Presentación de PowerPoint · SQL Injection Técnica de web Shell Técnicas de DOS • ¿Qué pasa...

“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015

FRAMEWORK DE ATAQUES WEB v 1.0

Como los Ciberdelincuentes se aprovechan de sitios web

inseguros

Agenda


• ¿Qué pasa cuando un sitio web se encuentra sin seguridad?

Técnica de robo de Credenciales viajando de forma insegura

Técnica hombre en el medio (MiTM)

Re-direccionamiento y reenvíos no válidos

Configuración por defecto

Cross Site Scripting Frame

SQL Injection

Técnica de web Shell

Técnicas de DOS

• ¿Qué pasa cuando un sitio web se encuentra con seguridad?

• Buenas prácticas para sitios web. “Best Practices”

• 5 Alertas de Sitios web Vulnerables

• Sitios Web comprometidos

• Reflexión

Técnica de robo de Credenciales viajando de forma insegura


Técnica hombre en el medio (MiTM)


Re-direccionamiento y reenvíos no válidos


Configuración por defecto


Google Dorks


Google Dorks

ext:pwd inurl:(service | authors | administrators | users) “# -FrontPage-“http://csml9.pme.nthu.edu.tw:8080/old%20webs/frontpage%20webs/content/_vti_pvt/service.pwdhttp://www.ksghauser.harvard.edu/philanthropyclassics/_vti_pvt/service.pwdhttp://www.ricepropulsion.com/_vti_pvt/service.pwd

filetype:sql “MySQL dump” (pass|password|passwd|pwd)filetype:sql “# dumping data for table” “`PASSWORD` varchar”http://dis.unal.edu.co/~icasta/GGP/_Ver_2009_1/GGP_2009_1_gr2/GGP20091GR2_Ciclo2/GGP20091GR2_C2Ef/Instalacion_Producto/CreacionBD-SIAC.sqlhttp://ccia.ei.uvigo.es/docencia/SCS/1112/jee/scs_reservas.sqlhttp://proyectocompartedeporte.googlecode.com/svn-history/r135/trunk/compartedeporte/src/compartedeporte.sqlhttp://www.aviatecenter.com/burdekin/handle/my_db.sqlhttp://www.tuttoacasaonline.com/sql/ion_auth.sql

intitle:”index of” “Index of /” password.txthttp://www.cse.buffalo.edu/~rapaport/727cva/EMAIL/http://gray-world.net/etc/passwd/http://www.hackershandbook.org/1000/

camera linksys inurl:main.cgi 700 cámaras disponibles para que un hacker nos vea. No hace falta contraseña, para entrarhttp://camera.hadstenhouse.com/main.cgi?next_file=v_video.htmhttp://mail.duncan.ca:58650/img/main.cgi?next_file=main.htm

inurl:”ViewerFrame?Mode=” 83.000 cámaras disponibles para espiar sin necesidad de contraseñahttp://74.94.148.163:8080/ViewerFrame?Mode=Motionhttp://60.45.63.26/ViewerFrame?Mode=Motion&Language=0http://61.211.241.239/ViewerFrame?Mode=Motion&Language=1http://kamera-mu.licanet.cz/ViewerFrame?Mode=Motion&Language=0http://shiretoko.miemasu.net/CgiStart?page=Single&Mode=Motion&Language=1

Impresorashttp://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi


http://csml9.pme.nthu.edu.tw:8080/old webs/frontpage webs/content/_vti_pvt/service.pwd

http://www.ksghauser.harvard.edu/philanthropyclassics/_vti_pvt/service.pwd

http://www.ricepropulsion.com/_vti_pvt/service.pwd

http://dis.unal.edu.co/~icasta/GGP/_Ver_2009_1/GGP_2009_1_gr2/GGP20091GR2_Ciclo2/GGP20091GR2_C2Ef/Instalacion_Producto/CreacionBD-SIAC.sql

http://ccia.ei.uvigo.es/docencia/SCS/1112/jee/scs_reservas.sql

http://proyectocompartedeporte.googlecode.com/svn-history/r135/trunk/compartedeporte/src/compartedeporte.sql

http://www.aviatecenter.com/burdekin/handle/my_db.sql

http://www.tuttoacasaonline.com/sql/ion_auth.sql

http://www.cse.buffalo.edu/~rapaport/727cva/EMAIL/

http://gray-world.net/etc/passwd/

http://www.hackershandbook.org/1000/

http://camera.hadstenhouse.com/main.cgi?next_file=v_video.htm

http://mail.duncan.ca:58650/img/main.cgi?next_file=main.htm

http://74.94.148.163:8080/ViewerFrame?Mode=Motion

http://60.45.63.26/ViewerFrame?Mode=Motion&Language=0

http://61.211.241.239/ViewerFrame?Mode=Motion&Language=1

http://kamera-mu.licanet.cz/ViewerFrame?Mode=Motion&Language=0

http://shiretoko.miemasu.net/CgiStart?page=Single&Mode=Motion&Language=1

http://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi

http://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi

Cross Site Scripting Frame


SQL Injection


Técnica de web Shell Upload

http://remingtonsconstruction.com/var_off.php5


Técnica de web Shell Upload

http://corz.org/corz/c99.php


Técnica de D.O.S (POC)


https://thc.org/thc-ssl-dos/

Técnica de D.O.S (ATTACK)


https://thc.org/thc-ssl-dos/

Técnica de D.O.S (LOIC)


BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA PARA SITIOS WEB


Credenciales viajando de forma Segura


Credenciales viajando de forma Segura (MiTM)


Identificando Certificados Digitales válidos


Sitios web Comprometidos


Algunos sitios comprometidos a nivel nacional


Algunos sitios comprometidos a nivel nacional

http://www.fiducoldex.com.co/

http://zonehmirrors.org/defaced/2014/09/01/www.fiducoldex.com.co/www.fiducoldex.com.co/index.html

https://coagronorte.com.co/

https://www.zone-h.org/mirror/id/24828886/

http://www.csc.gov.co/framework/

http://zonehmirrors.org/defaced/2015/09/10/portaltransaccional.csc.gov.co/portaltransaccional.csc.gov.co/index.html%3FAccesoID=84634F2D9217&RegistroID=47124C00B17A

http://www.mineducacion.gov.co/1621/w3-channel.html

http://zonehmirrors.org/defaced/2015/09/11/portalapp.mineducacion.gov.co/portalapp.mineducacion.gov.co/auditoria/

http://teletrabajo.gov.co/portal/

http://zonehmirrors.org/defaced/2015/09/15/teletrabajo.mintic.gov.co/teletrabajo.mintic.gov.co/libroblanco/

http://www.secretariadeambiente.gov.co/

http://zonehmirrors.org/defaced/2014/09/08/www.secretariadeambiente.gov.co/www.secretariadeambiente.gov.co/

Historia patria

http://www.federacionvenezolanadefutbol.org/

https://www.zone-h.org/mirror/id/19552064

Fuente: https://www.zone-h.org/archive

Algunos sitios comprometidos a nivel Internacional

https://www.nsa.gov/



https://www.nsa.gov/


Algunos sitios comprometidos a nivel Internacional


Guía de Seguridad WEB

https://www.owasp.org/index.php/Bogota https://www.owasp.org/index.php/Main_Page

https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf

http://sourceforge.net/projects/mantraos/


BEST PRACTICE

https://benchmarks.cisecurity.org/



Modificación del INDEX

Modificación por fecha de los archivos

5 Alertas de sitios vulnerables



Permisos de Lectura, escritura y ejecución en los archivos de la aplicación

Procesos desconocidos en el sistema operativo


Alto consumo de recursos de hardware


BEST PRACTICE

Implementar un modelo de permisos mínimos, es mejor ir escalando privilegios por demanda de acuerdo a los perfiles establecidos en las etapas de diseño.

Si se utiliza un lenguaje que no sea compilado, asegurarse de limpiar el código que se pone en producción, para que no contenga rutinas de pruebas, comentarios o cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.

Nunca confiar en los datos que ingresan a la aplicación, todo debe ser verificado para garantizar que lo que está ingresando a los sistemas es lo esperado y además evitar inyecciones de código.

Hacer un seguimiento de las tecnologías utilizadas para el desarrollo. Estas van evolucionando y cualquier mejora que se haga puede dejar obsoleta o inseguras versiones anteriores.

Todos los accesos que se hagan a los sistemas deben ser validados.


BEST PRACTICE

Para intercambiar información sensible utilizar protocolos para cifrar las comunicaciones, y en el caso de almacenamiento la información confidencial debería estar cifrada utilizando algoritmos fuertes y claves robustas.

Cualquier funcionalidad, campo, botón o menú nuevo debe agregarse de acuerdo a los requerimientos de diseño. De esta forma se evita tener porciones de código que resultan siendo innecesarias.

La información almacenada en dispositivos clientes debe ser la mínima, y más si se trata de contraseñas o datos de sesión. Este tipo de dispositivos son los más propensos a recibir ataques y por lo tanto su información puede ser expuestas más fácilmente.

Cualquier cambio que se haga debería quedar documentado, esto facilitará modificaciones futuras.

Poner más cuidado en los puntos más vulnerables, no hay que olvidar que el nivel máximo de seguridad viene dado por el punto más débil.


REFLEXIÓN

Un atacante necesita solamente un pequeño error, una vulnerabilidad para lograr su cometido.

Ser responsables con los procesos es la mejor defensa, y no está de más preguntarse si es mejor invertir unas semanas más en desarrollo, que perder reputación y dinero en un

instante por un incidente de seguridad.

Si dentro de la empresa descuidan los temas de seguridad por acelerar la operatividad del

negocio, podemos estar dejando la puerta abierta a que se comprometa la seguridad de

la información.


PREGUNTAS?


AGRADECIMIENTOS


Fuentes de consulta:


https://www.zone-h.org/archive

http://hackerss.com/24-sitios-web-del-gobierno-de-mexico-fueron-hackeados-por-anonymous.html

http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphone-security-breach-only-very-targeted-attacks.htm

https://www.youtube.com/watch?v=SI7hLp01MxU

https://www.zone-h.org/archive

http://hackerss.com/24-sitios-web-del-gobierno-de-mexico-fueron-hackeados-por-anonymous.html

http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphone-security-breach-only-very-targeted-attacks.htm

https://www.youtube.com/watch?v=SI7hLp01MxU

Presentación de PowerPoint · SQL Injection Técnica de web Shell Técnicas de DOS • ¿Qué pasa...

Documents

Transcript of Presentación de PowerPoint · SQL Injection Técnica de web Shell Técnicas de DOS • ¿Qué pasa...