Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller 1

    Cargado por

    Humberto Faustino Asencios Rojas
    31 vistas44 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    31 vistas44 páginas

    Taller 1

    Cargado por

    Humberto Faustino Asencios Rojas

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 44

    See discussions, stats, and author profiles for this publication at: https://www.researchgate.

    net/publication/302551873

    Introducción a la Metodología de Hacking Ético de OWASP para


    mejorar la seguridad en aplicaciones Web

    Presentation · April 2016


    DOI: 10.13140/RG.2.1.1059.9283

    CITATIONS READS

    0 8,194

    1 author:

    Henry Raúl González Brito


    University of Information Sciences
    32 PUBLICATIONS   1 CITATION   

    SEE PROFILE

    Some of the authors of this publication are also working on these related projects:

    Influence analysis in technological networks (SNA) View project

    Interoperabilidad de sistemas de información View project

    All content following this page was uploaded by Henry Raúl González Brito on 09 May 2016.

    The user has requested enhancement of the downloaded file.


    :\Introducción a la
    Metodología de Hacking Ético
    de OWASP para mejorar la
    seguridad en aplicaciones
    Web>

    Msc. Henry Raúl González


    Brito
    Metodólogo y Jefe de Proyectos de Hacking Ético para Aplicaciones Web
    Dirección de Seguridad Informática | Vicerrectoría de Tecnología
    Universidad de las Ciencias Informáticas
    Introducción
    • Incremento de la utilización de las
    Aplicaciones Web(ApWeb) en la
    sociedad.
    • Cualquier persona con mínima
    preparación puede crear una ApWeb.
    • En correspondencia: Incremento diario
    del numero de vulnerabilidades,
    amenazas, riesgos y daños causados.
    2015 ACUNETIX REPORT
    2015 ACUNETIX REPORT
    ¿Por qué las aplicaciones
    Web son inseguras?
    • Funcionan sobre protocolos sin estado.
    • Dependen de muchos componentes
    tecnológicos diversos en el
    desarrollo, despliegue y utilización,
    unidos para formar la ApWeb final.
    • Son un blanco más frecuente de los
    atacantes por ser más utilizadas por
    las personas.
    Ejemplo de Complejidad
    Web

    INFORME DE LOS COMPONENTES


    DE UNA ApWeb.

    PRESENCIA DE 7 FRAMEWORDS
    DIFERENTES DE JAVASCRIPT
    Ejemplo de Complejidad
    Web

    INFORME DE LOS COMPONENTES DE


    UNA ApWeb.

    PRESENCIA DE 1 FRAMEWORD DE
    JAVASCRIPT CON 5 VERSIONES
    DIFERENTES.
    Conceptos|Vulnerabilidad
    • Error que está presente en el software y
    puede ser usador por un atacante para
    acceder a una aplicación informática o
    red de datos, violando las políticas de
    seguridad informática para ella
    establecidas. U.S. NVD 2016

    • Defecto o debilidad en el Diseño,


    Implementación, Funcionamiento o
    Administración que puede de usado para
    comprometer los objetivos de seguridad
    del sistema. “OWASP Testing Guide”
    Versión 4.0 2014
    VENTANA DE RIESGO DE UNA VULNERABILIDAD
    DRUPAL 7.11
    46
    VULNERABILIDADES

    DRUPAL 7.43
    0
    VULNERABILIDADES
    Conceptos|Amenaza
    • Cualquier cosa (un atacante externo,
    un usuario interno, un problema del
    sistema) que puede comprometer los
    componentes de una aplicación Web a
    través de la explotación de una
    vulnerabilidad.
    Relación
    Mientras más
    VULNERABILIDADES mayores son los
    tienen las RIESGOS
    aplicaciones Web

    que COMPROMETAN
    los activos de de la ejecución de
    nuestras AMENAZAS
    aplicaciones Web
    Otros Conceptos

    Servidor Cliente Destruir definitivamente


    los archivos, datos,
    sustituir archivos, etc…
    EXPLOIT Acciones concretas y
    lineales.

