Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
En esta unidad se abordará temas relacionados con las vulnerabilidades más comunes,
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
1 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Resultados de aprendizaje
Reconocer las deficiencias que puede tener el código fuente de una aplicación web.
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
2 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Mapa Conceptual
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
3 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
A lo largo de este punto vamos a estudiar los diferentes fallos en los sistemas y aplicaciones web.
Este tipo de ataque consiste en que el ciberdelincuente inserta un código en lenguaje SQL en un
c
sitio web a fin de comprometer la seguridad y acceder a datos protegidos.
.e
Al ejecutarse una consulta en la base de datos, el código SQL inyectado también se ejecutará y
du
podrá hacer varias acciones como insertar registros, modificar o eliminar datos, y también ejecutar
.e
otro tipo de código malicioso.
te
En el login de un sitio web, si el atacante introduce «password ’ o 1=1;-» en el campo de la
.u
contraseña, la consulta en la base de datos sería la siguiente:
ea
Este tipo de ataque aprovecha fallas de seguridad en sitios web, y permite al atacante ejecutar un
maestriasenlinea.ute.edu.ec
4 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
<form>
En el formulario hay una caja de texto para datos de entrada y un botón de enviar. Una vez que el
formulario es enviado, enviará los datos a post.php para procesarlos. Supongamos que lo único que
echo $_POST['comment'];
c
.e
Sin ningún tipo de filtrado, el atacante puede enviar el siguiente script a través del formulario, lo
du
que generará un popup en el navegador con el mensaje "Hackeado":
.e
<script>alert("Hackeado")</script>
te
.u
1.3. Envenenamiento de cookies – cookie poisoning
ea
Las cookies se envían entre el servidor del sistema o aplicación web y los equipos cliente, pero en
in
páginas con protocolos http, el intercambio puede ser visible para un ciberdelincuente.
l
en
Este tipo de ataque se basa en la modificación del contenido de una cookie, con la finalidad de saltar
as
propio mensaje haciendo creer que el sitio ha sido vulnerado, que se encuentra inaccesible, o
En 2012, los usuarios no podían acceder a Google Rumania y, en su lugar, se les dirigía a una
pantalla totalmente cambiada. El defacement estuvo en su lugar durante al menos una hora. El
ataque se realizó mediante el secuestro de DNS: los atacantes lograron falsificar las respuestas de
maestriasenlinea.ute.edu.ec
5 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
DNS y redirigir a los usuarios a su propio servidor en lugar del de Google. El mismo ataque se llevó
a cabo contra el dominio paypal.ro. El grupo de ciberdelincuentes de este caso fue responsable de
gubernamentales.
SQL Map
c
detección y explotación de fallas de inyección SQL y la toma y control de sevidores de bases de
.e
datos. Cuenta con un potente motor de detección.
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
6 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
A lo largo de este epígrafe vamos a describir aquellas herramientas aptas para el análisis de
vulnerabilidades.
c
Herramienta para realizar pruebas de seguridad en aplicaciones web. Entre las funciones básicas
.e
que dispone se pueden destacar:
du
Servidor Proxy, inspecciona y modifica el tráfico actuando como intermediario entre el
.e
navegador y la aplicación de destino.
te
Escáner de Vulnerabilidades, automatiza la detección de varios tipos de vulnerabilidades de
.u
aplicaciones web.
ea
Repetidor, modifica y reenvía solicitudes individuales al servidor.
in
herramienta
as
Para configurar como servidor Proxy que registre todo el tráfico que genere el navegador web:
proxy:
maestriasenlinea.ute.edu.ec
7 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
c
.e
du
.e
te
Ilustración 6 - Imagen de Burp Suite Community Edition
.u
Dentro del navegador web por ejemplo en Mozilla Firefox, ir a: Preferencias / Avanzadas /
ea
maestriasenlinea.ute.edu.ec
8 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Nuevamente dentro de Burp Suite, verificamos que en la pestaña Proxy, en la opción Intercept
Una vez configurada la herramienta, se podrá utilizar para interceptar, inspeccionar, modificar
solicitudes y respuestas HTTP, de tal forma que se pueda automatizar las pruebas, buscar XSS
c
.e
du
.e
te
.u
ea
l in
en
as
ri
Ilustración 8 - Configuración para poder interceptar las peticiones a una página web
st
ae
una serie de funciones y análisis específicos, comprobar todas las peticiones y respuestas entre
cliente y servidor, levantando un proxy que se encargará de capturar todas las peticiones para su
posterior estudio. De igual forma se puede localizar recursos en un servidor, realizar análisis
maestriasenlinea.ute.edu.ec
9 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
maestriasenlinea.ute.edu.ec
10 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
c
.e
du
.e
te
Ilustración 10 - Selección de Modo de Escaneo
.u
Si seleccionamos Automated Scan, podremos ejecutar un escaneo automatizado a la URL que
ea
Hay que tener en cuenta que al realizar este tipo de auditoría, podrían saltar alertas de ataque web
l
maestriasenlinea.ute.edu.ec
11 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
c
.e
du
.e
te
.u
ea
l in
en
En cualquier momento se puede detener este ataque y realizar una comprobación de todo lo
ri
analizado.
