Metodologa en una

Auditora Web

Alberto Garca Illera

agarcia@informatica64.com
 AGENDA
INTRODUCCIN - EL MUNDO DE LA SEGURIDAD WEB
PREPARANDO EL TERRENO DE ATAQUE
METODOLOGA EN UNA AUDITORA WEB
FASE 1: Recogida y anlisis de informacin
FASE 2: Deteccin y explotacin de vulnerabilidades
 INTRODUCCIN

El mundo de la Seguridad Web

 Introduccin
Es uno de los ataques a sistemas ms utilizados hoy en da
Pueden llegar a comprometer la totalidad de un sistema
Pueden llegar a comprometer la totalidad de una red
Pueden llegar a comprometer la totalidad de una empresa
Inseguridad en los clientes
Perdida de los mismos
Mala imagen hacia nuevos clientes

DINERO!!!
Por qu a mi?
Mi Sistema es el mas seguro!
Introduccin Mi estructura es
segura!!
 Introduccin - SSL + Firewall !=
Seguridad
Afirmacin comn, pero incorrecta
Aplicacin Web + Firewall + SSL = Web Segura
El Firewall es una parte integral de la seguridad, pero no es una solucin
completa en si misma
Adems de bloquear puertos, algunos firewall proporcionan la capacidad de
examinar las comunicaciones, proporcionando una seguridad avanzada
SSL garantiza el cifrado del trafico en la red. Sin embargo no protege a la
aplicacin de los datos que recibe ni defiende el servidor de una incorrecta
configuracin
 Introduccin WAF
Poco conocidos todava, con muchas finalidades distintas y
complementarias, como: el bloqueo de ataques, la inspeccin de trfico
SSL y HTTP o el filtrado de informacin.
Funcionamiento como dispositivo de red:
Out-line: Recibe una copia del trafico de red, lo analiza y emite alertas e
incluso puede modificar reglas del cortafuegos para filtrar, por ejemplo,
direcciones IP.
In-line: Funciona como proxy inverso, analiza el trafico y puede ,bloquearlo,
generar alertas, etc
 Introduccin - WAF

Funcionamiento como modulo del Servidor Web

Se instala como un modulo en cada servidor Web y se configura para
protegerse de ataques

Productos
SecureIIS de eEye Digital Security (IIS)
ThreatSentry de privacyware (IIS)
dotDefender de AppliCure (IIS y Apache)
modSecurity (Apache)

 Introduccin - Fundamentos en
Seguridad Web
Securizar la red, el servidor y la aplicacin
Una vulnerabilidad en la red pude permitir a un usuario explotar un Servidor o una
aplicacin. Una vulnerabilidad en un Servidor puede permitir a un usuario explotar
una red o una aplicacin. Una vulnerabilidad en una aplicacin puede permitir a un
usuario explotar una red o un servidor
Carlos Lyons, Corporate Security, Microsoft
Introduccin - Ciclo de desarrollo
seguro

1. Identificar los activos

2. Crear informacin general sobre la arquitectura
3. Descomponer la aplicacin
4. Identificar las amenazas
5. Documentar las amenazas
6. Clasificar las amenazas
Introduccin Y esto pasa?
 Metodologas
Auditora Caja Negra
Sin conocimientos del sistema
Sin credenciales
Etctera..

Auditora Caja Blanca

Conocimientos del sistema
Productos
Versiones
Credenciales
Etctera..
 Metodologas
OSSTMM - Open Source Security Testing Methodology Manual
http://www.isecom.org/osstmm

OWASP - Open Web Application Security Project

http://www.owasp.org/index.php
Introduccin OWASP TOP 10
Introduccin - OWASP Top 10 - 2010
Introduccin - OWASP Top 10 - 2010
Mientras tanto..
 METODOLOGA
DE UNA
AUDITORA WEB
 Preparando el terreno de ataque
Qu Sistema Operativo utilizar?
Distribuciones (BackTrack, Samurai, OWASP, etctera)

Qu Navegador utilizar?
Add-Ons (HackBar, Firebug, Live HTTP Headers, TamberData, CookieEditor, etc)

Qu Proxy utilizar?
BurpSuite
WebScarab
ProxyStrike
Paros