Upload
eventos-creativos
View
1.286
Download
0
Embed Size (px)
DESCRIPTION
Charla impartida por Manuel Fernández y Daniel Romero, ambos de la empresa Informática 64 durante el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.
Citation preview
Daniel Romero
Manuel Fernández
Daniel Romero y Manuel Fernández:
Consultores de Seguridad en Informática64
Auditorias Internas/Externas Web
Auditorias Internas/Externas Redes y Sistemas
Análisis Forenses
Desarrollo de aplicaciones
Etcétera…
Veníamos hablar de... ◦ Fallos más comunes en auditorías web
◦ Como encontrarlos en Internet
◦ Casos reales que nos habíamos encontrado
◦ Etcétera...
Y vamos hablar de… ◦ La “mala suerte” que tuvieron nuestros vecinos del 3º con sus vacaciones
Detección de necesidades (contacto con el cliente) ◦ Obtención del número de portales a auditar
◦ Obtención del número de módulos a auditar
◦ Tiempo del proceso de auditoría
◦ Tipo de auditoría que se desea realizar (interna/externa)
◦ Etcétera...
Revisión Inicial del portal a auditar ◦ Obtención de productos, tecnologías, etcétera
FASE 1: Recogida y análisis de información
FASE 2: Detección y explotación de vulnerabilidades
Documentación
Nuestros vecinos decidieron reservar un viaje mediante una agencia de viajes a través de internet.
Unos días después, recibieron una llamada de la agencia de viajes indicándoles la anulación de la reserva, por un problema de disponibilidad de plazas.
Y se quedaron sin vacaciones…
Decidieron ponerse a investigar sobre el portal web de la agencia de viajes..
Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.
Buscaban: Directorios predecibles y confidenciales
Aprovechándose: Desconocimiento del programador
Resultados obtenidos:
Análisis del código fuente
Buscaban: Patrones a la hora de nombrar los directorios o ficheros de la aplicación web, código comentado, includes, etcétera.
Aprovechándose: Confianza/descuido del programador
Resultados obtenidos:
Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.
Buscaban: Ficheros o carpetas que pudieran comprometer la seguridad
Aprovechándose: Patrones en los directorios
Resultados obtenidos:
Técnica (BruteForcing) Técnica utilizada para automatizar los intentos de inicio de sesión en base a diccionarios.
Buscaban: Obtener acceso a los paneles de Login localizados en /w_admin/ y /w_atencioncliente/
Aprovechándose: No implementación de sistemas de seguridad como sistemas de bloqueo o Captchas.
Resultados obtenidos:
Decidieron poner una reclamación a atención al cliente
Técnica (XSS): Número dos en el TOP 10 de OWASP
Buscaban: Robo de cookies de sesión de administradores o usuarios de atención al cliente.
Aprovechándose: Desconocimiento y mala programación del desarrollador
Resultados obtenidos:
Técnica (SQLi): Número uno en el TOP 10 de OWASP
Buscaban: Obtención de información confidencial de la Base de datos
Aprovechándose: Desconocimiento y mala programación del desarrollador
Resultados obtenidos:
Tabla Clientes: 12.000 registros (aprox) SHA1
Tabla Usuarios: 20 registros (aprox) MD5
Entre otras…
Cracking: Aplicar una función de hash sobre un diccionario de palabras para comparar con el hash original
Buscaban: Crackear los hashes MD5
Aprovechándose: Falta de implementación de funciones de SALT
Resultados obtenidos:
10/19 + 8/19 + 6/19 = 11/19
Webshells: Son pequeñas aplicaciones web que permiten a un atacante interactuar directamente con el sistema.
Buscaban: Obtener acceso al sistema de ficheros del servidor web y ejecución de comandos.
◦ Ficheros de configuración
◦ Ficheros confidenciales
◦ Etcétera..
Aprovechándose: Mala implementación en el filtrado de la subida de ficheros.
Resultados obtenidos:
Elevación de privilegios (BBDD): Conexión a la Base de Datos a con permisos de ‘root’.
Buscaban: Lectura, escritura y modificación de la Base de datos
Aprovechándose: Fugas de información en ficheros
Resultados obtenidos:
Existencia de multitud de exploits que afectan al kernel 2.6.31-14, vulnerable a escalada de privilegios…
Buscaban: Disfrutar de las vacaciones que habían planeado
Resultados obtenidos:
Mucha información, poco conocimiento.
Poca seguridad en el portal web, siendo este la ‘carta de bienvenida’ a cualquier usuario.
Ausencia de sistemas de seguridad alternativos (Ej: WAF, IDS, IPS)
La criticidad de los puntos anteriores se incrementan cuando el portal web permite la realización de compras o movimientos de dinero.
Daniel Romero - [email protected]
Manuel Fernández - [email protected]