Explotación a CMSs Web



Documentos relacionados
Ataques a Bases de Datos Webinar Gratuito

Análisis Forense con Autopsy 2 Webinar Gratuito

Ingeniería Social. Webinar Gratuito. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux

Pruebas de Penetración contra Aplicaciones Web

Webinar Gratuito OWASP WebScarab

Análisis Forense. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux. Sitio Web:

Webinar Gratuito OpenVAS

Webinar Gratuito Google Hacking

Webinar Gratuito Nmap

Metasploit Framework Webinar Gratuito

Encontrar Vulnerabilidades con Zed Attack Proxy

Webinar Gratuito Zed Attack Proxy

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Webinar Gratuito Hacking Ético

OWASP Zed Attack Proxy Webinar Gratuito

Pruebas de Penetración con Zed Attack Proxy

Informática Forense. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux. Sitio Web:

Gestor de Contenidos CMS. Prof: Ing. Henrry Servitá

Open Vulnerability Assessment System (OpenVAS) Webinar Gratuito

Gestores de contenidos

Algunos Administradores de Contenido se presentan a continuación:

Webinar Gratuito Metasploit Framework

Requisitos Tecnológicos en el Ámbito del Comercio Electrónico

Sitios y programas recomendados

DESARROLLA TU BLOG O PÁGINA

Hacking Ético & Seguridad Informática para Empresas

Diseño de Sitios Web Dinámicos CMS JOOMLA

Forense Digital a un Fraude Electrónico Bancario

AUDITOR INTERNO ISO/IEC 27001:2013

Ing. Carlos Rodríguez

Recolección de Evidencia Volátil

CAPITULO IV CONCLUSIONES Y RECOMENDACIONES

Aplicaciones de Wordpress en entornos educativos. Víctor Nuño

Content Management System

Gobierno Electrónico ANEXOS ANEXO A: INSTALACIÓN, CONFIGURACIÓN Y ACTUALIZACIÓN DE JOOMLA, MÓDULOS Y COMPONENTES. Alexandra Paola Guerrero Chuquín

Sistema de gestión de procesos institucionales y documental.

Contenido Qué es Joomla?... 2 Tipos de extensiones... 4 Referencias... 8

Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO

Capítulo 1 Sistemas de gestión de contenidos

*La Macromedia Dreamweaver

3. Qué necesitamos para usar Wordpress?

INTRANET DE UNA EMPRESA RESUMEN DEL PROYECTO. PALABRAS CLAVE: Aplicación cliente-servidor, Intranet, Área reservada, Red INTRODUCCIÓN

CMS JOOMLA. Características

CAPITULO I El Problema

#SoftwareLibre14. Páginas Web con Software Libre. WordPress

ADMINISTRACIÓN WEB I, II, III

I. OBJETIVOS INTRODUCCIÓN. Oscar Daniel Camuendo Vásquez

Bases de Presentación de Propuestas. Consultoría para la implementación de sistemas de gestión de contenidos para comunidades de RedCLARA

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

JavaScript para Hacking Web


CONCLUISIONES Y RECOMENDACIONES

MOODLE PARA ASESORES, GUIA DE APOYO.

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

PROYECTO CMS PYME. Autores: Álvaro Sánchez Martínez Alberto Lucena Gómez Daniel González Lobato Manuel Pérez Pizarro

Qué necesito saber para tener mi sitio web en Internet?

Escalar de un Dominio a otro

Qué es SPIRO? Características

RED DE OBSERVATORIOS EN RECURSOS HUMANOS EN SALUD Y MÓDULO M LABORAL

La gestión de contenidos corporativos con JOOMLA!: un proyecto 2.0

Aplicación para la gestión de prácticas en empresas. Memoria

Boletín informativo. Principales informaciones de INTECO entre el 22 y el 28 de febrero de 2013.

Virtual-C: Una Herramienta para Administración de Contenidos en Sitios Web

Jorge Valhondo Vazquez. Implantación Aplicaciones Informáticas de Gestión ASI2

Maquinas virtuales Conceptos Básicos

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Ethical Hacking and Countermeasures

Presentación de servicios

Aplicaciones Móviles. Sesión 12: Acceso a datos

PROYECTO / PRESUPUESTO SERVICIO ALUMNOS EN LÍNEA EDUCACIÓN SECUNDARIA

DISEÑO DE PÁGINAS WEB ING. CIP EDGAR CRUZ

Programa. Programa: Aspectos Técnicos Previos. Sistemas de Gestión de Contenidos (CMS) La Imagen del Site. Usabilidad y Accesibilidad

Visión General de GXportal. Última actualización: 2009

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

Comunicación: Herramientas Informáticas de Apoyo a la Educación: Experiencias. Autor: Ing. Hernán Mariño hernanmarino@uca.edu.ar

Unidad III. Software para la administración de proyectos.

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Test de intrusión (Penetration Test) Introducción

ArquitecturaTécnica de TRAVEL OPEN APPS. Breve definición técnica de la plataforma Travel Open Apps

Administración de Servicios Web (Online)

Desarrollo de portales web con Drupal. Por Juan M. Rivero.

