Seguridad

Web
Como explotar vulnerabilidades y aprender a protegerse
Germn Gil de Arvalo Cano Ago.2010

ObjeAvos
Aprender cmo es que los hackers encuentran las vulnerabilidades ms comunes en las aplicaciones web. Aprender cmo es que los hackers explotan dichas vulnerabilidades. Aprender como detenerlos.

Agenda Mdulo 1
Como piensan los hackers
Ingeniera Social Usuarios Navegadores DEMO

Ingeniera Social
Es la prcAca de obtener informacin condencial a travs de la manipulacin de usuarios legAmos. Los usuarios son el eslabn dbil Reaccionamos de manera predecible

Principios
Todos queremos ayudar El primer movimiento es siempre de conanza hacia el otro No nos gusta decir NO A todos nos gusta que nos alaben Kevin D. Mitnick, William L. Simon, Steve Wozniak. The Art of DecepAon: Controlling the Human Element of SecuAty. John Wiley & Sons, 2002

Escenario (Ingeniera Social)

1. Un usuario administrador manda un correo solicitando el cambio de credenciales para el acceso a un sistema 2. 10,000,000 correos 3. 80% dar clic (8,000,000) 4. .? 5. 1 inocente

Navegadores
HTTPS FTPS SSH SSL
Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto) File Transfer Protocol Secure (Protocolo de Transferencias de Archivos Seguro) Secure Shell (Interprete de rdenes Seguro) Secure Sockets Layer (Protocolo de Capa de Conexin Segura) Transport Layer Security (Seguridad dela Capa de Transporte)

TSL

Principios
La idea es la de crear un canal seguro sobre una red insegura. Ningn lenguaje de programacin es completamente seguro. Ninguna aplicacin o siAo es completamente segura. Microsok? Google?

Hackeando a Google (Groundspeed) Aprovechando las rebajas (Tamper Data) Adquirir conocimiento (Live HTTP Headers)

DEMO 1

Agenda Mdulo 2
Explotando la Web (Bsico)
AutenAcacin
Cifrado Fortaleza PolAca de contraseas

Demasiada informacin Aadiendo capas de seguridad Descubriendo pistas

OWASP
OWASP (acrnimo de Open Web ApplicaAon Security Project, en ingls Proyecto de seguridad de aplicaciones web abiertas) es un proyecto de cdigo abierto dedicado a determinar y combaAr las causas que hacen que el sokware sea inseguro. Los proyectos de documentacin actuales son:
Gua OWASP Un enorme documento que proporciona una gua detallada sobre la seguridad de las aplicaciones web. OWASP Top 10 Documento de alto nivel que se centra sobre las vulnerabilidades ms crAcas de las aplicaciones web.

OWASP J2EE

DEMO 2

Agenda Mdulo 3
Explotando la Web (Intermedio)
Inyeccin SQL Cross-Site ScripAng (XSS) Data Tampering Denegacin de Servicio (DoS) Conguracin de vulnerabilidades (PHP, Java)

OSWASP PHP Java

DEMO 3

Germn Gil de Arvalo Cano Ago.2010

Seguridad Web
Como explotar vulnerabilidades y aprender a protegerse
@germangda

Gracias!