WebApp Penetration Testing

Documentos relacionados
Inseguridad Bancaria en linea

Ataques XSS en Aplicaciones Web

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Modelado de Amenazas Una Introducción

Web Application exploiting and Reversing Shell

Servicios de Seguridad de la Información

Introducción a OWASP OWASP. The OWASP Foundation

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Inyección SQL. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Datos Personales en el Ciclo de Vida de Desarrollo Seguro

La OWASP Foundation y los objetivos del capítulo español OWASP 16/6/2006. The OWASP Foundation

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Presentación. Porqué formarte con nosotros?

Pruebas de Penetración contra Aplicaciones Web

De los #exploits al más m s allá!

Auditoria Técnica en seguridad de la Informacion

Seguridad en Servicios de Hosting

Ataques de lado Cliente (Client-Side Attacks)

Especificaciones Técnicas para Ethical Hacking

Hacking Ético y Frameworks Opensource

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Semana 13: Encriptación. Cifrado simétrico

Vulnerabilidades de los sistemas informáticos

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

OWAND 11 Granada Ingeniería social

Iniciativas Existentes El modelo SAMM Aplicación de SAMM Niveles y Actividades SAMM SAMM en el mundo real Proyecto OpenSAMM AppSec Latam 2011

Seguridad & Hacking Actualización: Octubre 2013

LOGO COLABORADOR

ACADEMIA CISCO - ESPOL. Ethical Hacking

Ethical Hacking. Capacitación IT 13/03/2013. Federico

OWASP Top Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

100% Laboratorios en Vivo

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES

Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007

Penetration Test Metodologías & Usos

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

Agenda. OWASP Seguridad Para Móviles. Introducción Riesgos más comunes Vulnerabilidades más comunes Mejores Prácticas Recomendaciones & Conclusiones

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES


Hacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico. Ficha técnica

Auditoría de Seguridad

Hacking ético y Seguridad en Red

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

Programación páginas web con ASP.NET 3.5 (C#)

Gastón Toth Lic. en Computación CEH Pentester

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina

Desarrollo Seguro usando OWASP

Pentesting con OWASP Zed Attack Proxy

WEBIMPRINTS. Explotando PL Inyección / SQL en Oracle 11g Con Herramientas de Pruebas de Penetración

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

GUIA RÁPIDA DE VNC Antonio Becerro 2005

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

Universidad Nacional de La Matanza Escuela Internacional de Informática

Seguridad en el desarrollo

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Álvaro PayTrue

Escalar de un Dominio a otro

ArCERT Jornadas de Seguridad Informática 2009

SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Criptografía y Seguridad Informática.

Documento de trabajo Fundació Antoni Tapies

Sesión 5: Wine. Proyecto de formación en centros CEIP Benimamet Valencia

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Conocimiento Activo en Calidad de Software

Del Penetration Test a la Realidad

Explotación a CMSs Web

MANUAL CÁMARA DE MOWAY

Seguridad en Aplicaciones Web

Guía de Pentesting Básico

Introducción a Plone y Zope. Presentación introductoria sobre Plone y las tecnologías utilizadas, como Zope y Python.

Anuncio de software ZP de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010

White Paper Gestión Dinámica de Riesgos

Webinar Gratuito OpenVAS

Parte IIIb: Seguridad en APIs REST

Proyecto PLUMA Plataforma Universal Microcontrolada Aplicaciones didácticas e industriales

CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION. Mario Caycedo

Hacking Ético & Seguridad Ofensiva

Obteniendo credenciales en redes internas sin despeinarse

3-ANÁLISIS DE VULNERABILIDADES

Práctica 5. Curso

Test de intrusión (Penetration Test) Introducción

QUÉ ES Y QUÉ ESTUDIAR PARA SER PROGRAMADOR WEB? ITINERARIO DE FORMACIÓN, PLAN DE ESTUDIOS O DE CARRERA. (CE00302D)

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título

Ataques a Aplicaciones de Bases de Datos

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

NOS ASEGURAMOS DE ENTREGAR SERVICIOS DE CALIDAD ACORDE A SUS NECESIDADES

Introducción

Tecnologías y servicios para la Administración Pública del S.XXI

Ataques a Bases de Datos Webinar Gratuito

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

SUPERACCESS MANUAL GESTION EN RECEPCION

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

SEGURIDAD ataques riesgos tipos de amenazas

Webinar Gratuito Metasploit Framework

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Transcripción:

