SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP"

Tomás Revuelta Castro
hace 8 años
Vistas:

SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo.

1 SOLUTIONS FOR KEEPING YOUR BUSINESS UP Tel. +(507) Tel. +(1) Aptdo , Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web Explotación de Aplicaciones Web Technologies 1

2 Security Day> Perú> Agenda OWASP Top Ten 2010 Vulnerabilidades Web más comunes Cross Site Scripting SQL Injection Laboratorios 2

3 OWASP Top Ten (Edición 2010)

4 Vulnerabilidades de Aplicaciones Web más Comunes Confiabilidad de los datos del lado del cliente La aplicación Web debería confiar en los datos que están del lado del servidor para operaciones críticas, en vez de los datos que están del lado del cliente, especialmente para propósitos de entrada Caracteres especiales que no han sido escaped Caracteres especiales si no son escaped pueden ser usados para modificar las instrucciones encontradas en el código de la aplicación. Filtrado de caracteres de salida HTML Accesibilidad del directorio root de las aplicaciones Web Autenticación por ActiveX/JavaScript Falta de autenticación del usuario antes de desarrollar tareas críticas 4

escaped Caracteres especiales si no son escaped pueden ser usados para modificar las instrucciones encontradas en el código de la aplicación.

5 Cross Site Scripting Una aplicación vulnerable a XSS permite a los usuarios inadvertidamente enviar datos maliciosos a la aplicación Los atacantes también explotan XSS al manipular y enviar un URL malicioso a la víctima e invitarla a hacer click. Esto podría causar que los lenguaje de scripting del lado del cliente (JavaScript, VBScript, etc.) se ejecuten. Las vulnerabilidades de XSS son causadas por un fallo en la aplicación Web al validar la entrada del usuario. 5

hacer click. Esto podría causar que los lenguaje de scripting del lado del cliente (JavaScript, VBScript, etc.

6 Cross Site Scripting (cont.) Es una forma de ataque por inyección de contenido Ejemplo: El contenido del parámetro name es desplegado en la página retornada. Un usuario podría envíar la siguiente petición Como los caracteres <> no son bien filtrados o escape por la aplicación el <h1> sería retornado dentro de la página y sería aceptado por el browser como HTML válido. Otro ejemplo 6

Un usuario podría envíar la siguiente petición http://server.example.com/browse.cfm?

7 SQL Injection Muchas aplicaciones, sin importar el ambiente, no filtran apropiadamente los datos de entrada del usuario de caracteres potencialmente maliciosos antes de entrarlos directamente a los SQL queries Es posible ejecutar comando de SQLs directamente a la base de datos 7

potencialmente maliciosos antes de entrarlos directamente a los SQL

8 SQL Injection (cont.) En este ejemplo (MS DB como backend) se provee un formulario que solicita un username y password Cuando el formulario en enviado al script de login (eg.login.asp) los campos de username y password son usados como variables dentro de un SQL query 8

solicita un username y password Cuando el formulario en enviado al

9 SQL Injection (cont.) La aplicación no desarrolla ninguna revisión de validación o sanidad sino que confía en algún lenguaje de scripting para validar estos campos. El atacante podría manipular el HTML y enviar: user: test OR 1=1 Pass: test El SQL query resultante sería: SELECT * FROM users where pass='test' and user='test' OR '1' = '1' accesa algunos datos donde el usuario y el password es igual a test, o 1 es igual a 1 La segunda condición siempre es cierta, así que lo que se coloque en la primera es irrelevante. 9

10 Herramientas de SQL Injection Algunas herramientas para realizar ataques de inyección de SQL tanto para entornos Linux/Unix como Windows: Absinthe: BSQL Hacker: SQLninja: Pangolin: Havij: SQLmap: 10

sourceforge.net/ Pangolin: http://www.lifedork.com/pangolin-best-sql-injection-tool.html Havij: http://itsecteam.

11 Lab: Samurai-WTF Demo Samurai-WTF: Seleccione alguna aplicación vulnerable a evaluar. Siga las instrucciones del facilitador 11

12 Lab: Mutillidae Demo Mutillidae: Seleccione que categoría del OWASP Top 10 se desea evaluar. Siga las instrucciones del facilitador 12

13 Lab: SQL Injection Demo Havij: Coloque el url a evaluar Seleccione la Base de datos a evaluar en este caso es MySQL Siga las instrucciones del facilitador 13

14 Soluciones Audite sus aplicaciones: WebInspect AppScan, AppDetective, AppSentry Acunetix WVS Netsparker Websecurify Utilice un firewall de aplicación o IDP delante de su servidores de web y de su servidor de aplicaciones Utilice módulos de seguridad para servidores web: Modsecurity en el caso de Apache Urlscan en el caso de IIS 14

delante de su servidores de web y de su servidor de aplicaciones Utilice módulos

15 Soluciones 15

Documentos relacionados

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL