SlideShare una empresa de Scribd logo

Hacking Drupal - Anatomía de una auditoría de seguridad

Z
zekivazquez

Este documento resume una presentación sobre seguridad en Drupal. Explica conceptos clave como OWASP y su guía de pruebas, e ilustra un vector de ataque simple que involucra la detección de un XSS almacenado para robar cookies y luego ejecutar comandos a través de una función PHP desactivada. El documento concluye que la seguridad requiere esfuerzos continuos y formación, y que siempre habrá vulnerabilidades a pesar de seguir las mejores prácticas.

Tecnología
1 de 33
Descargar para leer sin conexión
Sobre mi Formaci´on Ingeniero T´ecnico en Inform´atica - UCA M´aster en Ingenier´ıa del Software - US M´aster en Seguridad de las TIC - US Experiencia 4+ a˜nos como desarrollador web, m´as de 2 en Drupal Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarra) y videojuegos Narrativa fant´astica, rol, cine. . . Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
Introducci´on ¿Qu´e es la seguridad? Confidencialidad Integridad Disponibilidad Autenticaci´on Ezequiel V´azquez De la calle Hacking Drupal
Introducci´on Principios b´asicos Seguridad en profundidad M´ınimo privilegio Eslab´on m´as d´ebil Proporcionalidad Participaci´on universal Integraci´on con ciclo de vida Ezequiel V´azquez De la calle Hacking Drupal
Introducci´on Open Web Application Security Project Fundaci´on sin ´animo de lucro Multitud de proyectos: algo ca´otico Metodolog´ıa de an´alisis de seguridad web Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
La importancia de la seguridad El jefe de proyecto Ezequiel V´azquez De la calle Hacking Drupal
La importancia de la seguridad El proyecto en producci´on Ezequiel V´azquez De la calle Hacking Drupal
La importancia de la seguridad El “hacker” Ezequiel V´azquez De la calle Hacking Drupal
La importancia de la seguridad La vulnerabilidad Ezequiel V´azquez De la calle Hacking Drupal
La importancia de la seguridad El resultado Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
OWASP Testing Guide Estructura Testing framework Cat´alogo de pruebas Enfoque de caja negra C´omo hacer informe Ezequiel V´azquez De la calle Hacking Drupal
Recogida de informaci´on Hacking con buscadores (fichero robots.txt) “Fingerprint” de servidor, framework, versiones. . . Crawlers, spiders, robots. . . Herramientas autom´aticas: Burp, ZAP, Nikto2 Ezequiel V´azquez De la calle Hacking Drupal
Pruebas sobre configuraci´on M´etodos HTTP permitidos (PUT, DELETE, TRACE) Gesti´on de extensiones Configuraci´on de plataforma (Apache, PHP, MySQL. . . ) Revisar backups en el ´arbol web (*.sql, *.bak. . . ) Esc´aner de puertos (Nmap) Firewall/IDS/Web Application Firewall Ezequiel V´azquez De la calle Hacking Drupal
Gesti´on de identidad y autorizaci´on Definici´on de roles (filtros de entrada, permisos asignados) Enumeraci´on de cuentas de usuario (m´odulo views) Ataques de fuerza bruta (Hydra, m´odulos de Captcha) Referencias inseguras (cambiar [nid] en /node/[nid]) Ezequiel V´azquez De la calle Hacking Drupal
Autenticaci´on Credenciales por canal inseguro (MitM, m´odulo securepages) Pol´ıtica de contrase˜nas d´ebil (m´odulo password policy) Recordar contrase˜nas: ¿se vuelve a enviar la pass? Sistema de autenticaci´on (Drupal Ok, pero ¿modificado?) Ezequiel V´azquez De la calle Hacking Drupal
Gesti´on de la sesi´on Duraci´on de la sesi´on (session expire y autologoff ) Gesti´on de cookies (cifrado, atributos httpOnly y Secure) Robo de cookie de sesi´on = Robo de identidad Cross Site Request Forgery (no s´olo forms) Ezequiel V´azquez De la calle Hacking Drupal
Validaci´on de datos de entrada Cross Site Scripting SQL injection Poluci´on de par´ametros HTTP Inyecci´on de c´odigo Subida de ficheros En Drupal: filter xss db query check plain check markup check url Ezequiel V´azquez De la calle Hacking Drupal
Gesti´on de errores Exposici´on de c´odigos y textos de error Exposici´on de trazas Ezequiel V´azquez De la calle Hacking Drupal
M´as testing. . . Criptograf´ıa d´ebil Heartbleed Errores en l´ogica de negocio Tests en lado de cliente No solo web. . . Ezequiel V´azquez De la calle Hacking Drupal
Vulnerabilidades m´as comunes Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
Un vector de ataque simple Detecci´on de XSS almacenado (filtro “Full HTML”) Inyectar JS que env´ıa cookies a atacante (SOP, httpOnly) Atacante inyecta cookie en su navegador Ezequiel V´azquez De la calle Hacking Drupal
Un vector de ataque simple Activaci´on de m´odulo “PHP filter” Modificar nodo para que use este filtro Ejecutar comandos de sistema desde PHP (disable functions) Lanzar shell reversa con netcat (cortafuegos saliente) Ezequiel V´azquez De la calle Hacking Drupal
Un vector de ataque simple ¡Demo time! Ezequiel V´azquez De la calle Hacking Drupal
Un vector de ataque simple A partir de aqu´ı. . . Escalado de privilegios para obtener root (CVE-2014-0196) Persistencia del acceso T´ecnica de pivoting: escanear red interna ¡En la imaginaci´on (y en el contrato) est´a el l´ımite! Ezequiel V´azquez De la calle Hacking Drupal
´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
En resumen. . . Responsabilidad de todos Seguridad en todo el ciclo de vida Seguir las buenas pr´acticas Siempre habr´a fallos de seguridad La importancia de la formaci´on Ezequiel V´azquez De la calle Hacking Drupal
En resumen. . . Ezequiel V´azquez De la calle Hacking Drupal
Esto es todo, amigos... ¡Gracias! @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´azquez De la calle Hacking Drupal

