ArCert 2009 v0 4

ArCERT
Jornadas de Seguridad
Informtica 2009
La Web desde el ojo de un atacante
Nahuel Grisola
ngrisolia@cybsec.com
02 de Octubre de 2009
Buenos Aires - Argentina
ArCERT Jornadas de Seguridad Informtica
Agenda
Agenda
Introduccin - Intereses y Tendencias
Herramientas
Hostings Compartidos, Google Hacking, Web Cache &

Archive
Evitando dejar rastros de un ataque
Entrenando y Conociendo el Historial de la Web
Casos de Estudio
2
Seguridad en
aplicaciones Web:
Intereses y Tendencias
3
Introduccin
Por que nos interesa la seguridad en Aplicaciones Web?
Internet repleta de aplicaciones Web
Cualquier empresa, desde las pequeas que desean hacerse conocer

hasta las grandes ya conocidas, poseen aplicaciones pblicas
Tendencia a migrar a interfaces Web aplicaciones ya existentes
Qu empresa no posee en su red interna e incluso publicadas en

Internet una gran cantidad de aplicaciones Web que cumplen papeles
fundamentales en la operatoria del da a da?
4
Infraestructura vs. Web Mundos Distintos
Mi servidor Web tiene todos los parches, y corre

detrs de un Firewall. Estoy a salvo?
Mi aplicacin Web no tiene vulnerabilidades, por

ende, no hay posibilidades de ataques cierto?
Tendencia actual
Realizar Testing conjunto, de la aplicacin Web y de la
infraestructura que la soporta
Analizar la interaccin de las vulnerabilidades en
ambos casos
Riesgos por dejar de lado el anlisis del aplicativo Web
o de la Infraestructura que lo soporta
5
Firewalls de aplicaciones Web
Qu es un Web Application Firewall (W.A.F.) ?

Appliance o Server Plugin que filtra o aplica reglas a una transaccin
HTTP.
Reglas basadas en ataques conocidos (ej: XSS o Inyecciones SQL)
En qu nos puede ayudar?
Proteccin contra vulnerabilidades conocidas

Sistemas Legacy
Productos de terceros (cdigo no disponible)
Tendencia hacia el uso de un W.A.F.
Descuidar la seguridad de la aplicacin porque el W.A.F. conoce y

filtra los ataques posibles
Ojo con la lgica de negocio!
6
Frameworks de programacin
Framework de programacin: estructura de soporte definida, mediante la

cual otro proyecto de software puede ser organizado.
La tendencia es creer que por estar desarrollando con un Framework

potente, gil y bien conocido, se garantiza la seguridad de la aplicacin,
lo cual es incorrecto.
Los Frameworks solucionan parte de

las vulnerabilidades conocidas, no
obstante otras, (como las de lgica
de negocio o de aplicacin, etc.)
podran ser pasadas por alto.
7
Anlisis de seguridad manual vs. herramientas automticas
Qu podra detectar un anlisis automtico?
Qu podra detectar un consultor especializado?
Falsos Positivos, Falsos Negativos
Errores de lgica de negocios
Vulnerabilidades y ataques de mayor

complejidad no detectados
La correcta combinacin de ambos mundos es la prctica

ms acertada
8
Herramientas
They are 4 free!
9
Herramientas
Descubriendo puntos dbiles:
W3AF
Nikto
Dirbuster
Flasm
SWFscan
Nmap Scripting Engine
Proxies Locales
Nessus al puerto Web
Metasploit (WMAP)
10
Herramientas
Explotando expuestos:
SQLMap
SQLibf
SQLSus
SQLi Cheat Sheets
OWASP
BeeF
Brutus
Bypass de Javascript, de ActiveX, de Flash
W3AF
11
Herramientas
Post Exploitation Attacks:
ReDUH
HTTPTunnel
DBKiss
Churrasco
Meterpreter
Netcat
PwDumpX
GSecDump
Exploit Locales
12
Hostings
Google Hacking
WebCaches
Y si el sitio Web no tiene errores?
13
Hostings, Google Hacking, Webcaches
El sitio objetivo no tiene errores fcilmente explotables!
Es posible, entonces, hacer provecho de

tcnicas y herramientas que nos permitan
estudiar el universo de la aplicacin en
busca de vulnerabilidades, ajenas o no, que
nos permiten atacar la misma.
14
Evitando dejar rastros
del ataque:
Being Stealth like a Ninja!
15
Evitando dejar rastros del ataque
Buenos Aires al desnudo Sin Cifrado 4.878 Redes Encontradas
16
Buenos Aires en ropa interior Con WEP 4.150 Redes Encontradas
17
Free Web Proxies, Red TOR, Navegacin Annima
Se trata de ocultar la direccin IP, utilizando una

