Upload
marc-rivero
View
534
Download
2
Tags:
Embed Size (px)
DESCRIPTION
Charla realizada en Stucom sobre seguridad Web, y recomendaciones básicas.
Citation preview
SEGURIDAD WEBSEGURIDAD WEBMarc Rivero López
About me…
• E-crime intelligence analyst
• Fraud researcher• Crazy Drummer• DragonJAR, Flu-
Project, Security by Default
@seifreed
Índice de la charla
• Introducción• Casos reales• ¿Porqué ocurre?• SQL injection• XSS• Mas vulnerabilidades• CMS• WAF• Recomendaciones
¿EXISTE LA SEGURIDAD?
CASOS REALES
• Web con tecnología Open source
• 437.691,5 € con vulnerabilidades
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
CASOS REALES
¿PORQUE OCURRE ?
¿PORQUE OCURRE ?
• Fallos de programación
• Prisas• 0day• Personal no
formado• La web te la hago
por 10€ o por 437.691.5 €
• CMS, CMS everywhere
Entornos vulnerables
SQL Injection
• Error en la validación• Inyección de código• Alteración del
funcionamiento
SQL Injection
||
XSS REFLECTED Y STORED
• Inyección de código Javascript
• Saltar medidas de protección• <script>alert(23);</
script>';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- ></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
¿MAS VULNERABILIDADES?
• LFI, RFI• Vulnerabilidad
es de servidor
CMS
• Vulnerabilidades en plugins, no en el core
• Instalación a ciegas
CMS
WAF, WAF,WAF
Los WAF no son invencibles
Los WAF no son invencibles
Recomendaciones
¿Preguntas?
Marc Rivero López@[email protected]://seifreed.com