Presentación de PowerPoint · SQL Injection Técnica de web Shell Técnicas de DOS • ¿Qué pasa...
Transcript of Presentación de PowerPoint · SQL Injection Técnica de web Shell Técnicas de DOS • ¿Qué pasa...
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
FRAMEWORK DE ATAQUES WEB v 1.0
Como los Ciberdelincuentes se aprovechan de sitios web
inseguros
Agenda
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
• ¿Qué pasa cuando un sitio web se encuentra sin seguridad?
Técnica de robo de Credenciales viajando de forma insegura
Técnica hombre en el medio (MiTM)
Re-direccionamiento y reenvíos no válidos
Configuración por defecto
Cross Site Scripting Frame
SQL Injection
Técnica de web Shell
Técnicas de DOS
• ¿Qué pasa cuando un sitio web se encuentra con seguridad?
• Buenas prácticas para sitios web. “Best Practices”
• 5 Alertas de Sitios web Vulnerables
• Sitios Web comprometidos
• Reflexión
Técnica de robo de Credenciales viajando de forma insegura
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Técnica hombre en el medio (MiTM)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Re-direccionamiento y reenvíos no válidos
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Configuración por defecto
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Google Dorks
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Google Dorks
ext:pwd inurl:(service | authors | administrators | users) “# -FrontPage-“http://csml9.pme.nthu.edu.tw:8080/old%20webs/frontpage%20webs/content/_vti_pvt/service.pwdhttp://www.ksghauser.harvard.edu/philanthropyclassics/_vti_pvt/service.pwdhttp://www.ricepropulsion.com/_vti_pvt/service.pwd
filetype:sql “MySQL dump” (pass|password|passwd|pwd)filetype:sql “# dumping data for table” “`PASSWORD` varchar”http://dis.unal.edu.co/~icasta/GGP/_Ver_2009_1/GGP_2009_1_gr2/GGP20091GR2_Ciclo2/GGP20091GR2_C2Ef/Instalacion_Producto/CreacionBD-SIAC.sqlhttp://ccia.ei.uvigo.es/docencia/SCS/1112/jee/scs_reservas.sqlhttp://proyectocompartedeporte.googlecode.com/svn-history/r135/trunk/compartedeporte/src/compartedeporte.sqlhttp://www.aviatecenter.com/burdekin/handle/my_db.sqlhttp://www.tuttoacasaonline.com/sql/ion_auth.sql
intitle:”index of” “Index of /” password.txthttp://www.cse.buffalo.edu/~rapaport/727cva/EMAIL/http://gray-world.net/etc/passwd/http://www.hackershandbook.org/1000/
camera linksys inurl:main.cgi 700 cámaras disponibles para que un hacker nos vea. No hace falta contraseña, para entrarhttp://camera.hadstenhouse.com/main.cgi?next_file=v_video.htmhttp://mail.duncan.ca:58650/img/main.cgi?next_file=main.htm
inurl:”ViewerFrame?Mode=” 83.000 cámaras disponibles para espiar sin necesidad de contraseñahttp://74.94.148.163:8080/ViewerFrame?Mode=Motionhttp://60.45.63.26/ViewerFrame?Mode=Motion&Language=0http://61.211.241.239/ViewerFrame?Mode=Motion&Language=1http://kamera-mu.licanet.cz/ViewerFrame?Mode=Motion&Language=0http://shiretoko.miemasu.net/CgiStart?page=Single&Mode=Motion&Language=1
Impresorashttp://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Cross Site Scripting Frame
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
SQL Injection
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Técnica de web Shell Upload
http://remingtonsconstruction.com/var_off.php5
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Técnica de web Shell Upload
http://corz.org/corz/c99.php
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Técnica de D.O.S (POC)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
https://thc.org/thc-ssl-dos/
Técnica de D.O.S (ATTACK)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
https://thc.org/thc-ssl-dos/
Técnica de D.O.S (LOIC)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA PARA SITIOS WEB
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Credenciales viajando de forma Segura
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Credenciales viajando de forma Segura (MiTM)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Identificando Certificados Digitales válidos
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Sitios web Comprometidos
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Algunos sitios comprometidos a nivel nacional
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Algunos sitios comprometidos a nivel nacional
http://www.fiducoldex.com.co/
http://zonehmirrors.org/defaced/2014/09/01/www.fiducoldex.com.co/www.fiducoldex.com.co/index.html
https://coagronorte.com.co/
https://www.zone-h.org/mirror/id/24828886/
http://www.csc.gov.co/framework/
http://zonehmirrors.org/defaced/2015/09/10/portaltransaccional.csc.gov.co/portaltransaccional.csc.gov.co/index.html%3FAccesoID=84634F2D9217&RegistroID=47124C00B17A
http://www.mineducacion.gov.co/1621/w3-channel.html
