Presentación inteligencia artificial en la actualidad
Hacking web con OWASP
1. Hacking web con OWASP
Ezequiel V´azquez De la calle
Ezequiel V´azquez De la calle Hacking web con OWASP
2. Sobre mi
Estudios
Ingeniero T´ecnico en Inform´atica - UCA
M´aster en Ingenier´ıa del Software - US
Experto en Seguridad de las TIC - US
Experiencia
3+ a˜nos como desarrollador web
Actualmente: DevOps Drupal
Python, C++, GNU/Linux, network programming. . .
Aficiones
Rock’n’Roll (guitarrista) y videojuegos
Narrativa fant´astica, rol, cine. . .
Ezequiel V´azquez De la calle Hacking web con OWASP
3. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
4. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
5. Seguridad
¿Y esto de qu´e va?
Seguridad web
Exposici´on a internet
Vulnerabilidades
Explotaci´on
¿Hackers?
. . .
Dinero
Ezequiel V´azquez De la calle Hacking web con OWASP
6. OWASP
Open Web Application Security Project
Fundaci´on sin ´animo de lucro
Multitud de proyectos: algo ca´otico
Colaboraci´on a nivel mundial, grupos locales
Metodolog´ıa de an´alisis de seguridad web
Ezequiel V´azquez De la calle Hacking web con OWASP
7. OWASP
M´as de 36000 colaboradores
Conferencias por todo el mundo, durante todo el a˜no
En Espa˜na: Asociaci´on de profesionales
Libros, merchandising, etc.
Ezequiel V´azquez De la calle Hacking web con OWASP
9. Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
. . .
Ezequiel V´azquez De la calle Hacking web con OWASP
10. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
11. OWASP Testing Guide
Consideraciones previas
Enfoque de caja negra,
pero incluye pruebas de
todo tipo
Divide las pruebas en fases
asociadas al ciclo de vida
¡No s´olo pentesting!
Disponible como libro,
PDF y wiki
Ezequiel V´azquez De la calle Hacking web con OWASP
12. OWASP Testing Guide
Etapas
1 Antes del desarrollo
Revisar pol´ıticas, est´andares, etc.
Definir m´etricas y criterios de evaluaci´on
2 Durante la definici´on y el dise˜no
Revisar requisitos de seguridad
Revisar dise˜no y arquitectura
Crear y revisar modelos de amenazas
Ezequiel V´azquez De la calle Hacking web con OWASP
13. OWASP Testing Guide
Etapas
3 Durante el desarrollo
Revisar el c´odigo junto con los desarrolladores
4 Durante el despliegue
Realizar test de penetraci´on [!]
Analizar la gesti´on de la configuraci´on
5 Durante el mantenimiento
Revisar la gesti´on de operaciones
Pruebas peri´odicas del estado de salud
Asegurar la verificaci´on de cambios
Ezequiel V´azquez De la calle Hacking web con OWASP
15. Pentesting con OWASP
Adquisici´on de informaci´on
An´alisis de fuentes p´ublicas sobre el sitio web
An´alisis de la ayuda del propio sitio
Uso de spiders, robots y crawlers (puntos de entrada)
An´alisis de metadatos de los ficheros descargables
Ezequiel V´azquez De la calle Hacking web con OWASP
16. Pentesting con OWASP
Google (Bing y Shodan) Hacking
Utilizaci´on de operadores avanzados del buscador.
