Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet"

Monica Acuña Botella
hace 8 años
Vistas:

1 Hacking Ético Web I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

2 Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL XSS y robo de sesión Robo de credenciales* Desarrollo seguro Otras soluciones

3 Introducción Carlos García García @ciyinet

4 Qué es Hacking Ético? Hacker ético: profesional de la seguridad que aplica sus conocimientos de hacking con fines defensivos (y legales) Proyecto Hacking Ético: introducirse de manera controlada en los sistemas informáticos de una organización, de la misma forma que lo haría un hacker/cracker pero de forma ética, previa autorización por escrito. Resultado: informe detallado de vulnerabilidades, información confidencial accesible, máquinas accedidas, etc.

Proyecto Hacking Ético: introducirse de manera controlada en los sistemas informáticos de una organización, de la

5 Tipos de Hacking Ético Hacking Ético Externo Hacking Ético Interno Hacking Ético Web Otros...

9 OWASP Carlos García García @ciyinet

10 OWASP Open Web Application Security Project (2001) Determinar y combatir las causas que hacen que el software sea inseguro Fundación (2004) / Comunidad Documentación Herramientas

11 OWASP Top 10 (2010) Los diez riesgos más importantes en Aplicaciones Web Documento educativo. De cada riesgo: Descripción del mismo Escenario de ejemplo Cómo verificar si nuestra aplicación es vulnerable Recomendaciones para prevenirlo Gratuito

De cada riesgo: Descripción del mismo Escenario de ejemplo

14 Demostración ataques Carlos García García @ciyinet

15 Inyección SQL Incluir comandos mal intencionados en los datos de una aplicación los cuales son enviados a un interprete El intérprete toma estos datos y los ejecuta como válidos: código SQL Impacto Severo Pérdida o corrupción de datos Negación de acceso Toma de posesión completa del servidor

estos datos y los ejecuta como válidos: código SQL Impacto Severo

16 Inyección SQL "SELECT * FROM usuario WHERE ='".$_post['log']."' AND password='".$_post['pwd']."'";

17 Inyección SQL "SELECT * FROM usuario WHERE ='".$_post['log']."' AND password='".$_post['pwd']."'"; "SELECT * FROM usuario WHERE ='i52gagac@uco.es' AND password='password'";

18 Inyección SQL "SELECT * FROM usuario WHERE ='".$_post['log']."' AND password='".$_post['pwd']."'"; Usuario: ' OR '1'='1 Password: ' OR '1'='1

19 Inyección SQL "SELECT * FROM usuario WHERE ='".$_post['log']."' AND password='".$_post['pwd']."'"; Usuario: ' OR '1'='1 Password: ' OR '1'='1

20 Inyección SQL "SELECT * FROM usuario WHERE ='".' OR '1'='1."' AND password='".' OR '1'='1."'"; Usuario: ' OR '1'='1 Password: ' OR '1'='1

21 Inyección SQL "SELECT * FROM usuario WHERE ='' OR '1'='1' AND password='' OR '1'='1'"; Sentencia SQL correcta

22 Inyección SQL Personalizando el ataque: ' OR '1'='1' AND atributo='valor

23 Inyección SQL Personalizando el ataque: ' OR '1'='1' AND atributo='valor "SELECT * FROM usuario WHERE ='loquesea' AND password='' OR '1'='1' AND ='i52gagac@uco.es'";

24 Cross Site Scripting Datos no validados de un atacante son enviados al navegador de una víctima Estos datos pueden: Encontrarse almacenados en una base de datos Ser reflejados desde una entrada web Impacto moderado: Robo de sesión Robar datos sensibles Redireccionar usuario hacia sitio de malware o phising

25 Desarrollo seguro Carlos García García @ciyinet

26 Regla nº 1: Nunca confiar en el usuario Algunos errores clásicos: Confiar que el usuario nos enviará los datos que esperamos "Nadie con fines malicioso estaría interesado en mi web" Validar datos sólo en el lado del cliente

27 Variables globales register_globals = On <? if ($password == "mipass") { $authorized = 1; } if ($authorized == 1) { echo "Accediendo al sistema..."; }?>

28 Variables globales Desactivar variables globales: register_globals = Off Asegurar valor de la variable $authorized=0; al comienzo del script

29 Mensajes de error Los mensajes de error son útiles para programadores, pero también para atacantes Descubrir información sobre el sitio, Full Path Disclosure, estructura BD, etc.

33 Inyección SQL en MySQL Usuario de DB con mínimos privilegios Efectuar consultas concretas SELECT 'nombre','apellido' FROM Evitar el abuso del SELECT * FROM Filtrar todos los datos recibidos: Validar tipo mysql_real_escape_string(): manejar como texto las comillas sprintf(): dar formato a la cadena

34 Cross Site Scripting Activar atributo HttpOnly Filtrar todos los datos recibidos: strip_tags() htmlspecialchars(), htmlentities() PHP Input Filter HTML Purifier Gestionar adecuadamente las sesiones

35 Otras recomendaciones No usar valores por defecto No dejar ficheros de instalación online Evitar predicción de nombres Contraseñas débiles Nombre de variables Nombre de directorios Uso de buen algoritmo de cifrado

36 En definitiva... Ser un completo paranoico! Si estás preparado para lo peor, serás capaz de afrontar casi toda amenaza

37 Otras soluciones WAF PHPIDS modsecurity ESAPI...

38 WAF Entradas -> Código en servidor Sanitizar todas las entradas -> Costoso modsecurity: Plugin para servidor Sólo disponible en Apache PHPIDS: IDS para aplicaciones PHP Reglas Libertad toma decisiones

39 Referencias es/~cmalagon/seguridad_informatica/transparencias/ Modulo_0.pdf

40 GRACIAS! Hacking Ético Web I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Documentos relacionados

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal