SlideShare une entreprise Scribd logo

Su Seguridad es Nuestro Análisis de Eco

Internet Security Auditors
Internet Security Auditors

Presentación ofrecida en el marco del IV Owasp Spain Chapter Meeting. En esta conferencia se presentaron técnicas de análisis de aplicaciones mediante técnicas de respuestas de eco.

Technologie
1  sur  26
Télécharger pour lire hors ligne
Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
Su Seguridad es Nuestro Éxito Análisis de Eco OWASP Conference, Noviembre 2008 Jesus Olmos Gonzalez (jolmos@isecauditors.com)
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 3 Análisis de eco Índice 1. Problemática en la auditoría de Caja Negra. 2. Caja Negra sin eco. 3. Deducción de código. 4. Filtros vs Saneos. 5. Búsqueda de salidas. 6. ¿Qué es el eco? 7. Análisis de los ecos. 8. Ecos indirectos. 9. Autómatas finitos de cara a deducir la evasión. 10. Conclusiones y recomendaciones.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 4 Análisis de eco 1. Problemática en la auditoría de Caja Negra. • No vemos el código. • Imposible probar todos los casos. • Los tipos de vulnerabilidades Web hoy día son “Well Known” (la humanidad cuenta con un rico histórico de vulnerabilidades) • Los desarrolladores validan los datos cada vez más. (pero no mejor) • Se realizan validaciones deficientes que no protegen la vulnerabilidad y además dificultan su detección. Ejemplo: „  ‟ /^‟.*(or|and)/
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 5 Análisis de eco 2. Caja Negra sin eco. • Se induce un input • Se observa el output • Se buscan relaciónes entre el input y el output • Se analizan las precondiciones • Se analizan las poscondiciones Input output
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 6 Análisis de eco 3. Deducción de código. • En vez de ir realizando ataques hasta que alguno “funcione” es más efectivo tantear en busca del fallo y posteriormente explotarlo. • Este tanteo, consiste en estudiar los input/output de cara a elaborar un pseudocódigo. • Importante no atacar, sino analizar.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 7 Análisis de eco 3. Deducción de código. • Es más importante una interpretación correcta del output, que emitir un input acertado. • Que componente interno nos da el error (BBDD, SA, SW, FWA, ..) (Ejemplo real: percepción subconsciente de un FWA mediante un cambio de fuente) • Que inputs “hacen daño” (cancelación de operativa, timmings largos, errores no controlados) • Cada aplicación funciona diferente, entender a los programadores, estudiar código de cliente, analizar errores. • Variables de decisión, variables permanentes, variables de llamada externa.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 8 Análisis de eco 3. Deducción de código. • Correlación input  error, que input provoca que error. • Significado subyacente de los errores y de los timmings. Ejemplo de análisis de una operativa: „  Error genérico. >  Continua la operativa correctamente. }  Tiempo de espera largo + Error genérico. |  Continúa la operativa + Error genérico. ¿Qué byte ha hecho más daño?
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 9 Análisis de eco 3. Deducción de código – Timmings. Acceso a Datos Acceso a Sistema de Ficheros Acceso a memoria Nanosegundos Milisegundos Segundos Retardo Internet Milisegundos
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 10 Análisis de eco 4. Filtros vs Saneos. • Los filtros permiten detectar y registrar el intento de ataque. • Los filtros deniegan la operativa, el atacante puede darse cuenta que no se ha realizado la operativa. De manera que són más fáciles de analizar. • Los saneos limpian las variables y proceden con la operativa. • Los filtros y saneos se pueden hacer en una sola instrucción de código o diversas, el resultado no será el mismo. (análisis de orden de filtros) • Los saneos se pueden entorpecer entre ellos. • En ambos casos hay que tener en cuenta las transformaciones de datos, por ejemplo decodificaciones. En cuanto se codifique o decodifique o se transforme el valor se puede crear el ataque.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 11 Análisis de eco 4. Filtros vs Saneos. • La mayoría vulnerabilidades existen simplemente por el escape de contexto. Ejemplo: „input‟  El input no deberá de contener „ *input*  El input no deberá de contener * comando del sistema ping „input‟  input no deberá contener „ • Filtraremos o sanearemos el delimitador, para evitar escapes de contexto.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 12 Análisis de eco 4. Filtros vs Saneos. Input Filtro de Longitud Acceso a fichero Filtro de SQL Filtro de Trasnversal Err Generico Timming + Err Generico Operación OK Acceso a BD Dato incorrecto ¿El código conduce al usuario o el usuario conduce al código?
