LOS SITIOS WEB • Papá de un niño de 8 y una niña de 1.5 años. • Entusiasta de Wordpress. • Con experiencia trabajando para empresas como SEARS Mexico, Site5.com & Sucuri.net • Analista de seguridad en Sucuri.net • Implementadorde Wordpress • CoFundador & SysAdmin de SenorCoders.com Quién es Salvador Aguilar?
  • 4. Para quien es esta charla? COMO SON HACKIADOS LOS SITIOS WEB • Para cualquier persona que tiene un sitio web • Para profesioanles que diseñan sitios web • Para personas que han sido infectadas • Para personas que tienen su stiio web en una lista negra • Para personas que quieren saber como los hackiaron • Para personas que quieren saber sobre los diferentes vectores de ataque
  • 5. Estadísticas Generales COMO SON HACKIADOS LOS SITIOS WEB ABRIL 2016 = 1.02 Billones de Sitios Web Sitios web con CMS Cobertura de CMS 33% 73%
  • 6. Estadísticas sobre Wordpress COMO SON HACKIADOS LOS SITIOS WEB 25% MOTOR DE LA WEB EL CMS + POPULAR 59% VS LOS DEMAS MUCHOS PLUGINS 42000+ Gratis y más de 100 Plugins PREMIUM
  • 7. Estadísticas de Infecciones: Enero – Marzo 2016 COMO SON HACKIADOS LOS SITIOS WEB 11,000 Sitios Web infectados 75% à Wordpress (8250) 50% Wordress Desactualizados +80% Sitios web infectados à desactualizados +
  • 8. Estadísticas de Google COMO SON HACKIADOS LOS SITIOS WEB 50 Millones de Warnings Sitios web x semana en Lista Negra x Malware Sitios web x semana en Lista Negra Phishing 20,000 50,000 95% Reducción de tráfico
  • 9. Estadísticas sobre Plugins de Wordpress COMO SON HACKIADOS LOS SITIOS WEB • RevSlider representa el 10% del total de las infecciones. • El bug de TimThumb tiene 4 años de estar afectando sitios web. • El problema de RevSlider es que viene incrustado en themes pagados.
  • 12. Tipos de Infección COMO SON HACKIADOS LOS SITIOS WEB Malware Envenamiento de resultados de búsqueda Phishing DDoS/Bots/Backdoors
  • 13. Tipos de Infección COMO SON HACKIADOS LOS SITIOS WEB • Spam Email • Defacement • Ransomware
  • 14. Los Impactos del compromiso de tu sitio web COMO SON HACKIADOS LOS SITIOS WEB COMERCIALES TECNICOS
  • 15. Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Computadora: Trojanos, keyloggers, computadora desenllavada, etc LAN/WIF: Sniffers, traffic loggers, etc User: Passwords inseguros, passwords en postips, agendas, etc.
  • 16. Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Wordpress: XSS, SQL Enjections fingerprinting cPanel: bugs, cross site contamination, etc.
  • 17. Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Linux: bugs en kernel. Fingerprinting, password debil root. Librerias: bus como Imagemagick, ssl, etc Windows: bugs, fingerprinting. PHP: bugs, write permissions. etc
  • 18. Un Ambiente Complejo COMO SON HACKIADOS LOS SITIOS WEB Acceso a los servidores Puertos USB Port Hijacking, IP Hi jacking etc. Redes: Sniffing, DDoS
  • 19. Un ambiente seguro COMO SON HACKIADOS LOS SITIOS WEB Tiene que tener políticas seguras en cada ambiente
  • 20. O seremos víctimas de… COMO SON HACKIADOS LOS SITIOS WEB
  • 21. Tienen alguna pregunta hasta ahora? COMO SON HACKIADOS LOS SITIOS WEB NO? Ok sigamos… (hora de tomar un poco agua)
  • 22. Tipos de ataque COMO SON HACKIADOS LOS SITIOS WEB • Ocurre 0.01% de las veces • Hay un objetivo especifico • No se conoce la vulnerabilidad al inicio, sino que se define despues de pruebas • Automatizadao Manual • Alto nivel de expertise o habilidades • Motivos personales: politicos, rivales/competencia, odio, financieros. • Ocurre 99.99% de las veces • No hay un objetivo especifico • Se ataca una vulnerabilidad especifica conocida. • Mayoritariamente automatizada • Nivel bajo/intermedio de habilidades • No es personal Ataques Dirigidos Ataques Oportunistas
  • 23. Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB Reconocimiento Identificación Explotación de vulnerabilidad Sustentabilidad Compromiso Limpieza
  • 24. Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB FASE ATAQUE DIRIGIDO ATAQUE OPORTUNISTA RECONOCIMIENTO Explorar un ambiente especifico Explorar la web por un problema especifico IDENTIFICACION Identificar los posibles vectores de ataque en la red Ocurre en la fase de reconocimiento EXPLOTACION DE VULNERABILIDAD Explota vulnerabiliades basada en los servicios que contenga el ambiente Explota vulnerabilidades conocidas SUSTENTABILIDAD Aseguramiento de que el atacante pueda seguir entrando al sistema COMPROMISO Cumplir objectivo LIMPIEZA Reducir probabilidades de deteccion y borar huellas N/D