Recomendados

Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Alejandro Ramos
 
Ponencia sql avanzado y automatizado
Ponencia sql avanzado y automatizadoPonencia sql avanzado y automatizado
Ponencia sql avanzado y automatizado
n3xasec
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
Adrián Lois
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
Toni Escamilla Pardo
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
Juan Eladio Sánchez Rosas
 

Recomendados

Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Alejandro Ramos
 
Ponencia sql avanzado y automatizado
Ponencia sql avanzado y automatizadoPonencia sql avanzado y automatizado
Ponencia sql avanzado y automatizado
n3xasec
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
Adrián Lois
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
Toni Escamilla Pardo
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
Juan Eladio Sánchez Rosas
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
Gema López
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
Carlos Ansotegui Pardo
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracion
rodmonroyd
 
Practica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñasPractica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñas
Ana Olvera
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
Homero de la Barra
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Francisco Medina
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
Websec México, S.C.
 
Presentacion de empresas - pedro cabrera
Presentacion de empresas - pedro cabreraPresentacion de empresas - pedro cabrera
Presentacion de empresas - pedro cabrera
pedroocabrera
 
Small business websites
Small business websitesSmall business websites
Small business websites
Pete S
 
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Stiftung Careum
 
LienApp™ Introduction
LienApp™ IntroductionLienApp™ Introduction
LienApp™ Introduction
VADAR Systems
 
Information as power
Information as power Information as power
Information as power
Mousselmal Tarik
 
The truth information, power, upgrades.
The truth information, power, upgrades.The truth information, power, upgrades.
The truth information, power, upgrades.
Marie Alcock
 
The Power of Visual Content
The Power of Visual ContentThe Power of Visual Content
The Power of Visual Content
Sally Falkow
 
Richard Stirling - Power of Information TF
Richard Stirling - Power of Information TFRichard Stirling - Power of Information TF
Richard Stirling - Power of Information TF
osimod
 
Information is Power
Information is PowerInformation is Power
Information is Power
zekivazquez
 
The Power of Visual Information
The Power of Visual InformationThe Power of Visual Information
The Power of Visual Information
Teun Spierings
 
The Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
The Art of Visual Marketing by Peg Fitzpatrick and Guy KawasakiThe Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
The Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
Peg Fitzpatrick
 
Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0
Judy O'Connell
 

Más contenido relacionado

La actualidad más candente

CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
Gema López
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Practica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñasPractica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñas
Ana Olvera
 

La actualidad más candente (10)

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracion
 
Practica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñasPractica 2 extraccion de contraseñas
Practica 2 extraccion de contraseñas
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 

Destacado

Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Stiftung Careum
 
Richard Stirling - Power of Information TF
Richard Stirling - Power of Information TFRichard Stirling - Power of Information TF
Richard Stirling - Power of Information TF
osimod
 
Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0
Judy O'Connell
 
Component Of Communication
Component Of CommunicationComponent Of Communication
Component Of Communication
PKT
 
Why Our Content SUCKS
Why Our Content SUCKSWhy Our Content SUCKS
Why Our Content SUCKS
Jonathon Colman
 

Destacado (20)

Presentacion de empresas - pedro cabrera
Presentacion de empresas - pedro cabreraPresentacion de empresas - pedro cabrera
Presentacion de empresas - pedro cabrera
 
Small business websites
Small business websitesSmall business websites
Small business websites
 
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
Edgard Eeckman: Is internet health information an answer to the doctor's aesc...
 
