auditoría de aplicaciones web : metodología y práctica profesional
TRANSCRIPT
![Page 1: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/1.jpg)
Titulación: Ingeniería Informática – Universitat Oberta de Catalunya (UOC). Área de Seguridad Informática. Enero 2014 – 2015.Enero 2014 – 2015.
Estudiante: Miriam Rodríguez Sánchez.Tutor universitario: Cristina Pérez Solà.
![Page 2: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/2.jpg)
Introducción
• Auditoría web: proceso
Definición
• Análisis de un servidor web
Punto de partida
• Ejercicio práctico
• Método en cuatro fases
Objetivos
Breve descripción
• Fases del método:• Reconocimiento
• Mapeado
• Descubrimiento
• Explotación
Breve descripción
![Page 3: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/3.jpg)
Metodologías de partida (I)
OSSTMM OWASPOSSTMM
Tres pilares de la seguridad
OWASP
Top Ten
Casos de pruebaVulnerabilidades
Web típicas
![Page 4: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/4.jpg)
OSSTMM
Metodologías de partida (II)
OSSTMM
Tres pilares de S.I.:
Confidencialidad
Integridad
Casos de prueba:
Seg. Humana
Seg. Física
Disponibilidad Seg. Inalámbrica
Seg. Telecomunicaciones
Seg. Redes de datos
![Page 5: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/5.jpg)
Metodologías de partida (III)
OWASP
Top Ten:Vuln. Web
típicas:
Escalada de privilegios
Inclusión de ficheros
Enumeración de usuarios
Fuerza bruta
![Page 6: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/6.jpg)
Metodologías de partida (IV)
Top Ten:Top Ten:
Inyección
Sesiones
Exposición
Control de acceso
Cross-Site RequestCross-Site Scripting
Referencias a objetos
Configuración
Cross-Site RequestForgery
Vuln. conocidas
Reenvíos no validados
![Page 7: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/7.jpg)
Aspectos de la auditoría web
Tipos de test
Caja negra Caja blanca Caja gris
Aspectos contractuales de la auditoría
Aspectos normativos y legales
LOPD PCI DSS
Caja negra Caja blanca Caja gris
Informe de resultados
Resumen ejecutivoConsideraciones
técnicasHallazgos Herramientas
Conclusiones y apéndices
Aspectos contractuales de la auditoría
Permiso explícitoAcuerdo de no
divulgaciónDefinición del alcance Reglas de compromiso Ausencia de garantías
![Page 8: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/8.jpg)
Metodología. Reconocimiento (I)
Definición del alcance.
Búsquedas en registros de internet: whois, nslookup, dig.Búsquedas en registros de internet: whois, nslookup, dig.
![Page 9: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/9.jpg)
Metodología. Reconocimiento (II)
• Noticias.
Consultas en páginas públicas:
• Grupos de soporte técnico.
• Listas de correo o foros.
• Redes sociales profesionales.
• Ofertas de empleo.
• Robots.txt
• Directivas y operadores.
Motores de búsqueda:
Búsqueda de sub-dominios:
• Fierce domain scan: # fierce –dns owasp.org .
Búsqueda de sub-dominios:
• Cewl: # cewl –w fichero.txt dominio_objetivo.com .
Elaboración de diccionarios:
![Page 10: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/10.jpg)
Metodología. Mapeado (I)Escaneo de puertos y versiones.
• Nmap:
• TCP SYN SCAN.• TCP SYN SCAN.
• UDP SCAN.
• # nmap -sV -sS -O -sC --top-ports 4000 dominio_cliente.com -oA nmap-TCP4000
![Page 11: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/11.jpg)
Metodología. Mapeado (II)
Análisis SSL:Balanceadores de
carga y WAF:Análisis SSL:
versión,
tamaño de las claves,
tipos de cifrado,
carga y WAF:
Rastro mínimo,
Webshell única,
tipos de cifrado,
certificados mostrados.
TLSSLED/SSLDIGGER
Errores.
WAFWOOF / Halberd
![Page 12: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/12.jpg)
Metodología. Mapeado (III)
# tlssled dominio_cliente.com 80
![Page 13: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/13.jpg)
Metodología. Mapeado (IV)Configuración del software:
Nikto.# nikto –host dominio_cliente.com
![Page 14: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/14.jpg)
• Navegación manual. ZAP.
• Análisis de resultados.Spidering:
Metodología. Mapeado (V)
![Page 15: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/15.jpg)
Metodología. Descubrimiento y explotación (I)
Detección: • Comportamiento ante errores.
%3Epeso%3C%2Fk%3E%3Cv%3Eaaaa%3
![Page 16: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/16.jpg)
Metodología. Descubrimiento y explotación (II)
Escaneo de vulnerabilidades: Alertas.
![Page 17: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/17.jpg)
Metodología. Descubrimiento y explotación (III)
Fuzzing de parámetros.
Divulgación de información.
![Page 18: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/18.jpg)
Metodología. Descubrimiento y explotación (IV)
Subida de ficheros:
Eicar.
Verificación manual.
Webshell.Cross-Site Scripting
(XSS).
Inyección SQL:
Inyección SQL en
página de login.
Bypass del login.
Extracción de información con
Extracción de información con
SQLmap.
Inyección SQL ciega.
Listado de directorios.
PhpMyAdmin.
![Page 19: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/19.jpg)
Metodología. Descubrimiento y explotación (V)Inyección SQL: Bypass del login.
SELECT * FROM users WHERE usuario='$usu' and passwo rd='$pass‘
SELECT * FROM users WHERE usuario =' ’ OR 1=1 -- and password=’ ’
Inyección SQL: Extracción con Sqlmap.
SELECT * FROM users WHERE usuario =' ’ OR 1=1 -- and password=’ ’
# sqlmap –u página_vulnerable.php --data=”cadena_login_pass” –p “parámetro”
Inyección SQL: Ciega.
http://dominio_cliente.com/nuestros/ cursos.php?id=9 +AND+1%3D1+
http://dominio_cliente.com/nuestros/ cursos.php?id=9 +AND+1%3D2+
![Page 20: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/20.jpg)
Metodología. Descubrimiento y explotación (VI)Cross-Site Scripting (XSS).
xajax =</cmd><script> alert(1) ;</script><cmd>
idtrabajo =</script><script> alert( document.cookie ) ;</script><script>http://dominio_cliente.com/pre_envia_datos.php? idtrabajo=25idtrabajo =</script><script> alert( document.cookie ) ;</script><script>http://dominio_cliente.com/pre_envia_datos.php? idtrabajo=25
![Page 21: Auditoría de aplicaciones web : Metodología y práctica profesional](https://reader030.vdocuments.mx/reader030/viewer/2022012320/586681401a28ab96408b5bd1/html5/thumbnails/21.jpg)
Conclusiones.
Objetivos propuestos:Objetivos propuestos:
• Revisión de un servidor público.
• Ejercicio de auditoría completo.
• Enfoque profesional.
• Método desarrollado en 4 fases.• Método desarrollado en 4 fases.
• Aprendizaje de las metodologías más conocidas.