http://zonehmirrors.org/defaced/2015/09/11/portalapp.mineducacion.gov.co/portalapp.mineducacion.gov.co/auditoria/
http://teletrabajo.gov.co/portal/
http://zonehmirrors.org/defaced/2015/09/15/teletrabajo.mintic.gov.co/teletrabajo.mintic.gov.co/libroblanco/
http://www.secretariadeambiente.gov.co/
http://zonehmirrors.org/defaced/2014/09/08/www.secretariadeambiente.gov.co/www.secretariadeambiente.gov.co/
Historia patria
http://www.federacionvenezolanadefutbol.org/
https://www.zone-h.org/mirror/id/19552064
Fuente: https://www.zone-h.org/archive
Algunos sitios comprometidos a nivel Internacional
https://www.nsa.gov/
https://www.zone-h.org/mirror/id/9678402
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Algunos sitios comprometidos a nivel Internacional
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Algunos sitios comprometidos a nivel Internacional
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Algunos sitios comprometidos a nivel Internacional
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Guía de Seguridad WEB
https://www.owasp.org/index.php/Bogota https://www.owasp.org/index.php/Main_Page
https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
http://sourceforge.net/projects/mantraos/
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
BEST PRACTICE
https://benchmarks.cisecurity.org/
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Modificación del INDEX
Modificación por fecha de los archivos
5 Alertas de sitios vulnerables
5 Alertas de sitios vulnerables
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Permisos de Lectura, escritura y ejecución en los archivos de la aplicación
Procesos desconocidos en el sistema operativo
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Alto consumo de recursos de hardware
5 Alertas de sitios vulnerables
BEST PRACTICE
Implementar un modelo de permisos mínimos, es mejor ir escalando privilegios por demanda de acuerdo a los perfiles establecidos en las etapas de diseño.
Si se utiliza un lenguaje que no sea compilado, asegurarse de limpiar el código que se pone en producción, para que no contenga rutinas de pruebas, comentarios o cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.
Nunca confiar en los datos que ingresan a la aplicación, todo debe ser verificado para garantizar que lo que está ingresando a los sistemas es lo esperado y además evitar inyecciones de código.
Hacer un seguimiento de las tecnologías utilizadas para el desarrollo. Estas van evolucionando y cualquier mejora que se haga puede dejar obsoleta o inseguras versiones anteriores.
Todos los accesos que se hagan a los sistemas deben ser validados.
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
BEST PRACTICE
Para intercambiar información sensible utilizar protocolos para cifrar las comunicaciones, y en el caso de almacenamiento la información confidencial debería estar cifrada utilizando algoritmos fuertes y claves robustas.
Cualquier funcionalidad, campo, botón o menú nuevo debe agregarse de acuerdo a los requerimientos de diseño. De esta forma se evita tener porciones de código que resultan siendo innecesarias.
La información almacenada en dispositivos clientes debe ser la mínima, y más si se trata de contraseñas o datos de sesión. Este tipo de dispositivos son los más propensos a recibir ataques y por lo tanto su información puede ser expuestas más fácilmente.
Cualquier cambio que se haga debería quedar documentado, esto facilitará modificaciones futuras.
Poner más cuidado en los puntos más vulnerables, no hay que olvidar que el nivel máximo de seguridad viene dado por el punto más débil.
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
REFLEXIÓN
Un atacante necesita solamente un pequeño error, una vulnerabilidad para lograr su cometido.
Ser responsables con los procesos es la mejor defensa, y no está de más preguntarse si es mejor invertir unas semanas más en desarrollo, que perder reputación y dinero en un
instante por un incidente de seguridad.
Si dentro de la empresa descuidan los temas de seguridad por acelerar la operatividad del
negocio, podemos estar dejando la puerta abierta a que se comprometa la seguridad de
la información.
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
PREGUNTAS?
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
AGRADECIMIENTOS
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
Fuentes de consulta:
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015
https://www.zone-h.org/archive
http://hackerss.com/24-sitios-web-del-gobierno-de-mexico-fueron-hackeados-por-anonymous.html
http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphone-security-breach-only-very-targeted-attacks.htm
https://www.youtube.com/watch?v=SI7hLp01MxU