SEGURIDAD WEBSEGURIDAD WEBMarc Rivero López

About me…

• E-crime intelligence analyst

• Fraud researcher• Crazy Drummer• DragonJAR, Flu-

Project, Security by Default

@seifreed

Índice de la charla

• Introducción• Casos reales• ¿Porqué ocurre?• SQL injection• XSS• Mas vulnerabilidades• CMS• WAF• Recomendaciones

¿EXISTE LA SEGURIDAD?

CASOS REALES

• Web con tecnología Open source

• 437.691,5 € con vulnerabilidades

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

CASOS REALES

¿PORQUE OCURRE ?

¿PORQUE OCURRE ?

• Fallos de programación

• Prisas• 0day• Personal no

formado• La web te la hago

por 10€ o por 437.691.5 €

• CMS, CMS everywhere

Entornos vulnerables

SQL Injection

• Error en la validación• Inyección de código• Alteración del

funcionamiento

SQL Injection

||

XSS REFLECTED Y STORED

• Inyección de código Javascript

• Saltar medidas de protección• <script>alert(23);</

script>';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- ></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

¿MAS VULNERABILIDADES?

• LFI, RFI• Vulnerabilidad

es de servidor

CMS

• Vulnerabilidades en plugins, no en el core

• Instalación a ciegas

CMS

WAF, WAF,WAF

Los WAF no son invencibles

Los WAF no son invencibles

Recomendaciones

¿Preguntas?

Marc Rivero López@seifreedmriverolopez@gmail.comhttp://seifreed.com