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 13 Análisis de eco 5. Búsqueda de salidas. • Existe una vulnerabilidad, pero el filtro nos impide ver su existencia.  Analizar los filtros en vez de atacar directamente.  Aplicar evasiones. • Es posible incluso estar explotándola correctamente pero no percibirlo.  Buscar una salida. • Provocar retardos. (sleeps de SO, BD, …, carga de ficheros largos, SQL pesada) • Retroconexiones. • Envío por email • Aprovechar componentes que permitan una salida (ej envío de sms) • DoS en terceras aplicaciones
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 14 Análisis de eco 6. ¿Que es el eco o echo? • Si input ~= output  eco Input output
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 15 Análisis de eco 6. ¿Que es el eco o echo?
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 16 Análisis de eco 7. Análisis de eco Ejemplo: eco‟|”<  Búsquedas relacionadas con: <b>eco&#39;|&quot;&lt;</b> eco*  <title>eco* - Buscar con Google</title> • Saneados = { „,“,< } • Aceptados = {e,c,o,|,*} • Se puede determinar el alfabeto permitido con el cual crear palabras de ataque. • El eco permite analizar con mayor exactitud las alteraciones que ha sufrido el input antes de llegar al output.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 17 Análisis de eco 7. Análisis de eco • Chequeo automatizado: Is vulnerable to echo analysis ' ==> &#39; Sanitized " ==> &quot; Sanitized ` ==> ` Accepted $ ==> $ Accepted - ==> - Accepted * ==> * Accepted %3f(?) ==> ? Accepted %26(%26) ==> &amp; Sanitized < ==> &lt; Sanitized > ==> &gt; Sanitized ( ==> ( Accepted ) ==> ) Accepted … %39(9) ==> 9 Accepted %3a(:) ==> : Accepted %3b(;) ==> ; Accepted %3c(%3c) ==> &lt; Sanitized %3d(=) ==> = Accepted %3e(%3e) ==> &gt; Sanitized %3f(?) ==> ? Accepted %40(@) ==> @ Accepted %41(A) ==> A Accepted %42(B) ==> B Accepted %43(C) ==> C Accepted …
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 18 Análisis de eco 8. Eco indirecto • No hay eco pero se puede intuir a partir de la respuesta.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 19 Análisis de eco 8. Eco indirecto
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 20 Análisis de eco 8. Eco indirecto • No filtran ni sanean el asterisco.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 21 Análisis de eco 8. Eco indirecto • • No filtra el byte º <b>owaspº</b> • Parece un error interno bien disimulado, pero no lo es.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 22 Análisis de eco 8. Eco indirecto • En una variable cambia < por &lt; sin embargo en otra lo suprime y no influye en la búsqueda ni a 3º party apps.
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 23 Análisis de eco 8. Eco indirecto .
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 24 Análisis de eco 8. Eco indirecto Input: búsqueda Saneo1 Outputs eco: titulo,recuerda búsqueda, búsquedas relacionadas Outputs eco indirecto: Resultados de búsqueda Output: timming Operativas Saneo2 • En el eco el input está conectado con el output, en el “indirecto” tenemos un output generado a partir del input WS: decodifica
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 25 Análisis de eco 9. Autómatas finitos de los filtros • Una vez identificada la validación, se puede analizar los estados de aceptación de su autómata finito. • Ejemplo: • Regexp: /^„.*/ (todo lo que comience por comilla es un ataque) • Alfabeto del atacante E = { „ a-z } • Serán aceptadas: λ (null) o comillas que no estén al inicio A B„ λ „ a-z a-z
© I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 26 Análisis de eco 10. Conclusiones y Recomendaciones • Analisis de filtro en vez de probar ataques y probar evasiones. (un analizador automático que haga esto está bien, detectará rápidamente las vulnerabilidades menos escondidas) • Solventar los problemas desde diseño, el poner una validación en algunos casos implica tapar el problema. • Diseñar evasiones personalizadas para el filtro / saneo identificado. • Usar variables de decisión para esquivar validaciones. • Reducir los inputs y outputs. • Reducir la inferencia de los outputs.