    Se diseñan para aprovecharse


    de vulnerabilidades
    determinadas para

    Dejar un payload que permita controlar el


    servidor. Ejemplo Redes Zombies.
    Busquemos Exploits para
    Drupal 7.11
    CVE-2014-3704: The expandArguments
    function in the database abstraction API
    in Drupal core 7.x before 7.32 does not
    properly construct prepared statements,
    which allows remote attackers to conduct
    SQL injection attacks via an array
    containing crafted keys.
    #Drupal 7.x SQL Injection SA-CORE-2014-005
    https://www.drupal.org/SA-CORE-2014-005
    #Creditz to https://www.reddit.com/user/fyukyuk
    VEAMOS UN VIDEO
    Mito: Mi portal nadie lo va
    a atacar porque no es
    importante.

    Puede ser atacado para


    controlar los
    servidores y afectar
    otros sistemas que si
    son importantes
    Hacking Ético
    • Una práctica actual que consiste en
    simular las acciones de un atacante con
    el objetivo de comprobar el cumplimiento
    de las políticas de seguridad
    informática.
    • Son una parte formal de los procesos de
    Seguridad Informática de una
    organización.
    • Otras terminologías: Pruebas de
    Penetración, Pentesting.
    Alcance
    Existe un límite hasta donde puede
    llegar el especialista de Hacking
    Ético
    El atacante no tiene límites
    Temporalidad
    Refleja el estado de la apWeb y la
    infraestructura de despliegue en
    un instante de tiempo dado.
    Procesos administrativos
    No se analizan los procesos
    administrativos relacionados con
    la ApWeb
    Conocimientos Requeridos
    • Alto conocimiento de la programación
    Web para exponer las vulnerabilidades
    del sistema.
    • Programación en general (python) para
    automatizar tareas repetitivas de Web
    scraping (recolección de usuarios,
    ataques de fuerza bruta, mapeo de la
    ApWeb)
    • Dominio de la terminal de Linux y
    programación en Bash (u otro)
    Habilidades
    • Dominio del idioma inglés,
    especialmente en la lectura.
    • Pensamiento creativo. ¿Cómo puedo
    aprovechar esta pieza de información?
    • Investigación científica ¿Cómo
    demuestro lo que encontré?

    MOTIVACIÓN
    ¿y la Ética para qué?
    • Tener habilidades para exponer los
    errores de los demás sin que se vea
    como una agresión u ofensa.
    • Capacidad de comunicar claramente el
    problema.
    • Discreción total por dos motivos:
    1. Mantener la reputación del proyecto,
    centro, facultad, universidad.
    2. La solución de los problemas no siempre
    es inmediata y toma tiempo.
    Herramientas de Hacking
    Ético
    • Distribuciones de Linux (Kali Linux,
    Parrot OS)
    • Herramientas de Pago, Community
    Edicion, Software Libre, Open Sources.
    • Generales y específicas.
    • Multiplataformas o para una sola
    plataforma.
    • Para hacer escaneos automáticos de
    vulnerabilidades.
    Commercial Black Box
    Testing tools
    • NGS Typhon III - http://www.nccgroup.com/en/our- • Parasoft SOAtest (more QA-type tool)-
    services/security-testing-audit- http://www.parasoft.com/jsp/products/soatest.jsp?
    compliance/information-security-software/ngs- itemId=101
    typhon-iii/
    • MatriXay -
    • NGSSQuirreL - http://www.nccgroup.com/en/our- http://www.dbappsecurity.com/webscan.html
    services/security-testing-audit-
    compliance/information-security-software/ngs- • N-Stalker Web Application Security Scanner -
    squirrel-vulnerability-scanners/ http://www.nstalker.com

    • IBM AppScan - http://www- • HP WebInspect -


    01.ibm.com/software/awdtools/appscan/ http://www.hpenterprisesecurity.com/products/hp-
    fortify-software-security-center/hp-webinspect
    • Trustwave App Scanner (Formerly Cenzic Hailstorm)
    - https://www.trustwave.com/Products/Application- • SoapUI (Web Service security testing) -
    Security/App-Scanner-Family/App-Scanner- http://www.soapui.org/Security/getting-
    Enterprise/ started.html

    • Burp Intruder - • Netsparker -


    http://www.portswigger.net/burp/intruder.html http://www.mavitunasecurity.com/netsparker/

