SlideShare une entreprise Scribd logo

Seguridad Web XSS y BeEF

J
Jose Miguel Holguin

Presentación de seguridad web, donde se muestra el impacto de los cross-site scripting con la herramienta beEF

Technologie
1  sur  16
www.pentester.es SEGURIDAD WEB: Cross-Site Scripting Autor: José Miguel Holguín
Agenda  Agenda  Introducción  Cross-Site Scripting  Demo  Contramedidas y Conclusiones  Preguntas
Introducción (I) : Tendencia  Todos los días interactuamos con gran cantidad de aplicaciones donde un alto porcentaje son aplicaciones Web (en el trabajo, en casa, etc.).  Ley 11/2007 -> Obliga a la Administración a transformase a partir del 1 de enero de 2010 en una administración electrónica (e- Administración).
Introducción (II) - Complejidad  El aumento de funcionalidad deriva en un aumento de complejidad de las aplicaciones Web.
Introducción (III) - OWASP Top Ten -2010 RC OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS) A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF) <was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW) A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access <not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW) A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage A9 – Insecure Communications A10 – Insufficient Transport Layer Protection A3 – Malicious File Execution <dropped from T10 2010> A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
Cross-Site Scripting (I): Descripción  ¿Qué es un cross-site scripting?  Un cross-site scripting ocurre por una falta de validación y tratamiento de los datos de entrada a la aplicación web; lo que es aprovechado por los atacantes para realizar inyecciones de código script (javascript, VBscript, etc.).  Posteriormente estos datos son enviados al navegador del cliente.  Tipos de cross-site scripting  Almacenado: Los datos sin filtrar son almacenados en una base de datos.  Reflejado: Los datos sin filtrar que vienen del atacante son reflejados desde una entrada en la aplicación web (campo de un formulario, campo hidden, etc.).  Ejemplos básicos de cross-site scripting  “><script>alert(“XSS”)</script>  "><img src="x:x" onerror="alert(0)">  "><iframe src="javascript:alert(0)">
Cross-Site Scripting (II): Ejemplo  Formulario de ejemplo • Código fuente de la aplicación web stripslashes: filtra el carácter “” mysql_real_scape_string: filtra los caracteres x00, n, r, , ', " y x1a Inserción de los datos en la base de datos
Cross-Site Scripting (III): Ejemplo
Cross-Site Scripting (IV): XSSV  Características de un Cross-Site Scripting Virus (xssv):  Independiente de la plataforma  No se ve afectado por la configuración habitual de los firewalls  Pueden tener un impacto importante sobre la continuidad de Internet  DDoS  Spam  Propagación de exploits para navegadores  El día 11 de abril de 2009: El gusano Mikkey se propaga por twitter.com, infectando alrededor de 10.000 tweets.  El día 28 de junio de 2008 el portal justin.tv es víctima de un xssv.
Cross-Site Scripting (V): Herramienta BeEF  ¿Qué es BeEF?  BeEF es un framework para realizar ataques al navegador del cliente a partir de un Cross-site Scripting.  ¿Cómo funciona BeEF? Atacante Aplicación Web 3. La aplicación envía al cliente el script que apunta a 2. El cliente accede a la beefmagic.js.php aplicación Web Cliente
Cross-Site Scripting (VI): Módulos de BeEF  Módulos de la herramienta BeEF = ¿Qué puedo hacer con BeEF?
Cross-Site Scripting (VII): Interfaz de BeEF  Interfaz de gestión de BeEF 4 3 1 2
Demo
Contramedidas y conclusiones  Contramedidas  La aplicación debe filtrar de manera adecuada todo lo que no sea de necesario en el contexto HTML.  Construir una “lista blanca” es una solución para mitigar los XSS. Pero no es una solución total dado que existen aplicaciones que requieren de caracteres especiales (webmail, etc.)  Realización de revisiones web para detectar los posibles XSS.  A nivel de administración es posible implantar medidas anti-xss como:  mod_security  PHPIDS  Conclusiones  Los ataques de XSS poseen un impacto importante sobre los usuarios de aplicaciones web.  Es posible crear una red de zombie’s de manera sencilla y rápida, a través de XSS con la consecuencias que esto conlleva.  La responsabilidad recae de la mano de los responsables de la aplicación web.
Documentos y Enlaces de referencia  Enlaces  http://ha.ckers.org/xss.html  http://www.xssed.com/  http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29  http://www.owasp.org/index.php/Data_Validation  Documentos  https://www.owasp.org/images/8/89/OWASP_Testing_Guide_V3.pdf
¿Preguntas?