  • 25. Flujo del ataque COMO SON HACKIADOS LOS SITIOS WEB FASE CONSIDERACIONES CONTROLES DE SEG. RECONOCIMIENTO ¿Como estamos reduciendo la superficie de ataque? Desactivar servicios/sitios web sin uso, puertos, aplicaciones. IDENTIFICACION ¿Cómo sabemos que hay vulnerabilidades? Administración de Vulnerabilidades (wpscan, sitecheck, etc) EXPLOTACION DE VULNERABILIDAD ¿Cómo estámos mitigando los intentos de explotar vulnerabilidades? Usar un WAF/IPS basado en la nube SUSTENTABILIDAD ¿Cómo sabemos que no hay backdoors? Usar sistemas IDS COMPROMISO ¿Cómo sabemos que no estamos comprometidos? Usar IDS para revisar integridad del sistema LIMPIEZA ¿Estamos reteniendo las bitacoras remotamente y backups? Revision de logs y realización de backups
  • 26. ¿Cómo son hackiados los sitios web? COMO SON HACKIADOS LOS SITIOS WEB Control de Acceso Vulnerabilidades de Software Contaminación cruzada de sitios Integración con aplicaciones de 3ros Hosting
  • 27. Control de Acceso COMO SON HACKIADOS LOS SITIOS WEB • Se refiere al como se accesa a ciertas areas, lugares o cosas • El control de Acceso a sitios web se extiende a todas las aplicaciones que brindanalgún tipo de acceso al ambiente web • Panel de control del CMS (WP-ADMIN) • Panel control de hosting (cPanel, Plesk, Parallels, etc) • Nodos de acceso (SSH, sFTP, Email, etc) • Cuando pensemos en control de acceso, pensemos mas allá del sitio web o ambiente aplicativo. • Los ataques al Control de Acceso vienen en forma de ataques bruteforce.
  • 28. Vulnerabilidades de Software COMO SON HACKIADOS LOS SITIOS WEB • Se refiere los bugs en el código de los aplicativos que pueden ser abusados. Incluyen cosas como: • Inyección SQL, Cross-Site Scripting (XSS), Remote Code Execution (RCE), Remote File Intrusion (RFI), etc. • Los CMS luchan con las vulnerabilidades de sus extensiones: plugins, temas, modulos, componentes, etc. • Sugerencia familiarizarse con los proyectos y suscribirse a alertas de seguridad.
  • 29. Contaminación Cruzada de sitios web COMO SON HACKIADOS LOS SITIOS WEB • Se refiere al movimiento lateral de las infecciones una vez que entra a un servidor. • Este es un ataque interno y no externo. El atacante entra al servidor a travez de un sitio vulnerable y luego lo usa como pie de amigo para infectar el resto de lo sitios web en el servidor. • Es la razón #1 para la reinfección de sitios web, los propiertarios de sitios web se de concentran en el sitio web afectado y los sintomas, pero no revisan los sitios web que no muestran señales externas o visibles de compromiso. • Este método es super exitoso en los ambientes que no utilizan métodos funcionales de aislamient en el servidor, o que usan los permisos o configuraciones incorrectas.
  • 30. Integración con 3ros COMO SON HACKIADOS LOS SITIOS WEB • Se refiere un sin numero de cosas, pero últimamente lo más prevalente son los servicios de Anuncios (Ads) y sus networks de anuncios asociados. • Estas integraciones introducen un eslabon debil en la cadena de seguridad. Estos Networks de Anuncios son atacados, infectados y utilizados para penetrar otros sitios web. Malvertising. • Malvertising, es el acto de manipular los anunciospara distribuir malware, a menudo en la forma de redireccionamiento maligno y downloads no solicitados. • Son extremadamente dificiles de detectar debido a su naturaleza condicional, y que están fuera del ambiente del sitio web.
  • 31. Hosting COMO SON HACKIADOS LOS SITIOS WEB • Hace muchos años que no se ha dado un compromiso masivo de un proveedor de shared hosting grande. La última vez fue GoDaddy en 2011 (.htaccess redirect ) • El mayor problema en nuestros días, no son estos proveedores, sino organizaciones que intentan ofrecer una solución completa: Marketing, Desarrollo, Seguridad, Hosting, SEO, etc. • Proveedores con poca experencia que introducen confusión y ruido un ecosistema de por si ya saturado. • Saben lo suficiente para ser peligrosos, pero les faltan habilidades y conocimiento • Contribuyen a un gran numero de contaminación cruzada debido a malas configuraciones.
  • 32. ¿Pensando sobre seguridad? COMO SON HACKIADOS LOS SITIOS WEB Ideas sobre como mejorar tu postura sobre seguridad en sitios web
  • 33. COMO SON HACKIADOS LOS SITIOS WEB La SEGURIDAD no es un proceso estático, Es un PROCESO CONTINUO
  • 34. COMO SON HACKIADOS LOS SITIOS WEB Protección DetecciónRespuesta MANTENIMIENTO MEJORES PRACTICAS O PRINCIPIOS
  • 35. COMO SON HACKIADOS LOS SITIOS WEB La tecnología NUNCA REEMPLAZARA tu responsabilidad como dueño de un sitio web
  • 36. COMO SON HACKIADOS LOS SITIOS WEB Personas Procesos Tecnología SEGURIDAD
  • 37. COMO SON HACKIADOS LOS SITIOS WEB La seguridad NO ES un Proyecto Hazlo Tu Mismo (DIY – Do It Yourself)
  • 39. COMO SON HACKIADOS LOS SITIOS WEB P & RPreguntas y Respuestas