cadena de servidores que enmascaran la direccin
real, haciendo el posible rastreo complicado.
Tor es un proyecto que le ayuda a defenderse

contra el anlisis de trfico, una forma de vigilancia
de la red que amenaza la libertad personal y la
privacidad, la confidencialidad en los negocios y
relaciones, y la seguridad del estado. (1)
(1) www.torproject.org/index.html.es 18
"Entrenando" y
conociendo el
"Historial de ataques"
19
El entrenamiento fortalece, el conocimiento da poder
Debido a cuestiones legales, el entrenamiento debe ser offline, en

entornos donde uno sea el dueo de toda la infraestructura objetivo o
en casos debidamente pactados.
Existen Aplicaciones Web completamente vulnerables para facilitar la

explotacin y aprendizaje: Hacme Bank, Hacme casino, Hacme Travel
Existen adems, Sistemas Operativos especialmente diseados para

explotar vulnerabilidades conocidas y aprender las consecuencias que
eso conlleva.
20
El entrenamiento fortalece, el conocimiento da poder
Repositorios de Sitios Vulnerados:

Defaces Realizados
Sitios Vulnerables a XSS (Cross Site Scripting)
Foros del Underground?
21
Casos de Estudio
Demo*
* Si hay tiempo!
22
Casos
Caso UNO:
Plataforma Microsoft Windows con soporte ASPX
Caso DOS:
Plataforma GNU/Linux con soporte PHP
23
Preguntas?
Comentarios?
GRACIAS!
La Web desde el ojo de un atacante
Nahuel Grisola
ngrisolia@cybsec.com
02 de Octubre de 2009
Buenos Aires - Argentina

ArCert 2009 v0 4

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

ArCert 2009 v0 4

Diunggah oleh

Hak Cipta:

Format Tersedia

ArCERT

Introduccin - Intereses y Tendencias

Hostings Compartidos, Google Hacking, Web Cache &

Evitando dejar rastros de un ataque

Entrenando y Conociendo el Historial de la Web

Por que nos interesa la seguridad en Aplicaciones Web?

Internet repleta de aplicaciones Web

Cualquier empresa, desde las pequeas que desean hacerse conocer

Tendencia a migrar a interfaces Web aplicaciones ya existentes

Qu empresa no posee en su red interna e incluso publicadas en

Mi servidor Web tiene todos los parches, y corre

Mi aplicacin Web no tiene vulnerabilidades, por

Qu es un Web Application Firewall (W.A.F.) ?

En qu nos puede ayudar?

Proteccin contra vulnerabilidades conocidas

Tendencia hacia el uso de un W.A.F.

Descuidar la seguridad de la aplicacin porque el W.A.F. conoce y

Framework de programacin: estructura de soporte definida, mediante la

La tendencia es creer que por estar desarrollando con un Framework

Los Frameworks solucionan parte de

Qu podra detectar un anlisis automtico?

Qu podra detectar un consultor especializado?

Falsos Positivos, Falsos Negativos

Errores de lgica de negocios

Vulnerabilidades y ataques de mayor

La correcta combinacin de ambos mundos es la prctica

They are 4 free!

Descubriendo puntos dbiles:

Post Exploitation Attacks:

Y si el sitio Web no tiene errores?

El sitio objetivo no tiene errores fcilmente explotables!

Es posible, entonces, hacer provecho de

Being Stealth like a Ninja!

Buenos Aires al desnudo Sin Cifrado 4.878 Redes Encontradas

Buenos Aires en ropa interior Con WEP 4.150 Redes Encontradas

Free Web Proxies, Red TOR, Navegacin Annima

Se trata de ocultar la direccin IP, utilizando una

Tor es un proyecto que le ayuda a defenderse

Debido a cuestiones legales, el entrenamiento debe ser offline, en

Existen Aplicaciones Web completamente vulnerables para facilitar la

Existen adems, Sistemas Operativos especialmente diseados para

Repositorios de Sitios Vulnerados:

Sitios Vulnerables a XSS (Cross Site Scripting)

Foros del Underground?

Plataforma Microsoft Windows con soporte ASPX

Plataforma GNU/Linux con soporte PHP

La Web desde el ojo de un atacante

Anda mungkin juga menyukai