LienApp™ Introduction
LienApp™ IntroductionLienApp™ Introduction
LienApp™ Introduction
 
Information as power
Information as power Information as power
Information as power
 
The truth information, power, upgrades.
The truth information, power, upgrades.The truth information, power, upgrades.
The truth information, power, upgrades.
 
The Power of Visual Content
The Power of Visual ContentThe Power of Visual Content
The Power of Visual Content
 
Richard Stirling - Power of Information TF
Richard Stirling - Power of Information TFRichard Stirling - Power of Information TF
Richard Stirling - Power of Information TF
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
The Power of Visual Information
The Power of Visual InformationThe Power of Visual Information
The Power of Visual Information
 
The Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
The Art of Visual Marketing by Peg Fitzpatrick and Guy KawasakiThe Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
The Art of Visual Marketing by Peg Fitzpatrick and Guy Kawasaki
 
Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0Taming Information Chaos with the Power of 2.0
Taming Information Chaos with the Power of 2.0
 
Knowledge is power - why is knowledge management critical to any company
Knowledge is power - why is knowledge management critical to any companyKnowledge is power - why is knowledge management critical to any company
Knowledge is power - why is knowledge management critical to any company
 
Communication. Arun.Vi
Communication. Arun.ViCommunication. Arun.Vi
Communication. Arun.Vi
 
Component Of Communication
Component Of CommunicationComponent Of Communication
Component Of Communication
 
Knowledge is power
Knowledge is powerKnowledge is power
Knowledge is power
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Understanding Digital Citizenship & Identity - Updated March 14
Understanding Digital Citizenship & Identity - Updated March 14Understanding Digital Citizenship & Identity - Updated March 14
Understanding Digital Citizenship & Identity - Updated March 14
 
The Conquest of the American West
The Conquest of the American WestThe Conquest of the American West
The Conquest of the American West
 
Why Our Content SUCKS
Why Our Content SUCKSWhy Our Content SUCKS
Why Our Content SUCKS
 

Similar a Hacking Drupal - Anatomía de una auditoría de seguridad

Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Pen test: El arte de la guerra
Pen test: El arte de la guerraPen test: El arte de la guerra
Pen test: El arte de la guerra
Futura Networks
 
Ethical hacking udem
Ethical hacking udemEthical hacking udem
Ethical hacking udem
Udem
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 

Similar a Hacking Drupal - Anatomía de una auditoría de seguridad (20)

Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Pen test: El arte de la guerra
Pen test: El arte de la guerraPen test: El arte de la guerra
Pen test: El arte de la guerra
 
Seguridad so pii_2011
Seguridad so pii_2011Seguridad so pii_2011
Seguridad so pii_2011
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Troyanos
TroyanosTroyanos
Troyanos
 
Ethical hacking udem
Ethical hacking udemEthical hacking udem
Ethical hacking udem
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Pruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open SourcePruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open Source
 
Mod security
Mod securityMod security
Mod security
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Más de zekivazquez

