SlideShare une entreprise Scribd logo

Owasp lnhg-2011-06-1 juan david parra (seg. y redes)

campus party
campus party
TechnologieDesign
1  sur  20
Aseguramiento de aplicaciones web con ESAPI Juan David Parra (nopbyte)– LNHG nopbytelownoisehg.org Twitter: @nopbyte Blog: nopbyte.blogspot.com http://www.lownoisehg.org/
¿ QuéesLowNoise HG ? •Grupo de Investigación (Hacking only) •Creado en 1995 •Multidisciplinario (No sóloIngenieros) •ObjetivoComún: Seguridad vs. Inseguridad • Sin Ánimo de Lucro •RecursosPropios • Sin Afiliación a Empresas/Entidades
¿ QuéesLowNoise HG ? Investigacionesactuales en: - GSM / GPRS - Ingenieríareversa - Detección de intrusos - Muchasotras … Másinformación en: http://www.lownoisehg.org/
¿ Quiénesnopbyte ? •Juan David Parra •Afinidadesbásicas: •Desarrollo de herramientas de hacking •Detección de vulnerabilidades •Desarrollo de shellcode •Linux •Windows Internals
DISCLAIMER •Todo lo que se hable y se muestre en estacharlaes el resultado de investigaciones con fines educativos. YO = Alguien más •Tododescubrimientorealizado, ha sidoy seráusado de forma legal, por LNHG. •La audienciadebeasumirtodo lo se expongahoy, como “falso” y “sin fundamento” hastaque lo compruebepersonalmente. • Juan David no es el autordirecto de ninguno de los descubrimientosexpuestos, ni de lasherramientasdemostradas, ni los conoce.
¿ Qué vamos a ver hoy ? •OWASP ¿Qué es? •Algunas vulnerabilidades web •Arquitectura de ESAPI •Demostración de ataque a vulnerabilidades •Demostración de eliminación de vulnerabilidades
OWASP ¿Quées? •Proyecto ABIERTO de aseguramiento de aplicaciones web, porsussiglas en inglés (Open Web Application Security Project) •Existenproyectosdentro de OWASP como: •ESAPI •AntiSammy •WebScarab •OWASP top 10
Algunasvulnerabilidades web •Vulnerabilidadesmáscomunes en aplicaciones web. •XSS (Cross site scripting persistente, o no persistente) •XSRF o CSRF (Cross site request forgery) •Falta de control de acceso a URL •Inyección de código
Ilustración XSS (OWASP Top 10 2010) 1 Atacanteingresa la trampa Application with stored XSS Atacanteinserta script vulnerability malicioso en la página y lo guarda en el sistema Communication Bus. Functions Administration E-Commerce Transactions Knowledge Accounts Finance Mgmt 2 Victim views page – sees attacker profile Custom Code El script insertadopor el atacantecorre en el explorador de la victima con acceso al DOM y a suscookies 3 El script envíasilenciosamente la cookie del usuario al atacante
CSRF ilustrado OWASP( top 10 2010) El atacantecolocaunatrampa en supágina web o via email. 1 Application with El CSRF vulnerability códigomaliciosocont iene un tag <img> Communication Bus. Functions Administration Transactions E-Commerce Knowledge contra el sitio Accounts Finance Mgmt vulnerable La victimaabre el email o la página 2 web del atacantemientras se encuentra Logeado en el sistema Custom Code 3 El sitio vulnerable ve El tag <img>ejecuta un la request http GET accióncomolegítima (incluyendolascredemc (con lascredenciales iales del usuario en el de la victima ) y sitio vulnerable) ejecuta la acción.
Falta de restricción de Acceso a URL (OWASP top 10 2010) • El atacantepuedeverque la https://www.onlinebank.com/user/getAccounts URL indicasurol /usuario/buscarCuentas • Modifica la urlparaacceder a: /admin/buscarCuentas • El atacantetieneaccesomásinf ormación de la quedebería.
Inyección de código (SQL) •¿Quépodríatener de malohaceresto? consulta = “SELECT FROM usuarios where cuenta = „ ” +cuenta + “ ‟ ”; ejecutarSQL(consulta);
Inyección de código (SQL) •Y si el usuarioescribecomocuenta: pepito‟; DROP TABLE usuario;-- Entonces el progarmava a ejecutar: • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP TABLE usuario; -- ’ Ouch!!
Otrasvulnerabilidadesexistentes… •Modificación de cookies. •Predicción de identificador de sesión. •Mal uso de criptografía ( uso de algoritmosdébiles de cifrado y/o hashing ) •Entre otrasmás …
¿Cómosolucionarestosinconvenientes? •Debemosverificarpara la tecnologíaqueestemosusandolasgarantíasofreci daspor el ambiente de desarrollo (Hibernate evitaSQLiporejemplo). •Los puntosque no se encuentrencubiertosporestosmediosdeben ser aseguradosusandolibreríasexternas. •ESAPI esusado en la actualidadporempresascomo American Express, Foundstone(McAfee), U.S Navy.
Integración de ESAPI •Contienecódigoreutilizable. •Define un conjunto de interfaces que DEBEN ser implementadaspara la integración de la librería. •La definición de estas interfaces promueven el uso de buenasprácticas en cuanto a desarrolloseguro.
Arqutectura de ESAPI •Accesounificado a los recursos. •Interfaces: •Authenticator •HttpUtilities •Encoder •Cryptography •AccessReferenceMap •Entre otras…
Arqutectura de ESAPI •Contieneimplementacionespordefecto ( o guía de desarrollo ). •Interfaces: •FileBasedAuthenticator •DefaultHttpUtilities •DefaultEncoder •RandomAccessReferenceMap
A lo quevinimos •Ahorasi: •Vamos a HACKEARNOS algo! •Y luego… a evitarque se puedahackear …
FIN •Graciaspor la paciencia • Para investigaciones con LNHG: nopbyte@lownoisehg.org Twitter: @nopbyte http://www.lownoisehg.org/