Recommandé

Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOInternet Security Auditors
 
COMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptCOMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptSusanaMileydiAlfaroL
 
Convertir a word este manual bueno
Convertir a word este manual buenoConvertir a word este manual bueno
Convertir a word este manual buenosoportemv
 
Presentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxPresentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxFabricioMogroMantill
 
4.asll1
4.asll14.asll1
4.asll1Rober Alonso Carrion Chamba
 

Recommandé

Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOInternet Security Auditors
 
COMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptCOMPUERTASlogicasssssssssssssssssssss.ppt
COMPUERTASlogicasssssssssssssssssssss.pptSusanaMileydiAlfaroL
 
Convertir a word este manual bueno
Convertir a word este manual buenoConvertir a word este manual bueno
Convertir a word este manual buenosoportemv
 
Presentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxPresentacion Final_Grupo 1 (1).pptx
Presentacion Final_Grupo 1 (1).pptxFabricioMogroMantill
 
4.asll1
4.asll14.asll1
4.asll1Rober Alonso Carrion Chamba
 
Analogico y-digital
Analogico y-digitalAnalogico y-digital
Analogico y-digital5transmisiondedatos
 
Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistenciasAntonio Olivares
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizVictor Manuel Nuñez
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoluisj9212
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoAlberto Vargas
 
Practica 1
Practica 1Practica 1
Practica 1hlopezpepe
 
Digital
DigitalDigital
Digitaltoni
 
Digital E
Digital EDigital E
Digital Etoni
 
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...nica2009
 
Unidad 1 fundamentos de circuitos logicos
Unidad 1 fundamentos de circuitos logicosUnidad 1 fundamentos de circuitos logicos
Unidad 1 fundamentos de circuitos logicosIvan Aaron Martinez Prime
 
Exposicion unida metodo taguchi
Exposicion unida metodo taguchiExposicion unida metodo taguchi
Exposicion unida metodo taguchiTRANSACCIONES CLAMERS
 
PRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALESPRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALESFer Rondal
 
Actividades digital u_1 paola
Actividades digital u_1 paolaActividades digital u_1 paola
Actividades digital u_1 paolatatycande
 
Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)jesusnenji
 
electrónica digital
electrónica digitalelectrónica digital
electrónica digitalVidal Rangel
 
SISMOGRAFO
SISMOGRAFOSISMOGRAFO
SISMOGRAFOCesarBulla1
 
2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologicaAland Bravo Vecorena
 
Informefinalmicro3
Informefinalmicro3Informefinalmicro3
Informefinalmicro3marioccoyori
 
Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)jairote1974
 
ECDA
ECDAECDA
ECDAJuan Carlos Pachón Espitia
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Contenu connexe

Similaire à Su Seguridad es Nuestro Análisis de Eco

Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistenciasAntonio Olivares
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizVictor Manuel Nuñez
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoluisj9212
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogicoAlberto Vargas
 
Digital
DigitalDigital
Digitaltoni
 
Digital E
Digital EDigital E
Digital Etoni
 
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...nica2009
 
PRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALESPRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALESFer Rondal
 
Actividades digital u_1 paola
Actividades digital u_1 paolaActividades digital u_1 paola
Actividades digital u_1 paolatatycande
 
Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)jesusnenji
 
electrónica digital
electrónica digitalelectrónica digital
electrónica digitalVidal Rangel
 
2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologicaAland Bravo Vecorena
 
Informefinalmicro3
Informefinalmicro3Informefinalmicro3
Informefinalmicro3marioccoyori
 
Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)jairote1974
 

Similaire à Su Seguridad es Nuestro Análisis de Eco (20)

Analogico y-digital
Analogico y-digitalAnalogico y-digital
Analogico y-digital
 
Laboratorio fisica resistencias
Laboratorio fisica resistenciasLaboratorio fisica resistencias
Laboratorio fisica resistencias
 
Diagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotrizDiagnostico de-sistema-electronico-automotriz
Diagnostico de-sistema-electronico-automotriz
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogico
 
Sistema digita l_analogico
Sistema digita l_analogicoSistema digita l_analogico
Sistema digita l_analogico
 
Practica 1
Practica 1Practica 1
Practica 1
 
Digital
DigitalDigital
Digital
 
Digital E
Digital EDigital E
Digital E
 
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
Lecture 21 detección de códigos de redundancia cíclicos. probabilidad de erro...
 
Unidad 1 fundamentos de circuitos logicos
Unidad 1 fundamentos de circuitos logicosUnidad 1 fundamentos de circuitos logicos
Unidad 1 fundamentos de circuitos logicos
 
Exposicion unida metodo taguchi
Exposicion unida metodo taguchiExposicion unida metodo taguchi
Exposicion unida metodo taguchi
 
PRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALESPRESENTACIÓN DE LOS CIRCUITOS DIGITALES
PRESENTACIÓN DE LOS CIRCUITOS DIGITALES
 
Actividades digital u_1 paola
Actividades digital u_1 paolaActividades digital u_1 paola
Actividades digital u_1 paola
 
Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)Informe 5 cartas de control p (2)
Informe 5 cartas de control p (2)
 
electrónica digital
electrónica digitalelectrónica digital
electrónica digital
 
SISMOGRAFO
SISMOGRAFOSISMOGRAFO
SISMOGRAFO
 
2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica2014 ii c02t-estacion meteorologica
2014 ii c02t-estacion meteorologica
 
Informefinalmicro3
Informefinalmicro3Informefinalmicro3
Informefinalmicro3
 
Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)Material de lectura_de_electronica_digital (1)
Material de lectura_de_electronica_digital (1)
 
ECDA
ECDAECDA
ECDA
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 

Dernier

Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxkimontey
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadEduardoSantiagoSegov
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 

Dernier (20)

Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedad
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 

Su Seguridad es Nuestro Análisis de Eco

  • 1. Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
  • 2. Su Seguridad es Nuestro Éxito Análisis de Eco OWASP Conference, Noviembre 2008 Jesus Olmos Gonzalez (jolmos@isecauditors.com)
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 3 Análisis de eco Índice 1. Problemática en la auditoría de Caja Negra. 2. Caja Negra sin eco. 3. Deducción de código. 4. Filtros vs Saneos. 5. Búsqueda de salidas. 6. ¿Qué es el eco? 7. Análisis de los ecos. 8. Ecos indirectos. 9. Autómatas finitos de cara a deducir la evasión. 10. Conclusiones y recomendaciones.
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 4 Análisis de eco 1. Problemática en la auditoría de Caja Negra. • No vemos el código. • Imposible probar todos los casos. • Los tipos de vulnerabilidades Web hoy día son “Well Known” (la humanidad cuenta con un rico histórico de vulnerabilidades) • Los desarrolladores validan los datos cada vez más. (pero no mejor) • Se realizan validaciones deficientes que no protegen la vulnerabilidad y además dificultan su detección. Ejemplo: „  ‟ /^‟.*(or|and)/
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 5 Análisis de eco 2. Caja Negra sin eco. • Se induce un input • Se observa el output • Se buscan relaciónes entre el input y el output • Se analizan las precondiciones • Se analizan las poscondiciones Input output
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 6 Análisis de eco 3. Deducción de código. • En vez de ir realizando ataques hasta que alguno “funcione” es más efectivo tantear en busca del fallo y posteriormente explotarlo. • Este tanteo, consiste en estudiar los input/output de cara a elaborar un pseudocódigo. • Importante no atacar, sino analizar.
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 7 Análisis de eco 3. Deducción de código. • Es más importante una interpretación correcta del output, que emitir un input acertado. • Que componente interno nos da el error (BBDD, SA, SW, FWA, ..) (Ejemplo real: percepción subconsciente de un FWA mediante un cambio de fuente) • Que inputs “hacen daño” (cancelación de operativa, timmings largos, errores no controlados) • Cada aplicación funciona diferente, entender a los programadores, estudiar código de cliente, analizar errores. • Variables de decisión, variables permanentes, variables de llamada externa.
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 8 Análisis de eco 3. Deducción de código. • Correlación input  error, que input provoca que error. • Significado subyacente de los errores y de los timmings. Ejemplo de análisis de una operativa: „  Error genérico. >  Continua la operativa correctamente. }  Tiempo de espera largo + Error genérico. |  Continúa la operativa + Error genérico. ¿Qué byte ha hecho más daño?
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 9 Análisis de eco 3. Deducción de código – Timmings. Acceso a Datos Acceso a Sistema de Ficheros Acceso a memoria Nanosegundos Milisegundos Segundos Retardo Internet Milisegundos
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 10 Análisis de eco 4. Filtros vs Saneos. • Los filtros permiten detectar y registrar el intento de ataque. • Los filtros deniegan la operativa, el atacante puede darse cuenta que no se ha realizado la operativa. De manera que són más fáciles de analizar. • Los saneos limpian las variables y proceden con la operativa. • Los filtros y saneos se pueden hacer en una sola instrucción de código o diversas, el resultado no será el mismo. (análisis de orden de filtros) • Los saneos se pueden entorpecer entre ellos. • En ambos casos hay que tener en cuenta las transformaciones de datos, por ejemplo decodificaciones. En cuanto se codifique o decodifique o se transforme el valor se puede crear el ataque.