Recommandé

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensaSantiago Bernal
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 

Recommandé

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensaSantiago Bernal
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Phishing
PhishingPhishing
PhishingDianapena1992
 
Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodoEsteban Dusque
 
Vulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoVulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoMarcosChamorroOrtiz
 
Xss attacks
Xss attacksXss attacks
Xss attacksRober Garamo
 
Historia de la farmacologia
Historia de la farmacologiaHistoria de la farmacologia
Historia de la farmacologiaAlicia Barreiro
 
Sesión 2
Sesión 2Sesión 2
Sesión 2Alia Sol
 
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestOrdenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestEdgar Devia Góngora
 
第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告Chinese Christian Network Development Associatio
 
Labor docente min
Labor docente minLabor docente min
Labor docente minMin Escobedo R
 
網站架設新概念
網站架設新概念網站架設新概念
網站架設新概念Chinese Christian Network Development Associatio
 
What Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedWhat Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedJohn Bowie
 
網路異端
網路異端網路異端
網路異端Chinese Christian Network Development Associatio
 
Ejercicios de informática básica
Ejercicios de informática básicaEjercicios de informática básica
Ejercicios de informática básicaDaniel Lebron
 
Miles & Points Credit Cards
Miles & Points Credit CardsMiles & Points Credit Cards
Miles & Points Credit CardsMillion Mile Secrets
 
Persuasive speaking
Persuasive speakingPersuasive speaking
Persuasive speakingAbdul Hadi
 
Cuidados de enfermeria
Cuidados de enfermeria Cuidados de enfermeria
Cuidados de enfermeria Alicia Barreiro
 
Ablation of HCC
Ablation of HCCAblation of HCC
Ablation of HCCPAIRS WEB
 
Ondas electromagnéticas onda sonica
Ondas electromagnéticas onda sonicaOndas electromagnéticas onda sonica
Ondas electromagnéticas onda sonicaUniversidad Privada Norbert Wiener
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Michael Katz
 

Contenu connexe

Tendances

[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónMartín Aberastegue
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodoEsteban Dusque
 
Vulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoVulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoMarcosChamorroOrtiz
 

Tendances (7)

[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en Programación
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Phishing
PhishingPhishing
Phishing
 
Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodo
 
Vulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoVulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estado
 
Xss attacks
Xss attacksXss attacks
Xss attacks
 

En vedette

Historia de la farmacologia
Historia de la farmacologiaHistoria de la farmacologia
Historia de la farmacologiaAlicia Barreiro
 
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestOrdenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestEdgar Devia Góngora
 
What Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedWhat Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedJohn Bowie
 
Ejercicios de informática básica
Ejercicios de informática básicaEjercicios de informática básica
Ejercicios de informática básicaDaniel Lebron
 
Persuasive speaking
Persuasive speakingPersuasive speaking
Persuasive speakingAbdul Hadi
 
Ablation of HCC
Ablation of HCCAblation of HCC
Ablation of HCCPAIRS WEB
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Michael Katz
 

En vedette (15)

Historia de la farmacologia
Historia de la farmacologiaHistoria de la farmacologia
Historia de la farmacologia
 
Sesión 2
Sesión 2Sesión 2
Sesión 2
 
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestOrdenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
 
第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告
 
Labor docente min
Labor docente minLabor docente min
Labor docente min
 
網站架設新概念
網站架設新概念網站架設新概念
網站架設新概念
 
What Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedWhat Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and Succeed
 
網路異端
網路異端網路異端
網路異端
 
Ejercicios de informática básica
Ejercicios de informática básicaEjercicios de informática básica
Ejercicios de informática básica
 
Miles & Points Credit Cards
Miles & Points Credit CardsMiles & Points Credit Cards
Miles & Points Credit Cards
 
Persuasive speaking
Persuasive speakingPersuasive speaking
Persuasive speaking
 
Cuidados de enfermeria
Cuidados de enfermeria Cuidados de enfermeria
Cuidados de enfermeria
 
Ablation of HCC
Ablation of HCCAblation of HCC
Ablation of HCC
 
Ondas electromagnéticas onda sonica
Ondas electromagnéticas onda sonicaOndas electromagnéticas onda sonica
Ondas electromagnéticas onda sonica
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation
 

Similaire à Seguridad Web XSS y BeEF

Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPcampus party
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)campus party
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la webTensor
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 

Similaire à Seguridad Web XSS y BeEF (20)

Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 

Dernier

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Dernier (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Seguridad Web XSS y BeEF

  • 1. www.pentester.es SEGURIDAD WEB: Cross-Site Scripting Autor: José Miguel Holguín
  • 2. Agenda  Agenda  Introducción  Cross-Site Scripting  Demo  Contramedidas y Conclusiones  Preguntas
  • 3. Introducción (I) : Tendencia  Todos los días interactuamos con gran cantidad de aplicaciones donde un alto porcentaje son aplicaciones Web (en el trabajo, en casa, etc.).  Ley 11/2007 -> Obliga a la Administración a transformase a partir del 1 de enero de 2010 en una administración electrónica (e- Administración).
  • 4. Introducción (II) - Complejidad  El aumento de funcionalidad deriva en un aumento de complejidad de las aplicaciones Web.
  • 5. Introducción (III) - OWASP Top Ten -2010 RC OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS) A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF) <was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW) A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access <not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW) A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage A9 – Insecure Communications A10 – Insufficient Transport Layer Protection A3 – Malicious File Execution <dropped from T10 2010> A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
  • 6. Cross-Site Scripting (I): Descripción  ¿Qué es un cross-site scripting?  Un cross-site scripting ocurre por una falta de validación y tratamiento de los datos de entrada a la aplicación web; lo que es aprovechado por los atacantes para realizar inyecciones de código script (javascript, VBscript, etc.).  Posteriormente estos datos son enviados al navegador del cliente.  Tipos de cross-site scripting  Almacenado: Los datos sin filtrar son almacenados en una base de datos.  Reflejado: Los datos sin filtrar que vienen del atacante son reflejados desde una entrada en la aplicación web (campo de un formulario, campo hidden, etc.).  Ejemplos básicos de cross-site scripting  “><script>alert(“XSS”)</script>  "><img src="x:x" onerror="alert(0)">  "><iframe src="javascript:alert(0)">
  • 7. Cross-Site Scripting (II): Ejemplo  Formulario de ejemplo • Código fuente de la aplicación web stripslashes: filtra el carácter “” mysql_real_scape_string: filtra los caracteres x00, n, r, , ', " y x1a Inserción de los datos en la base de datos
  • 9. Cross-Site Scripting (IV): XSSV  Características de un Cross-Site Scripting Virus (xssv):  Independiente de la plataforma  No se ve afectado por la configuración habitual de los firewalls  Pueden tener un impacto importante sobre la continuidad de Internet  DDoS  Spam  Propagación de exploits para navegadores  El día 11 de abril de 2009: El gusano Mikkey se propaga por twitter.com, infectando alrededor de 10.000 tweets.  El día 28 de junio de 2008 el portal justin.tv es víctima de un xssv.
  • 10. Cross-Site Scripting (V): Herramienta BeEF  ¿Qué es BeEF?  BeEF es un framework para realizar ataques al navegador del cliente a partir de un Cross-site Scripting.  ¿Cómo funciona BeEF? Atacante Aplicación Web 3. La aplicación envía al cliente el script que apunta a 2. El cliente accede a la beefmagic.js.php aplicación Web Cliente
  • 11. Cross-Site Scripting (VI): Módulos de BeEF  Módulos de la herramienta BeEF = ¿Qué puedo hacer con BeEF?
  • 12. Cross-Site Scripting (VII): Interfaz de BeEF  Interfaz de gestión de BeEF 4 3 1 2
  • 13. Demo
  • 14. Contramedidas y conclusiones  Contramedidas  La aplicación debe filtrar de manera adecuada todo lo que no sea de necesario en el contexto HTML.  Construir una “lista blanca” es una solución para mitigar los XSS. Pero no es una solución total dado que existen aplicaciones que requieren de caracteres especiales (webmail, etc.)  Realización de revisiones web para detectar los posibles XSS.  A nivel de administración es posible implantar medidas anti-xss como:  mod_security  PHPIDS  Conclusiones  Los ataques de XSS poseen un impacto importante sobre los usuarios de aplicaciones web.  Es posible crear una red de zombie’s de manera sencilla y rápida, a través de XSS con la consecuencias que esto conlleva.  La responsabilidad recae de la mano de los responsables de la aplicación web.
  • 15. Documentos y Enlaces de referencia  Enlaces  http://ha.ckers.org/xss.html  http://www.xssed.com/  http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29  http://www.owasp.org/index.php/Data_Validation  Documentos  https://www.owasp.org/images/8/89/OWASP_Testing_Guide_V3.pdf