Professional Documents
Culture Documents
Agenda
Introduccin a Seguridad Aplicaciones Web Vulnerabilidades: Sql Injection Vulnerabilidades: Cross-Site Scripting Vulnerabilidades: Phising Vulnerabilidades: WebTrojan Vulnerabilidades: Capa 8
Que es Seguridad?
Seguridad, es un termino relativo y no absoluto
Que es lo que esta seguro? Contra quien se esta seguro? Contra que se esta seguro? Hasta cuando se esta seguro? Que intensidad de ataque se puede resistir?
Seguridad
La seguridad depende de 3 factores:
Tecnologa:
Porque Atacan?
Hacer Dao
Alterar, daar or borrar
Motivos Personales
Motivos Financieros
Robar informacin Chantaje Fraudes Financieros
Motivos
La tecnologa tiene fallos. Es muy fcil hacerlo. No hay conciencia clara del delito
Porque MOLA!!
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2002
120 100 80 60
11 1
0 0 0 0 0 0 1 1
0 0
0 0
40 20
0 0
0 0
0 Windows XP EnGarde
Windows 2000
SuSE
Sun (OS)
Mandrake 8.x
Trustix 1.5
RedHat 7.2
Debian
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2003
11 1
120 100 80 60 40 20
0 0
0 0
1 1 1 1 0 0 0
OpenBSD Windows XP Windows 2000 SuSE
1 1
1 1
Fuentes
Debian: http://www.nl.debian.org/security Mandrake: http://www.mandrakesoft.com/security/advisories Microsoft: http://www.microsoft.com/technet/security/current.aspx Open BSD: http://www.openbsd.org/errata35.html Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec Suse: http://www.novell.com/linux/security/advisories.html RedHat: http://www.redhat.com/security/updates/
Vulnerabilidades
http://www.securityfocus.com/bid
Aplicaciones Web
Intranet (ERP/CRM/Productividad)
Informacin privada de acceso interno.
Extranet (Productividad/B2B/B2C)
Informacin privada de acceso externo.
Arquitectura Multicapa
DCOM BBDD
WebServer
Browser
WebServer
WebService
BBDD
Arquitectura: Cliente
Navegador de Internet:
Ejecuta cdigo en contexto de usuario. Lenguajes potentes:
HTML/DHTML vbScript/JavaScript/Jscript
Programas embebidos
Applets Java ActiveX Shockwave Flash
Cdigos No protegidos
Cifrado cliente: Atrise. Ofuscacin de cdigo.
Datos de usuario utilizados en consultas a base de datos. Mala construccin de consultas a bases de datos.
Riesgos
Permiten al atacante:
Saltar restricciones de acceso. Elevacin de privilegios. Extraccin de informacin de la Base de Datos Parada de SGBDR. Ejecucin de comandos en contexto usuario bd dentro del servidor.
Tipos de Ataques
Ejemplo 1:
Autenticacin de usuario contra base de datos.
Usuario Clave
****************
Tipos de Ataques
Ejemplo 1 (cont)
Usuario Clave Administrador
or 1=1
Demo
Tipos de Ataques
Ejemplo 2:
Acceso a informacin con procedimientos de listado.
http://www.miweb.com/prog.asp?parametro1=hola http://www.miweb.com/prog.asp?parametro1=1
Tipos de Ataques
Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1= union select nombre, clave,1,1,1 from tabla_usuarios; otra instruccin; xp_cmdshell(del c:\boot.ini); shutdown - http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instruccin; --
Demo
Contramedidas
No confianza en medias de proteccin en cliente. Comprobacin de datos de entrada. Construccin segura de sentencias SQL. Fortificacin de Servidor Web.
Cdigos de error. Restriccin de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall.
Fortificacin de SGBD.
Restriccin de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.
Riesgos
Ejecucin de cdigo en contexto de usuario que visualiza datos.
Navegacin dirigida Webspoofing Spyware Robo de credenciales Ejecucin de acciones automticas Defacement
Tipos de Ataques
Mensajes en Foros. Firma de libro de visitas. Contactos a travs de web. Correo Web.
Demo
Contramedidas
Fortificacin de aplicacin
Comprobacin fiable de datos
Fortificacin de Clientes
Ejecucin de clientes en entorno menos privilegiado. Fortificacin de navegador cliente.
MBSA. Polticas.
Vulnerabilidades: Phising
Riesgos
Suplantacin de Sitios Web para engaar al usuario. Robo de credenciales de acceso a web restringidos.
Robo de dinero Compras por Internet Bromas pesadas
Tipos de Ataques
Se falsea la direccin de DNS del servidor
Falsificacin hosts DHCP DNS Spoofing
Troyanos, Fsicamente, Shellcodes exploits
Se engaa la navegacin.
Frames Ocultos URLs falseadas.
Se implanta en la nueva ubicacin un servidor replica. Se implantan hasta fakes de certificados digitales
Exploits
infohacking.c om
Contramedidas
Contra Phising
Uso de CA de confianza Formacin a usuarios Gestin de actualizaciones de seguridad Cdigos de aplicaciones seguras Control fsico de la red Comprobacin DHCP
Vulnerabilidades: WebTrojan
Explotacin de Ataque
Servidores Web no fortificados
Ejecucin de programas en almacenes de ficheros. Subida de ficheros a servidores.
Imgenes para publicaciones. Archivos de informes. Currculos, cuentos, etc...
Riesgos
Implantacin de un troyano que puede:
Gestionar ficheros Ejecutar programas Destrozar el sistema Defacement Robo de informacin ....
Tipos de Ataques
Programacin de un troyano en PHP, ASP o JSP Utilizacin de objetos FileObject Subida mediante ASP Upload Busqueda del lugar de almacenamiento Invocacin por URL pblica del servidor Web
Demo
Contramedidas
Fortificacin de servidores Web
Menor Privilegio
Ejecucin de programas en sitios restringidos Listado de directorios ocultos Usuario de servidor en contexto controlado
Vulnerabilidades: Capa 8
Explotacin de Ataque
Falta de conocimiento SD3
Diseo Configuracines Implantacin
Riesgos
Insospechados:
Bases de datos pblicas No proteccin de datos No proteccin de sistemas .....
Tipos de Ataques
Hacking Google Administradores predecibles
http://www.misitio.com/administracion http://www.misitio.com/privado http://www.misitio.com/gestion http://www.misitio.com/basedatos
Estadsticas pblicas
Webalyzer
Demo
Contramedidas
Formacin Ficheros Robots
Robots.txt
LOPD y LSSI
www.lssi.org
Preguntas ?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecucin de laboratorios. Un tcnico por grupo imparte explicaciones tericas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duracin cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas Desarrollo
http://www.microsoft.com/spain/HOLsistemas http://www.microsoft.com/spain/HOLdesarrollo
Madrid, Vigo, Salamanca, Pamplona, Barcelona y Santander. Valladolid Valencia. Valladolid, Tenerife y Sevilla. [Murcia, A Corua y Valencia prximamente]
TechNews
Suscripcin gratuita enviando un mail:
mailto:technews@informatica64.com
Contacto
Chema Alonso
chema@informatica64.com
Informatica64
http://www.informatica64.com http://www.informatica64.com/hol.htm i64@informatica64.com +34 91 226 82 08