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 11 Análisis de eco 4. Filtros vs Saneos. • La mayoría vulnerabilidades existen simplemente por el escape de contexto. Ejemplo: „input‟  El input no deberá de contener „ *input*  El input no deberá de contener * comando del sistema ping „input‟  input no deberá contener „ • Filtraremos o sanearemos el delimitador, para evitar escapes de contexto.
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 12 Análisis de eco 4. Filtros vs Saneos. Input Filtro de Longitud Acceso a fichero Filtro de SQL Filtro de Trasnversal Err Generico Timming + Err Generico Operación OK Acceso a BD Dato incorrecto ¿El código conduce al usuario o el usuario conduce al código?
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 13 Análisis de eco 5. Búsqueda de salidas. • Existe una vulnerabilidad, pero el filtro nos impide ver su existencia.  Analizar los filtros en vez de atacar directamente.  Aplicar evasiones. • Es posible incluso estar explotándola correctamente pero no percibirlo.  Buscar una salida. • Provocar retardos. (sleeps de SO, BD, …, carga de ficheros largos, SQL pesada) • Retroconexiones. • Envío por email • Aprovechar componentes que permitan una salida (ej envío de sms) • DoS en terceras aplicaciones
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 14 Análisis de eco 6. ¿Que es el eco o echo? • Si input ~= output  eco Input output
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 15 Análisis de eco 6. ¿Que es el eco o echo?
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 16 Análisis de eco 7. Análisis de eco Ejemplo: eco‟|”<  Búsquedas relacionadas con: <b>eco&#39;|&quot;&lt;</b> eco*  <title>eco* - Buscar con Google</title> • Saneados = { „,“,< } • Aceptados = {e,c,o,|,*} • Se puede determinar el alfabeto permitido con el cual crear palabras de ataque. • El eco permite analizar con mayor exactitud las alteraciones que ha sufrido el input antes de llegar al output.
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 17 Análisis de eco 7. Análisis de eco • Chequeo automatizado: Is vulnerable to echo analysis ' ==> &#39; Sanitized " ==> &quot; Sanitized ` ==> ` Accepted $ ==> $ Accepted - ==> - Accepted * ==> * Accepted %3f(?) ==> ? Accepted %26(%26) ==> &amp; Sanitized < ==> &lt; Sanitized > ==> &gt; Sanitized ( ==> ( Accepted ) ==> ) Accepted … %39(9) ==> 9 Accepted %3a(:) ==> : Accepted %3b(;) ==> ; Accepted %3c(%3c) ==> &lt; Sanitized %3d(=) ==> = Accepted %3e(%3e) ==> &gt; Sanitized %3f(?) ==> ? Accepted %40(@) ==> @ Accepted %41(A) ==> A Accepted %42(B) ==> B Accepted %43(C) ==> C Accepted …
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 18 Análisis de eco 8. Eco indirecto • No hay eco pero se puede intuir a partir de la respuesta.
  • 19. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 19 Análisis de eco 8. Eco indirecto
  • 20. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 20 Análisis de eco 8. Eco indirecto • No filtran ni sanean el asterisco.
  • 21. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 21 Análisis de eco 8. Eco indirecto • • No filtra el byte º <b>owaspº</b> • Parece un error interno bien disimulado, pero no lo es.
  • 22. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 22 Análisis de eco 8. Eco indirecto • En una variable cambia < por &lt; sin embargo en otra lo suprime y no influye en la búsqueda ni a 3º party apps.
  • 23. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 23 Análisis de eco 8. Eco indirecto .
  • 24. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 24 Análisis de eco 8. Eco indirecto Input: búsqueda Saneo1 Outputs eco: titulo,recuerda búsqueda, búsquedas relacionadas Outputs eco indirecto: Resultados de búsqueda Output: timming Operativas Saneo2 • En el eco el input está conectado con el output, en el “indirecto” tenemos un output generado a partir del input WS: decodifica
  • 25. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 25 Análisis de eco 9. Autómatas finitos de los filtros • Una vez identificada la validación, se puede analizar los estados de aceptación de su autómata finito. • Ejemplo: • Regexp: /^„.*/ (todo lo que comience por comilla es un ataque) • Alfabeto del atacante E = { „ a-z } • Serán aceptadas: λ (null) o comillas que no estén al inicio A B„ λ „ a-z a-z
  • 26. © I n t e r n e t S e c u r i t y A u d i t o r s • Barcelona • 21. 11 . 2 0 0 8 • P. 26 Análisis de eco 10. Conclusiones y Recomendaciones • Analisis de filtro en vez de probar ataques y probar evasiones. (un analizador automático que haga esto está bien, detectará rápidamente las vulnerabilidades menos escondidas) • Solventar los problemas desde diseño, el poner una validación en algunos casos implica tapar el problema. • Diseñar evasiones personalizadas para el filtro / saneo identificado. • Usar variables de decisión para esquivar validaciones. • Reducir los inputs y outputs. • Reducir la inferencia de los outputs.