    • Acunetix Web Vulnerability Scanner - • SAINT - http://www.saintcorporation.com/


    http://www.acunetix.com
    • QualysGuard WAS -
    • Sleuth - http://www.sandsprite.com http://www.qualys.com/enterprises/qualysguard/web
    -application-scanning/
    • NT Objectives NTOSpider -
    http://www.ntobjectives.com/products/ntospider.ph • IndusGuard Web -
    p https://www.indusface.com/index.php/products/indu
    sguard-web
    • MaxPatrol Security Scanner -
    http://www.maxpatrol.com • Retina Web -
    http://www.eeye.com/Products/Retina/Web-Security-
    • Ecyware GreenBlue Inspector - Scanner.aspx
    http://www.ecyware.com
    Mito: Hacking Ético es hacer
    un escaneo de vulnerabilidad
    Comparación
    • Escaneo de Vulnerabilidad: Detectar
    qué software o equipamiento puede
    estar comprometiendo la seguridad de
    la ApWeb.
    • Reporte generador por la herramienta.

    • Hacking Ético: Método de control


    preventivo ante supuestos ataques.
    • Reporte con medidas a aplicar para
    prevenir los ataques.
    Acciones de un atacante
    Desventajas
    • Una prueba de hacking Ético, ejecutado
    sin una adecuada metodología y
    conocimiento puede dar una falsa
    sensación de seguridad al no descubrir
    realmente todos los problemas.
    • Las herramientas pueden provocar daños
    al sistema si no son aplicadas por
    expertos.
    • La solución de los problemas toma
    tiempo, si los especialistas no son
    ÉTICOS, la información del problema
    puede llegar a manos de posibles
    atacantes.
    Open Web Application
    Security Project
    • OWASP es un proyecto de código abierto
    dedicado a determinar y combatir las
    causas que hacen que el software sea
    inseguro.
    • La Fundación OWASP es un organismo sin
    ánimo de lucro que apoya y gestiona
    los proyectos e infraestructura de
    OWASP
    Relación con el
    ciclo de vida
    del Software
    Metodología de Hacking
    Ético de OWASP
    • Colección de todas las posibles
    técnicas para realizar pruebas de
    penetración en ApWeb.
    • Se basa en la realización de pruebas
    de seguridad de caja negra.
    • Compuesto por 11 fases y 99 pruebas.
    F2.Configuration
    F1.Information F3.Identity
    and Deploy
    Gathering Management Testing
    Management Testing

    F6.Session F5.Authorization F4.Authentication


    Management Testing Testing Testing

    F7.Input Validation
    F8.Error Handling F9.Cryptography
    Testing

    F11.Client Side F10.Business Logic


    Testing Testing
    VEAMOS UN VIDEO
    Práctica de Laboratorio
    WAPPALYZER

    Extensión de FIREFOX y CHROME


    que facilita la detección de
    las tecnologías que tiene una
    ApWeb.
    OWASP ZAP
    • (short for Zed Attack Proxy) is an
    open-source web application security
    scanner. It is intended to be used by
    both those new to application security
    as well as professional penetration
    testers.
    Acunetix Web
    Vulnerability Scanner
    Acunetix Vulnerability Scanner
    automatically crawls and scans off-the-
    shelf and custom-built websites and web
    applications for SQL Injection, XSS,
    XXE, SSRF, Host Header Attacks & over
    3000 other web vulnerabilities.

    Es un producto estrella que permite


    hacer comparaciones entre escaneos,
    generar reportes muy completos de las
    vulnerabilidades encontradas.
    Paradoja de las
    pruebas de
    Hacking Ético
    “If you fail a
    penetration test you
    know you have a very
    bad problem indeed.
    If you pass a
    penetration test you
    do not know that you
    don’t have a very bad
    problem.

    Gary McGraw, Gurú y


    autor de más de 10
    bestseller de Seguridad
    Informática
    Contacto

    Msc. Henry Raúl González Brito


    Metodólogo y Jefe de Proyectos de
    Hacking Ético para Aplicaciones Web
    Dirección de Seguridad Informática,
    henryraul@ Vicerrectoría de Tecnología
    Universidad de las Ciencias
    Informáticas
    Telf. 835 8060, Email:
    henryraul@uci.cu

    View publication stats

    También podría gustarte