Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Web
Como
explotar
vulnerabilidades
y
aprender
a
protegerse
Germn
Gil
de
Arvalo
Cano
Ago.2010
ObjeAvos
Aprender
cmo
es
que
los
hackers
encuentran
las
vulnerabilidades
ms
comunes
en
las
aplicaciones
web.
Aprender
cmo
es
que
los
hackers
explotan
dichas
vulnerabilidades.
Aprender
como
detenerlos.
Agenda
Mdulo
1
Como
piensan
los
hackers
Ingeniera
Social
Usuarios
Navegadores
DEMO
Ingeniera
Social
Es
la
prcAca
de
obtener
informacin
condencial
a
travs
de
la
manipulacin
de
usuarios
legAmos.
Los
usuarios
son
el
eslabn
dbil
Reaccionamos
de
manera
predecible
Principios
Todos
queremos
ayudar
El
primer
movimiento
es
siempre
de
conanza
hacia
el
otro
No
nos
gusta
decir
NO
A
todos
nos
gusta
que
nos
alaben
Kevin
D.
Mitnick,
William
L.
Simon,
Steve
Wozniak.
The
Art
of
DecepAon:
Controlling
the
Human
Element
of
SecuAty.
John
Wiley
&
Sons,
2002
Navegadores
HTTPS
FTPS
SSH
SSL
Hypertext
Transfer
Protocol
Secure
(Protocolo
seguro
de
transferencia
de
hipertexto)
File
Transfer
Protocol
Secure
(Protocolo
de
Transferencias
de
Archivos
Seguro)
Secure
Shell
(Interprete
de
rdenes
Seguro)
Secure
Sockets
Layer
(Protocolo
de
Capa
de
Conexin
Segura)
Transport
Layer
Security
(Seguridad
dela
Capa
de
Transporte)
TSL
Principios
La
idea
es
la
de
crear
un
canal
seguro
sobre
una
red
insegura.
Ningn
lenguaje
de
programacin
es
completamente
seguro.
Ninguna
aplicacin
o
siAo
es
completamente
segura.
Microsok?
Google?
Hackeando a Google (Groundspeed) Aprovechando las rebajas (Tamper Data) Adquirir conocimiento (Live HTTP Headers)
DEMO 1
Agenda
Mdulo
2
Explotando
la
Web
(Bsico)
AutenAcacin
Cifrado
Fortaleza
PolAca
de
contraseas
OWASP
OWASP
(acrnimo
de
Open
Web
ApplicaAon
Security
Project,
en
ingls
Proyecto
de
seguridad
de
aplicaciones
web
abiertas)
es
un
proyecto
de
cdigo
abierto
dedicado
a
determinar
y
combaAr
las
causas
que
hacen
que
el
sokware
sea
inseguro.
Los
proyectos
de
documentacin
actuales
son:
Gua
OWASP
Un
enorme
documento
que
proporciona
una
gua
detallada
sobre
la
seguridad
de
las
aplicaciones
web.
OWASP
Top
10
Documento
de
alto
nivel
que
se
centra
sobre
las
vulnerabilidades
ms
crAcas
de
las
aplicaciones
web.
OWASP J2EE
DEMO 2
Agenda
Mdulo
3
Explotando
la
Web
(Intermedio)
Inyeccin
SQL
Cross-Site
ScripAng
(XSS)
Data
Tampering
Denegacin
de
Servicio
(DoS)
Conguracin
de
vulnerabilidades
(PHP,
Java)
DEMO 3
Seguridad
Web
Como
explotar
vulnerabilidades
y
aprender
a
protegerse
@germangda
Gracias!