Más de zekivazquez (7)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 

Hacking Drupal - Anatomía de una auditoría de seguridad

  • 1.
  • 2. Sobre mi Formaci´on Ingeniero T´ecnico en Inform´atica - UCA M´aster en Ingenier´ıa del Software - US M´aster en Seguridad de las TIC - US Experiencia 4+ a˜nos como desarrollador web, m´as de 2 en Drupal Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarra) y videojuegos Narrativa fant´astica, rol, cine. . . Ezequiel V´azquez De la calle Hacking Drupal
  • 3. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 4. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 5. Introducci´on ¿Qu´e es la seguridad? Confidencialidad Integridad Disponibilidad Autenticaci´on Ezequiel V´azquez De la calle Hacking Drupal
  • 6. Introducci´on Principios b´asicos Seguridad en profundidad M´ınimo privilegio Eslab´on m´as d´ebil Proporcionalidad Participaci´on universal Integraci´on con ciclo de vida Ezequiel V´azquez De la calle Hacking Drupal
  • 7. Introducci´on Open Web Application Security Project Fundaci´on sin ´animo de lucro Multitud de proyectos: algo ca´otico Metodolog´ıa de an´alisis de seguridad web Ezequiel V´azquez De la calle Hacking Drupal
  • 8. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 9. La importancia de la seguridad El jefe de proyecto Ezequiel V´azquez De la calle Hacking Drupal
  • 10. La importancia de la seguridad El proyecto en producci´on Ezequiel V´azquez De la calle Hacking Drupal
  • 11. La importancia de la seguridad El “hacker” Ezequiel V´azquez De la calle Hacking Drupal
  • 12. La importancia de la seguridad La vulnerabilidad Ezequiel V´azquez De la calle Hacking Drupal
  • 13. La importancia de la seguridad El resultado Ezequiel V´azquez De la calle Hacking Drupal
  • 14. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 15. OWASP Testing Guide Estructura Testing framework Cat´alogo de pruebas Enfoque de caja negra C´omo hacer informe Ezequiel V´azquez De la calle Hacking Drupal
  • 16. Recogida de informaci´on Hacking con buscadores (fichero robots.txt) “Fingerprint” de servidor, framework, versiones. . . Crawlers, spiders, robots. . . Herramientas autom´aticas: Burp, ZAP, Nikto2 Ezequiel V´azquez De la calle Hacking Drupal
  • 17. Pruebas sobre configuraci´on M´etodos HTTP permitidos (PUT, DELETE, TRACE) Gesti´on de extensiones Configuraci´on de plataforma (Apache, PHP, MySQL. . . ) Revisar backups en el ´arbol web (*.sql, *.bak. . . ) Esc´aner de puertos (Nmap) Firewall/IDS/Web Application Firewall Ezequiel V´azquez De la calle Hacking Drupal
  • 18. Gesti´on de identidad y autorizaci´on Definici´on de roles (filtros de entrada, permisos asignados) Enumeraci´on de cuentas de usuario (m´odulo views) Ataques de fuerza bruta (Hydra, m´odulos de Captcha) Referencias inseguras (cambiar [nid] en /node/[nid]) Ezequiel V´azquez De la calle Hacking Drupal
  • 19. Autenticaci´on Credenciales por canal inseguro (MitM, m´odulo securepages) Pol´ıtica de contrase˜nas d´ebil (m´odulo password policy) Recordar contrase˜nas: ¿se vuelve a enviar la pass? Sistema de autenticaci´on (Drupal Ok, pero ¿modificado?) Ezequiel V´azquez De la calle Hacking Drupal
  • 20. Gesti´on de la sesi´on Duraci´on de la sesi´on (session expire y autologoff ) Gesti´on de cookies (cifrado, atributos httpOnly y Secure) Robo de cookie de sesi´on = Robo de identidad Cross Site Request Forgery (no s´olo forms) Ezequiel V´azquez De la calle Hacking Drupal
  • 21. Validaci´on de datos de entrada Cross Site Scripting SQL injection Poluci´on de par´ametros HTTP Inyecci´on de c´odigo Subida de ficheros En Drupal: filter xss db query check plain check markup check url Ezequiel V´azquez De la calle Hacking Drupal
  • 22. Gesti´on de errores Exposici´on de c´odigos y textos de error Exposici´on de trazas Ezequiel V´azquez De la calle Hacking Drupal
  • 23. M´as testing. . . Criptograf´ıa d´ebil Heartbleed Errores en l´ogica de negocio Tests en lado de cliente No solo web. . . Ezequiel V´azquez De la calle Hacking Drupal
  • 24. Vulnerabilidades m´as comunes Ezequiel V´azquez De la calle Hacking Drupal
  • 25. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 26. Un vector de ataque simple Detecci´on de XSS almacenado (filtro “Full HTML”) Inyectar JS que env´ıa cookies a atacante (SOP, httpOnly) Atacante inyecta cookie en su navegador Ezequiel V´azquez De la calle Hacking Drupal
  • 27. Un vector de ataque simple Activaci´on de m´odulo “PHP filter” Modificar nodo para que use este filtro Ejecutar comandos de sistema desde PHP (disable functions) Lanzar shell reversa con netcat (cortafuegos saliente) Ezequiel V´azquez De la calle Hacking Drupal
  • 28. Un vector de ataque simple ¡Demo time! Ezequiel V´azquez De la calle Hacking Drupal
  • 29. Un vector de ataque simple A partir de aqu´ı. . . Escalado de privilegios para obtener root (CVE-2014-0196) Persistencia del acceso T´ecnica de pivoting: escanear red interna ¡En la imaginaci´on (y en el contrato) est´a el l´ımite! Ezequiel V´azquez De la calle Hacking Drupal
  • 30. ´Indice 1 Introducci´on 2 Importancia de la seguridad 3 OWASP Testing Guide 4 Vector de ataque simple 5 Conclusiones Ezequiel V´azquez De la calle Hacking Drupal
  • 31. En resumen. . . Responsabilidad de todos Seguridad en todo el ciclo de vida Seguir las buenas pr´acticas Siempre habr´a fallos de seguridad La importancia de la formaci´on Ezequiel V´azquez De la calle Hacking Drupal
  • 32. En resumen. . . Ezequiel V´azquez De la calle Hacking Drupal
  • 33. Esto es todo, amigos... ¡Gracias! @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´azquez De la calle Hacking Drupal