Recommandé

Riesgos de la información electronica
Riesgos de la información electronicaRiesgos de la información electronica
Riesgos de la información electronica
WANER ANDREY TOLEDO PARALES
 
Pc zombie
Pc zombiePc zombie
Pc zombie
nflores34
 
Catosfera Esabadell.Mobi
Catosfera Esabadell.MobiCatosfera Esabadell.Mobi
Catosfera Esabadell.Mobi
graciaoberta
 
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
mercedesdans
 
El Poder De Lo Visual
El Poder De Lo VisualEl Poder De Lo Visual
El Poder De Lo Visual
vicentesamaca
 
Radiotierra
RadiotierraRadiotierra
Radiotierra
Arturo Perezgarza de Flores
 
TanatologíA Sida
TanatologíA SidaTanatologíA Sida
TanatologíA Sida
gabysandy
 
Redes Sociales y Publicidad
Redes Sociales y PublicidadRedes Sociales y Publicidad
Redes Sociales y Publicidad
Javier Hernandez
 

Recommandé

Riesgos de la información electronica
Riesgos de la información electronicaRiesgos de la información electronica
Riesgos de la información electronica
WANER ANDREY TOLEDO PARALES
 
Pc zombie
Pc zombiePc zombie
Pc zombie
nflores34
 
Catosfera Esabadell.Mobi
Catosfera Esabadell.MobiCatosfera Esabadell.Mobi
Catosfera Esabadell.Mobi
graciaoberta
 
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
Guía lectura "O curioso incidente do can á media noite" (Club de lectura do I...
mercedesdans
 
El Poder De Lo Visual
El Poder De Lo VisualEl Poder De Lo Visual
El Poder De Lo Visual
vicentesamaca
 
Radiotierra
RadiotierraRadiotierra
Radiotierra
Arturo Perezgarza de Flores
 
TanatologíA Sida
TanatologíA SidaTanatologíA Sida
TanatologíA Sida
gabysandy
 
Redes Sociales y Publicidad
Redes Sociales y PublicidadRedes Sociales y Publicidad
Redes Sociales y Publicidad
Javier Hernandez
 
Xoxoxoxoxooxoxoxox
XoxoxoxoxooxoxoxoxXoxoxoxoxooxoxoxox
Xoxoxoxoxooxoxoxox
xoxoandres
 
ImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez GilImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez Gil
patriciahenriquez4st
 
Matematicas
MatematicasMatematicas
Matematicas
Corichi
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchi
campus party
 
RED de Distribucion Ingresos
RED de Distribucion IngresosRED de Distribucion Ingresos
RED de Distribucion Ingresos
Renzo Diaz
 
Pres Slide 1 Musi
Pres Slide 1 MusiPres Slide 1 Musi
Pres Slide 1 Musi
KDarienJ
 
Biblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno PpsBiblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno Pps
Carlos1953
 
Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011
campus party
 
Concurso Robot Reparador
Concurso Robot ReparadorConcurso Robot Reparador
Concurso Robot Reparador
campus party
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
campus party
 
M8 es
M8 esM8 es
M8 es
Psic Karina Bautista
 
Creacion Hardware por medio de herramientas de software libre
Creacion Hardware por medio de herramientas de software libreCreacion Hardware por medio de herramientas de software libre
Creacion Hardware por medio de herramientas de software libre
campus party
 
My Sql Comunity Edition
My Sql Comunity EditionMy Sql Comunity Edition
My Sql Comunity Edition
Miguel Angel
 
Perfil de proyecto brucol
Perfil de proyecto brucolPerfil de proyecto brucol
Perfil de proyecto brucol
Sergio Jerónimo Morante
 
Seminario 2
Seminario 2Seminario 2
Seminario 2
flln
 
Atributos
AtributosAtributos
Atributos
FERCHOMENDEZ
 
Diabetes mellitus
Diabetes mellitusDiabetes mellitus
Diabetes mellitus
flln
 
La hormiguita arrepentida
La hormiguita arrepentidaLa hormiguita arrepentida
La hormiguita arrepentida
Fernando Martinez
 
Frecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral OdontológicoFrecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral Odontológico
flln
 
Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02
Ana Ester Galindo
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
Jose Miguel Holguin
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 

Contenu connexe

En vedette

Xoxoxoxoxooxoxoxox
XoxoxoxoxooxoxoxoxXoxoxoxoxooxoxoxox
Xoxoxoxoxooxoxoxox
xoxoandres
 
ImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez GilImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez Gil
patriciahenriquez4st
 
Biblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno PpsBiblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno Pps
Carlos1953
 
Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011
campus party
 
Seminario 2
Seminario 2Seminario 2
Seminario 2
flln
 
Diabetes mellitus
Diabetes mellitusDiabetes mellitus
Diabetes mellitus
flln
 
Frecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral OdontológicoFrecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral Odontológico
flln
 
Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02
Ana Ester Galindo
 

En vedette (20)

Xoxoxoxoxooxoxoxox
XoxoxoxoxooxoxoxoxXoxoxoxoxooxoxoxox
Xoxoxoxoxooxoxoxox
 
ImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez GilImáGenes Trabajadas Por Patricia Henriquez Gil
ImáGenes Trabajadas Por Patricia Henriquez Gil
 
Matematicas
MatematicasMatematicas
Matematicas
 
Symfony dagrinchi
Symfony dagrinchiSymfony dagrinchi
Symfony dagrinchi
 
RED de Distribucion Ingresos
RED de Distribucion IngresosRED de Distribucion Ingresos
RED de Distribucion Ingresos
 
Pres Slide 1 Musi
Pres Slide 1 MusiPres Slide 1 Musi
Pres Slide 1 Musi
 
Biblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno PpsBiblioteca De La Vida Muy Bueno Pps
Biblioteca De La Vida Muy Bueno Pps
 
Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011Sueños films colombia, campus party 2011
Sueños films colombia, campus party 2011
 
Concurso Robot Reparador
Concurso Robot ReparadorConcurso Robot Reparador
Concurso Robot Reparador
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
 
M8 es
M8 esM8 es
M8 es
 
Creacion Hardware por medio de herramientas de software libre
Creacion Hardware por medio de herramientas de software libreCreacion Hardware por medio de herramientas de software libre
Creacion Hardware por medio de herramientas de software libre
 
My Sql Comunity Edition
My Sql Comunity EditionMy Sql Comunity Edition
My Sql Comunity Edition
 
Perfil de proyecto brucol
Perfil de proyecto brucolPerfil de proyecto brucol
Perfil de proyecto brucol
 
Seminario 2
Seminario 2Seminario 2
Seminario 2
 
Atributos
AtributosAtributos
Atributos
 
Diabetes mellitus
Diabetes mellitusDiabetes mellitus
Diabetes mellitus
 
La hormiguita arrepentida
La hormiguita arrepentidaLa hormiguita arrepentida
La hormiguita arrepentida
 
Frecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral OdontológicoFrecuencia de Controles Post-Tratamiento Integral Odontológico
Frecuencia de Controles Post-Tratamiento Integral Odontológico
 
Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02Sexualidadenlaetapaadulta 120702154217-phpapp02
Sexualidadenlaetapaadulta 120702154217-phpapp02
 

Similaire à Owasp lnhg-2011-06-1 juan david parra (seg. y redes)

Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
Alan Resendiz
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
Carlos Fernandez
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
Dylan Irzi
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
Carlos Alderete
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Alonso Caballero
 

Similaire à Owasp lnhg-2011-06-1 juan david parra (seg. y redes) (20)

Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Presentacion
PresentacionPresentacion
Presentacion
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
CSRF: El Nuevo Target.
CSRF: El Nuevo Target.CSRF: El Nuevo Target.
CSRF: El Nuevo Target.
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

Plus de campus party

¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad?
campus party
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas voces
campus party
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvil
campus party
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
campus party
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminal
campus party
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-taller
campus party
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
campus party
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en práctica
campus party
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
campus party
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook air
campus party
 

Plus de campus party (20)

Titulo
Titulo Titulo
Titulo
 
¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad?
 
Producción del largometraje pequeñas voces
Producción del largometraje pequeñas vocesProducción del largometraje pequeñas voces
Producción del largometraje pequeñas voces
 
Conferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvilConferencia: Aplicaciones y el reto del desarrollo móvil
Conferencia: Aplicaciones y el reto del desarrollo móvil
 
Liminal Bluevia 1
Liminal Bluevia 1Liminal Bluevia 1
Liminal Bluevia 1
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel ContrerasComo sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
Como sería un viaje a la velocidad de la luz - Miguel Ángel Contreras
 
X taller bluevialiminal
X taller bluevialiminalX taller bluevialiminal
X taller bluevialiminal
 
X liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-tallerX liminal buevia 2 (dllo.)-taller
X liminal buevia 2 (dllo.)-taller
 
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
X elalgoritmodelamemoria maria juliana soto (social media) (1) 1
 
Theremin Alfredo Vargas
Theremin Alfredo Vargas Theremin Alfredo Vargas
Theremin Alfredo Vargas
 
Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon Sonido y cine Ricardo Escallon
Sonido y cine Ricardo Escallon
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés BautistaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Bautista
 
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés FonsecaPhotoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
Photoshop para fotógrafos. Del cuarto oscuro al cuarto digital - Andrés Fonseca
 
Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping Mundos virtuales inmersivos y social shopping
Mundos virtuales inmersivos y social shopping
 
Creación transmediática y comunidades en práctica
Creación transmediática y comunidades en prácticaCreación transmediática y comunidades en práctica
Creación transmediática y comunidades en práctica
 
Android+Arduino
Android+ArduinoAndroid+Arduino
Android+Arduino
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
 
Linux en caja
Linux en cajaLinux en caja
Linux en caja
 
Webinar playbook air
Webinar playbook airWebinar playbook air
Webinar playbook air
 

Dernier

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Dernier (12)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Owasp lnhg-2011-06-1 juan david parra (seg. y redes)

  • 1. Aseguramiento de aplicaciones web con ESAPI Juan David Parra (nopbyte)– LNHG nopbytelownoisehg.org Twitter: @nopbyte Blog: nopbyte.blogspot.com http://www.lownoisehg.org/
  • 2. ¿ QuéesLowNoise HG ? •Grupo de Investigación (Hacking only) •Creado en 1995 •Multidisciplinario (No sóloIngenieros) •ObjetivoComún: Seguridad vs. Inseguridad • Sin Ánimo de Lucro •RecursosPropios • Sin Afiliación a Empresas/Entidades
  • 3. ¿ QuéesLowNoise HG ? Investigacionesactuales en: - GSM / GPRS - Ingenieríareversa - Detección de intrusos - Muchasotras … Másinformación en: http://www.lownoisehg.org/
  • 4. ¿ Quiénesnopbyte ? •Juan David Parra •Afinidadesbásicas: •Desarrollo de herramientas de hacking •Detección de vulnerabilidades •Desarrollo de shellcode •Linux •Windows Internals
  • 5. DISCLAIMER •Todo lo que se hable y se muestre en estacharlaes el resultado de investigaciones con fines educativos. YO = Alguien más •Tododescubrimientorealizado, ha sidoy seráusado de forma legal, por LNHG. •La audienciadebeasumirtodo lo se expongahoy, como “falso” y “sin fundamento” hastaque lo compruebepersonalmente. • Juan David no es el autordirecto de ninguno de los descubrimientosexpuestos, ni de lasherramientasdemostradas, ni los conoce.
  • 6. ¿ Qué vamos a ver hoy ? •OWASP ¿Qué es? •Algunas vulnerabilidades web •Arquitectura de ESAPI •Demostración de ataque a vulnerabilidades •Demostración de eliminación de vulnerabilidades
  • 7. OWASP ¿Quées? •Proyecto ABIERTO de aseguramiento de aplicaciones web, porsussiglas en inglés (Open Web Application Security Project) •Existenproyectosdentro de OWASP como: •ESAPI •AntiSammy •WebScarab •OWASP top 10
  • 8. Algunasvulnerabilidades web •Vulnerabilidadesmáscomunes en aplicaciones web. •XSS (Cross site scripting persistente, o no persistente) •XSRF o CSRF (Cross site request forgery) •Falta de control de acceso a URL •Inyección de código
  • 9. Ilustración XSS (OWASP Top 10 2010) 1 Atacanteingresa la trampa Application with stored XSS Atacanteinserta script vulnerability malicioso en la página y lo guarda en el sistema Communication Bus. Functions Administration E-Commerce Transactions Knowledge Accounts Finance Mgmt 2 Victim views page – sees attacker profile Custom Code El script insertadopor el atacantecorre en el explorador de la victima con acceso al DOM y a suscookies 3 El script envíasilenciosamente la cookie del usuario al atacante
  • 10. CSRF ilustrado OWASP( top 10 2010) El atacantecolocaunatrampa en supágina web o via email. 1 Application with El CSRF vulnerability códigomaliciosocont iene un tag <img> Communication Bus. Functions Administration Transactions E-Commerce Knowledge contra el sitio Accounts Finance Mgmt vulnerable La victimaabre el email o la página 2 web del atacantemientras se encuentra Logeado en el sistema Custom Code 3 El sitio vulnerable ve El tag <img>ejecuta un la request http GET accióncomolegítima (incluyendolascredemc (con lascredenciales iales del usuario en el de la victima ) y sitio vulnerable) ejecuta la acción.
  • 11. Falta de restricción de Acceso a URL (OWASP top 10 2010) • El atacantepuedeverque la https://www.onlinebank.com/user/getAccounts URL indicasurol /usuario/buscarCuentas • Modifica la urlparaacceder a: /admin/buscarCuentas • El atacantetieneaccesomásinf ormación de la quedebería.
  • 12. Inyección de código (SQL) •¿Quépodríatener de malohaceresto? consulta = “SELECT FROM usuarios where cuenta = „ ” +cuenta + “ ‟ ”; ejecutarSQL(consulta);
  • 13. Inyección de código (SQL) •Y si el usuarioescribecomocuenta: pepito‟; DROP TABLE usuario;-- Entonces el progarmava a ejecutar: • SELECT FROM usuarios where cuenta = ‘ pepito ’; DROP TABLE usuario; -- ’ Ouch!!
  • 14. Otrasvulnerabilidadesexistentes… •Modificación de cookies. •Predicción de identificador de sesión. •Mal uso de criptografía ( uso de algoritmosdébiles de cifrado y/o hashing ) •Entre otrasmás …
  • 15. ¿Cómosolucionarestosinconvenientes? •Debemosverificarpara la tecnologíaqueestemosusandolasgarantíasofreci daspor el ambiente de desarrollo (Hibernate evitaSQLiporejemplo). •Los puntosque no se encuentrencubiertosporestosmediosdeben ser aseguradosusandolibreríasexternas. •ESAPI esusado en la actualidadporempresascomo American Express, Foundstone(McAfee), U.S Navy.
  • 16. Integración de ESAPI •Contienecódigoreutilizable. •Define un conjunto de interfaces que DEBEN ser implementadaspara la integración de la librería. •La definición de estas interfaces promueven el uso de buenasprácticas en cuanto a desarrolloseguro.
  • 17. Arqutectura de ESAPI •Accesounificado a los recursos. •Interfaces: •Authenticator •HttpUtilities •Encoder •Cryptography •AccessReferenceMap •Entre otras…
  • 18. Arqutectura de ESAPI •Contieneimplementacionespordefecto ( o guía de desarrollo ). •Interfaces: •FileBasedAuthenticator •DefaultHttpUtilities •DefaultEncoder •RandomAccessReferenceMap
  • 19. A lo quevinimos •Ahorasi: •Vamos a HACKEARNOS algo! •Y luego… a evitarque se puedahackear …
  • 20. FIN •Graciaspor la paciencia • Para investigaciones con LNHG: nopbyte@lownoisehg.org Twitter: @nopbyte http://www.lownoisehg.org/