site: Limitar la b´usqueda a un ´unico dominio
cache: Buscar en la cach´e de Google
inurl: Resultados que contienen un valor en la URL
ext:, filetype: Buscar ficheros con la extensi´on indicada
Ezequiel V´azquez De la calle Hacking web con OWASP
17. Pentesting con OWASP
Revisi´on de la configuraci´on
Uso de SSL (Man In The Middle y SSLStrip a un cliente)
Conexi´on a BBDD (Conexiones remotas)
Sistema operativo del servidor
Configuraci´on del servidor web (Versi´on vulnerable)
M´etodos HTTP permitidos por el servidor (PUT, DELETE)
Ezequiel V´azquez De la calle Hacking web con OWASP
18. Pentesting con OWASP
An´alisis de autenticaci´on
Enumeraci´on de usuarios (M´odulo Views de Drupal)
Ataque de fuerza bruta o diccionario
Bypass del sistema de autenticaci´on (SQLi)
Contrase˜nas suprayectivas
Ezequiel V´azquez De la calle Hacking web con OWASP
19. Pentesting con OWASP
An´alisis de la gesti´on de la sesi´on
Exposici´on de variables de sesi´on
Cookies no cifradas (modificaci´on de atributos)
Cross Site Request Forgery
Ezequiel V´azquez De la calle Hacking web con OWASP
20. Pentesting con OWASP
An´alisis de autorizaci´on y l´ogica de negocio
Acceso a ficheros
Escalado de privilegios
Fallos en la l´ogica de la aplicaci´on
An´alisis de mensajes de error
Ezequiel V´azquez De la calle Hacking web con OWASP
21. Pentesting con OWASP
Validaci´on de datos de entrada y salida
Cross Site Scripting (XSS)
Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)
Buffer overflow
Fuzzing (entrada aleatoria, y/o excesivamente grande)
Ezequiel V´azquez De la calle Hacking web con OWASP
22. Pentesting con OWASP
Denegaci´on de servicio
No liberaci´on de recursos
Almacenamiento de demasiada informaci´on en la sesi´on
Bloqueo de usuarios
Entrada de usuario en un bucle
Gesti´on de peticiones repetitivas (LOIC)
Ezequiel V´azquez De la calle Hacking web con OWASP
23. ¿Y c´omo protejo mi web?
Buenas pr´acticas
Auditor´ıas de seguridad
peri´odicas
Integrar la seguridad en el
desarrollo desde el inicio
Asumir que siempre
habr´a fallos de seguridad
Si alguien va a por
ti. . . (APT)
Encontrar el equilibrio
Ezequiel V´azquez De la calle Hacking web con OWASP
24. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
25. OWASP Top Ten
Lista de vulnerabilidades
m´as comunes
Publicada cada tres a˜nos
Cuarta versi´on en 2013
”Meter el miedo en el
cuerpo”
´Util como referencia r´apida
Ezequiel V´azquez De la calle Hacking web con OWASP
26. OWASP ZAP
Proxy que intercepta peticiones y respuestas
Permite modificar el contenido de ambas
Detecta posibles superficies de ataque
Ezequiel V´azquez De la calle Hacking web con OWASP
27. Nikto2
Esc´aner de vulnerabilidades
web
C´odigo abierto (GPL)
Comprueba versiones
desactualizadas, m´etodos
HTTP, etc.
No est´a dise˜nado como
herramienta stealth
http://www.cirt.net/nikto2
Ezequiel V´azquez De la calle Hacking web con OWASP
28. SQLMap
Automatiza la detecci´on y
explotaci´on de vulnerabilidades
SQLinjection
C´odigo abierto (GPL)
Soporta muchos motores
(MySQL, Oracle, PostgreSQL,
MS SQL Server... ¡hasta Access!)
http://sqlmap.org/
Ezequiel V´azquez De la calle Hacking web con OWASP
29. OWASP Xenotix
Framework de detecci´on y explotaci´on de XSS
Analiza IE, Chrome y Firefox
Herramienta muy potente
Ezequiel V´azquez De la calle Hacking web con OWASP
30. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
31. Conclusiones
Realizar testing durante todo el ciclo de vida
¡El pentesting no es un juego! Permiso por escrito
¡Importante! Documentaci´on con resultados obtenidos
Un buen an´alisis debe intentar cubrir el m´aximo de la
superficie de ataque
Ahorro o p´erdida de dinero, reputaci´on, etc.
La importancia de la formaci´on
Ezequiel V´azquez De la calle Hacking web con OWASP
33. ´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
34. Referencias
OWASP official webpage
https://www.owasp.org
Browser security handbook
https://code.google.com/p/browsersec/wiki/Main
Top ten web hacking techniques (2012)
https://www.whitehatsec.com/resource/grossmanarchives/
12grossmanarchives/120612toptenwebhack.html
Burp Suite
http://portswigger.net/burp
Ezequiel V´azquez De la calle Hacking web con OWASP
35. Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´azquez De la calle Hacking web con OWASP