st
ae
2.3. ACUNETIX
m
de la aplicación.
maestriasenlinea.ute.edu.ec
12 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
c
.e
du
.e
te
.u
Ilustración 12 - Interfaz Gráfica de Acunetix
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
13 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Son pruebas para el análisis e identificación de vulnerabilidades de seguridad. Tienen como objetivo
descartar la posibilidad de un código defectuoso, con lo cual juegan un papel importante durante el
Detectan cualquier error desde el principio, ayudando a los desarrolladores de software su detección
y así evitar que este llegue a la versión final del software. En consecuencia, al eliminar los errores
c
durante fase de desarrollo, se reducen los riesgos de Seguridad de la Información.
.e
du
3.1. Pruebas de seguridad de aplicaciones estáticas – SAST
.e
te
Permiten la detección de errores en las primeras etapas del desarrollo de software. Conocidas como
analizadores de código, realizan un análisis directo o prueba de caja blanca del código fuente de la
.u
aplicación.
ea
Este tipo de pruebas se realiza sobre una vista estática del código, lo cual supone que el código no
in
Descubren vulnerabilidades complejas durante las primeras etapas del desarrollo de software,
ri
código.
maestriasenlinea.ute.edu.ec
14 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Los desarrolladores de software tienen que lidiar con falsos positivos y falsos negativos.
c
.e
Estas pruebas buscan vulnerabilidades de seguridad simulando ataques externos a una aplicación,
mientras se está ejecutando. Son un tipo de prueba de caja negra, es decir que no se observa el
du
código fuente.
.e
Con las pruebas DAST, se puede encontrar vulnerabilidades visibles externamente, lo que incluye
te
Cross-site-scripting, inyección de código SQL, path traversal y configuración de servidor insegura.
.u
Entre las principales ventajas de DAST, se puede destacar:
ea
in
Son pruebas realistas que cuentan con la aplicación completa y el uso por parte del usuario
l
Vulnerabilidad de Path Traversal o Directory Traversal. - Ocurre cuando no existe una gestión
ri
adecuada de validación y autorización, de los parámetros provenientes del lado del cliente,
st
específicamente relacionadas con accesos a determinados archivos. Por lo cual un atacante puede
ae
manipular los puntos de entrada y construir rutas para saltarse el directorio raíz de la aplicación
m
Pruebas de Caja Blanca. - Se basan en un minucioso examen del código fuente a evaluar, por lo
Pruebas de Caja Negra. – Realizan pruebas sobre la interfaz de la aplicación, sin necesidad de
conocer la lógica del código fuente, únicamente la funcionalidad que debe realizar.
OWASP Top Ten. – Lista con los riesgos de seguridad de aplicaciones web más críticos según la
maestriasenlinea.ute.edu.ec
15 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
organización OWASP.
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
16 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
4. Google hacking
Es una técnica en la cual se utiliza un conjunto de operadores (Google Dorks) para filtrar resultados
c
.e
4.1. Ejemplo de operadores
du
caché: Google resaltará las palabras dentro del documento en caché,
.e
enlace: Enumerará las páginas web que tienen enlaces a la página web especificada.
te
relacionado: Esta consulta enumerará las páginas web que son similares a una página web
.u
especificada.
ea
info: Presentará información que Google tiene sobre esa página web.
intitle: Google restringirá los resultados a los documentos que contengan esa palabra en el
in
título.
l
en
inurl: Restringirá los resultados a los documentos que contengan esa palabra en la url.
as
página www.google.com:
st
caché:
ae
m
enlace:
relacionado:
maestriasenlinea.ute.edu.ec
17 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
info:
c
.e
intitle:
du
.e
te
inurl:
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
18 / 19
[AFO028GH2] Ethical hacking
[MOD0248NB] Ethical Hacking
[UDI15108V] Hacking ético de sistemas y aplicaciones web
Recuerda
Inyección de Código SQL – SQL Injection: Este tipo de ataque consiste en que el
Al ejecutarse una consulta en la base de datos, el código SQL inyectado también se ejecutará y
podrá hacer varias acciones como insertar registros, modificar o eliminar datos, y también
c
ejecutar otro tipo de código malicioso.
.e
Cross Site Scripting – XSS: Este tipo de ataque aprovecha fallas de seguridad en sitios web, y
du
permite al atacante ejecutar un código en el navegador de un usuario desprevenido y afectarlo,
sea robando sus credenciales, redirigiendo a otro sitio malicioso, o para realizar defacement en
.e
un sitio web.
te
Envenenamiento de Cookies – Cookie Poisoning: Este tipo de ataque se basa en la modificación
.u
del contenido de una cookie, con la finalidad de saltar mecanismos de seguridad, logrando así
ea
sesiones.
in
atacante puede colocar su propio mensaje haciendo creer que el sitio ha sido vulnerado, que se
vulnerabilidades de seguridad.
ae
Google hacking es una técnica en la cual se utiliza un conjunto de operadores (Google Dorks)
maestriasenlinea.ute.edu.ec
19 / 19