OWASP AppSec Latam Tour Venezuela 2012 The OWASP Foundation http://www.owasp.org WebApp Penetration Testing A gentle introduction Ruben Recabarren CISSP-ISSAP, GSE, CyberGuardian (red team) Consultor de Seguridad Informática http://latinsec.blogspot.com @latinsec Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

2 Quien soy? Ruben Recabarren Consultor ITSec por 10+ años Especialista en pruebas de penetración. Criptografía, protocolos de comunicación segura. CISSP, CISSP-ISSAP, GIAC - GSEC, GCIA, GCIH, GWAPT, GPEN, GAWN, GCFA, Cyber Guardian (red team),

3 Agenda Pruebas de penetración para aplicaciones web Qué son? Qué NO son? Para qué? Vulnerabilidades obvias pero catastróficas. Vulnerabilidades NO-obvias pero

4 Qué son? Pruebas de penetración para aplicaciones web Evaluación enfocada a aplicaciones web. Evaluación desde el punto de vista de un atacante real. Mucho más que dialogos de alerta y listas de vulnerabilidades. Innovación, desarrollo de técnicas más alla de las empleadas usualmente.

5 Qué NO son? Pruebas de penetración para aplicaciones web No es un sondeo de vulnerabilidades. No es una auditoría. No es la ejecución de un scanner automatizado. No es un método para la generación de: Miedo-Incertidumbre-Duda.

6 Para qué? Pruebas de penetración para aplicaciones web Numerosas alternativas. Para saber si pueden hackearme? Estimación verdadera del impacto de la explotación de la vulnerabilidad. Utilización eficiente de los recursos destinados a la remediación. ISO, ITIL, PCI, SOX, HIPAA, etc no son suficientes.

7 Vuln's Obvias Protección del lado del cliente Esta función no está permitida Botón derecho deshabilitado Protección del Source Code de la página web. Client-side scripting - JavaScript. Cómo se evaden estos mecanismos? Cual es el impacto?

8 Vuln's Obvias Password Guessing Password Cracking WARGAMES - 1983 Puede ser lame, pero todavía muy efectivo. Vuln subyacente: no hay control sobre los queries. Cómo se llevan a cabo estos ataques? Cual es el impacto?

9 Vuln's Obvias USERNAME Guessing Probablemente más viejo que 1983. Sólo recientemente recibiendo atención. Vuln subyacente: situación de oráculo

1 0 Vuln's Obvias USERNAME Guessing No es necesario un mensaje explícito. Las diferencias pueden ser sutiles. Se abre la puerta para timing attacks

1 1 Vuln's Obvias USERNAME Guessing Cómo se llevan a cabo estos ataques? HINT: Lenguajes de scripting Condimentos base: Un loop un if-then-else Salsa secreta: Multi-threading

1 2 Vuln's Obvias USERNAME Guessing Cúal es el impacto? Mecanismo alterno para obtener credenciales de acceso Posibilidad de ataques de denegación de servicio. Un grandísimo etc.

1 3 Vuln's NO Obvias Padding Oracle Attacks Idea original de Vaudenay 2002. Ataque práctico sobre cookies http encriptadas por frameworks: Java Server Faces, Ruby on Rails y ASP.NET. Popularizados por Juliano Rizzo y Thai Duong 2010-2011. Vuln subyacente: situación de oráculo

1 4 Encripción CBC CBC Cypher Block Chaining - Decryption. Fuente: Wikipedia.org

1 5 Padding PKCS #5 - Padding Fuente: gdssecurity.com

1 6 Padding Oracle Using a CBC padding oracle

1 7 Padding Oracle Cómo se explotan estas vulnerabilidades? Presencia del oráculo: Un poquito más complicado que un loop y un if-then-else. Detección del tamaño del bloque. Múltiples herramientas para explotar aplicaciones/situaciones específicas. Muchísimas aplicaciones esperando que alguien les contruya un exploit.

1 8 Padding Oracle Cual es el impacto? VIDEOS

Resumen & Conclusiones

2 0 Resumen Mecanismos de seguridad del lado del cliente. Otorgar demasiada información al atacante. Esto es sólo el comienzo.

2 1 Preguntas? http://latinsec.blogspot.com @latinsec recabarren@gmail.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback