Betabeers Sevilla - Hacking web con OWASP

Hacking web con OWASP

Ezequiel Vazquez De la calle

Ezequiel Vazquez De la calle Hacking web con OWASP

Sobre mi

Estudios

Ingeniero Tecnico en Informatica - UCA

Master en Ingenierıa del Software - US

Experto en Seguridad de las TIC - US

Experiencia

3+ anos como desarrollador web

Actualmente: DevOps Drupal

Python, C++, GNU/Linux, network programming. . .

Aficiones

Rock’n’Roll (guitarrista) y videojuegos

Narrativa fantastica, rol, cine. . .


Indice

1 Introduccion

2 OWASP Testing Guide

3 Miscelanea

4 Conclusiones

5 Referencias


Indice

1 Introduccion


3 Miscelanea

4 Conclusiones

5 Referencias


Seguridad

¿Y esto de que va?

Seguridad web

Exposicion a internet

Vulnerabilidades

Explotacion

¿Hackers?

. . .

Dinero


OWASP

Open Web Application Security Project

Fundacion sin animo de lucro

Multitud de proyectos: algo caotico

Colaboracion a nivel mundial, grupos locales

Metodologıa de analisis de seguridad web


OWASP

Mas de 36000 colaboradores

Conferencias por todo el mundo, durante todo el ano

En Espana: Asociacion de profesionales

Libros, merchandising, etc.


Proyectos de OWASP

https://www.owasp.org/index.php/Category:OWASP Project


Proyectos de OWASP

142 proyectos, a lo largo del mundo

OWASP Code Review

OWASP DNIe

OWASP Google Hacking

OWASP SQLiBench

OWASP Testing guide [!]

OWASP Top Ten

OWASP WebScarab

OWASP WebSlayer

OWASP Zed Attack Proxy

. . .


Indice

1 Introduccion


3 Miscelanea

4 Conclusiones

5 Referencias


OWASP Testing Guide

Consideraciones previas

Enfoque de caja negra,pero incluye pruebas detodo tipo

Divide las pruebas en fasesasociadas al ciclo de vida

¡No solo pentesting!

Disponible como libro,PDF y wiki


OWASP Testing Guide

Etapas

1 Antes del desarrollo

Revisar polıticas, estandares, etc.Definir metricas y criterios de evaluacion

2 Durante la definicion y el diseno

Revisar requisitos de seguridadRevisar diseno y arquitecturaCrear y revisar modelos de amenazas


OWASP Testing Guide

Etapas

3 Durante el desarrollo

Revisar el codigo junto con los desarrolladores

4 Durante el despliegue

Realizar test de penetracion [!]Analizar la gestion de la configuracion

5 Durante el mantenimiento

Revisar la gestion de operacionesPruebas periodicas del estado de saludAsegurar la verificacion de cambios


OWASP Testing Guide


Pentesting con OWASP

Adquisicion de informacion

Analisis de fuentes publicas sobre el sitio web

Analisis de la ayuda del propio sitio

Uso de spiders, robots y crawlers (puntos de entrada)

Analisis de metadatos de los ficheros descargables (FOCA)



Google (Bing y Shodan) Hacking

Utilizacion de operadores avanzados del buscador.

site: Limitar la busqueda a un unico dominio

cache: Buscar en la cache de Google

inurl: Resultados que contienen un valor en la URL

ext:, filetype: Buscar ficheros con la extension indicada



Revision de la configuracion

Uso de SSL (Man In The Middle y SSLStrip a un cliente)

Conexion a BBDD (Conexiones remotas)

Sistema operativo del servidor

Configuracion del servidor web (Version vulnerable)

Metodos HTTP permitidos por el servidor (PUT, DELETE)



Analisis de autenticacion

Enumeracion de usuarios (Modulo Views de Drupal)

Ataque de fuerza bruta o diccionario

Bypass del sistema de autenticacion (SQLi)

Contrasenas suprayectivas



Analisis de la gestion de la sesion

Exposicion de variables de sesion

Cookies no cifradas (modificacion de atributos)

Cross Site Request Forgery



Analisis de autorizacion y logica de negocio

Acceso a ficheros

Escalado de privilegios

Fallos en la logica de la aplicacion

Analisis de mensajes de error



Validacion de datos de entrada y salida

Cross Site Scripting (XSS)

Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)

Buffer overflow

Fuzzing (entrada aleatoria, y/o excesivamente grande)



Denegacion de servicio

No liberacion de recursos

Almacenamiento de demasiada informacion en la sesion

Bloqueo de usuarios

Entrada de usuario en un bucle

Gestion de peticiones repetitivas (LOIC)


¿Y como protejo mi web?

Buenas practicas

Auditorıas de seguridadperiodicas

Integrar la seguridad en eldesarrollo desde el inicio

Asumir que siemprehabra fallos de seguridad

Si alguien va a porti. . . (APT)

Encontrar el equilibrio


Indice

1 Introduccion


3 Miscelanea

4 Conclusiones

5 Referencias


OWASP Top Ten

Lista de vulnerabilidadesmas comunes

Publicada cada tres anos

Cuarta version en 2013

”Meter el miedo en elcuerpo”

Util como referencia rapida


OWASP ZAP

Proxy que intercepta peticiones y respuestas

Permite modificar el contenido de ambas

Detecta posibles superficies de ataque


Nikto2

Escaner de vulnerabilidadesweb

Codigo abierto (GPL)

Comprueba versionesdesactualizadas, metodosHTTP, etc.

No esta disenado comoherramienta stealth

http://www.cirt.net/nikto2


SQLMap

Automatiza la deteccion yexplotacion de vulnerabilidadesSQLinjection

Codigo abierto (GPL)

Soporta muchos motores(MySQL, Oracle, PostgreSQL,MS SQL Server... ¡hasta Access!)

http://sqlmap.org/


OWASP Xenotix

Framework de deteccion y explotacion de XSS

Analiza IE, Chrome y Firefox

Herramienta muy potente


Indice

1 Introduccion


3 Miscelanea

4 Conclusiones

5 Referencias


Conclusiones

Realizar testing durante todo el ciclo de vida

¡El pentesting no es un juego! Permiso por escrito

¡Importante! Documentacion con resultados obtenidos

Un buen analisis debe intentar cubrir el maximo de lasuperficie de ataque

Ahorro o perdida de dinero, reputacion, etc.

La importancia de la formacion


Conclusiones


Indice

1 Introduccion


3 Miscelanea

4 Conclusiones

5 Referencias


Referencias

OWASP official webpagehttps://www.owasp.org

Browser security handbookhttps://code.google.com/p/browsersec/wiki/Main

Blog Flu Projecthttp://www.flu-project.com

Blog Seguridad para Todoshttp://www.seguridadparatodos.com

Una al dıahttp://unaaldia.hispasec.com


Esto es todo, amigos...

¡Gracias!

¿Preguntas?

@RabbitLairezequielvazq[at]gmail[dot]com


Technology

Betabeers Sevilla - Hacking web con OWASP