Manual de instalación de Kaspersky Internet Security

Curso de Administración de Sitios Web mediante JOOMLA

ICAFE. Caso de éxito del Instituto del Café de Costa Rica

Transcripción:

Explotación a CMSs Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 5 de Febrero del 2015

Presentación Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Miembro de Open Web Application Security Project (OWASP). Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también constantemente en exposiciones enfocadas a, Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS pe.linkedin.com/in/alonsocaballeroquezada/

CMS - Content Managment System (Web) UN CMS Web es un sistema de software el cual proporciona herramientas de autoria,colaboración, y herramientas para sitios web diseñadas para permitir a los usuarios con bajos conocimientos en lenguajes de programación y lenguajes de marcas crear y gestionar contenidos en un sitio web con relativa facilidad. Un CMS robusto proporciona lo fundamental para la colaboración, ofreciendo a los usuarios la habilidad de gestionar documentos y resultados para la edición y participación de diversos autores. La mayoría de sistemas utilizan un repositorio de contenido o base de datos para almacenar contenido de páginas, metadatos, y otros activos de información los cuales podrían ser necesarios para el sistema. La capa de presentación muestra el contenido a los visitantes del sitio web basado en un conjunto de plantillas. La administración también es típicamente realizar a través de interfaces basadas en un navegador. * http://en.wikipedia.org/wiki/content_management_system

Ventajas y Desventajas de los CMS Ventajas Bajo Costo Fácil Personalización Facilidad de Uso Gestión del flujo de trabajo Bueno para SEO (Search Engine Optimization) Desventajas Costos de Implementación Costo de Mantenimiento Temas de Latencia Combinación de Herramientas Seguridad * http://en.wikipedia.org/wiki/web_content_management_system

Fase de Explotación En este paso final el atacante toma toda la información capturada hasta este punto y la utiliza para explotar la aplicación. Esto puede implicar realizar un volcado de la base de datos, o hacer un pivoting para atacar el resto de la red. La explotación es donde se lanzan los ataques. Muchos profesionales se enfocan en esta etapa en detrimento de las pruebas, pues la explotación se construye sobre toda la información recolectada y las tareas completadas hasta este punto. Sin los primeros tres pasos de la metodología descrita la explotación generalmente falla. Es un Ataque Cíclico Cuando se explota satisfactoriamente una vulnerabilidad usualmente se abren nuevos caminos, por lo tanto se inicia el proceso nuevamente, aprovechándose del nuevo acceso o información. A diferencia del atacante malicioso, el trabajo de un profesional es encontrar todas las vulnerabilidades posibles, no solamente una.

WordPress WordPress es un software web el cual puede ser utilizado para crear bellos sitios web o blog. El corazón del software es construido por una comunidad de cientos de voluntarios. Incluye miles de plugins y temas disponibles para transformar el sitio web en cualquier cosa imaginable. La seguridad en Wordpress es tomada muy seriamente, pero como cualquier otro sistema existen potenciales temas de seguridad los cuales pueden surgir si no se toman las precauciones básicas de seguridad. Como muchos paquetes modernos de software, WordPress se actualiza regularmente para solucionar nuevos temas de seguridad. Mejorar la seguridad del software es siempre una preocupación constante, y al final se debe siempre mantenerse actualizado con la versión más reciente de Wordpress. Las antiguas versiones de WordPress no son mantenidas con actualizaciones de Seguridad. * https://wordpress.org/ * http://codex.wordpress.org/hardening_wordpress * https://wordpress.org/news/category/security/

Drupal Drupal es una plataforma open source para gestión de contenido, la cual brinda poder a millones de sitios webs y aplicación. Es construido, utilizado y apoyado por una activa y diversa comunidad de personas alrededor del mundo. Miles de módulos add-on y diseños permiten construir cualquier sitio imaginable. Drupal proporciona consejos sobre la configuración de seguridad para los administradores del sitio e incluye las cosas a hacer y las cosas a no hacer. Se intenta exponer la información en prioridad de la configuración basado en la probabilidad de su utilidad y probable beneficio/daño de la configuración. Se sugiere también estar subscrito a la lista de correo de seguridad de Drupal. Y las personas interesadas deben unirse también al grupo de mejores prácticas en seguridad. * https://www.drupal.org/ * https://www.drupal.org/security * https://www.drupal.org/security/secure-configuration * http://groups.drupal.org/best-practices-drupal-security

Joomla Joomla es un sistema gestor de contenido galardonado, el cual permite construir sitios web y aplicaciones web en línea muy poderosas. Muchos aspectos, incluyendo facilidad de uso y ampliación, hacen a Joomla el software disponible para sitios web más popular. Lo mejor de todo, Joomla es una solución open source libremente disponible a cualquiera. Joomla contiene páginas con información relevante para asegurarlo. Se debe tener en consideración lo siguiente: Debido a la variedad y complejidad de los servidores web, los temas de seguridad no puede ser resueltos con soluciones simples o iguales. Para asegurar un sitio web se debe ganar experiencia real, u obtener ayuda experimentada de otros. Se sugiere estar familiarizado con GNU/Linux, Apache, MySQL, PHP, HTTP y Joomla * http://www.joomla.org/ * http://developer.joomla.org/security-centre.html * https://docs.joomla.org/security_checklist

Curso Virtual de Hacking Aplicaciones Web Más Información: http://www.reydes.com/d/?q=curso_de_hacking_aplicaciones_web E-mail: caballero.alonso@gmail.com / Sitio Web: http://www.reydes.com

Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=curso_de_hacking_etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=curso_de_hacking_aplicaciones_web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=curso_de_informatica_forense

Más Contenidos Videos de 22 Webinars Gratuitos sobre Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1

. Demostraciones

Explotación a CMSs Web Muchas Gracias! Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 5 de Febrero del 2015

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback