betabeers sevilla - hacking web con owasp
DESCRIPTION
Slides from my talking about web application security,TRANSCRIPT
Hacking web con OWASP
Ezequiel Vazquez De la calle
Ezequiel Vazquez De la calle Hacking web con OWASP
Sobre mi
Estudios
Ingeniero Tecnico en Informatica - UCA
Master en Ingenierıa del Software - US
Experto en Seguridad de las TIC - US
Experiencia
3+ anos como desarrollador web
Actualmente: DevOps Drupal
Python, C++, GNU/Linux, network programming. . .
Aficiones
Rock’n’Roll (guitarrista) y videojuegos
Narrativa fantastica, rol, cine. . .
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
Seguridad
¿Y esto de que va?
Seguridad web
Exposicion a internet
Vulnerabilidades
Explotacion
¿Hackers?
. . .
Dinero
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP
Open Web Application Security Project
Fundacion sin animo de lucro
Multitud de proyectos: algo caotico
Colaboracion a nivel mundial, grupos locales
Metodologıa de analisis de seguridad web
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP
Mas de 36000 colaboradores
Conferencias por todo el mundo, durante todo el ano
En Espana: Asociacion de profesionales
Libros, merchandising, etc.
Ezequiel Vazquez De la calle Hacking web con OWASP
Proyectos de OWASP
https://www.owasp.org/index.php/Category:OWASP Project
Ezequiel Vazquez De la calle Hacking web con OWASP
Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
. . .
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Testing Guide
Consideraciones previas
Enfoque de caja negra,pero incluye pruebas detodo tipo
Divide las pruebas en fasesasociadas al ciclo de vida
¡No solo pentesting!
Disponible como libro,PDF y wiki
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Testing Guide
Etapas
1 Antes del desarrollo
Revisar polıticas, estandares, etc.Definir metricas y criterios de evaluacion
2 Durante la definicion y el diseno
Revisar requisitos de seguridadRevisar diseno y arquitecturaCrear y revisar modelos de amenazas
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Testing Guide
Etapas
3 Durante el desarrollo
Revisar el codigo junto con los desarrolladores
4 Durante el despliegue
Realizar test de penetracion [!]Analizar la gestion de la configuracion
5 Durante el mantenimiento
Revisar la gestion de operacionesPruebas periodicas del estado de saludAsegurar la verificacion de cambios
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Testing Guide
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Adquisicion de informacion
Analisis de fuentes publicas sobre el sitio web
Analisis de la ayuda del propio sitio
Uso de spiders, robots y crawlers (puntos de entrada)
Analisis de metadatos de los ficheros descargables (FOCA)
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Google (Bing y Shodan) Hacking
Utilizacion de operadores avanzados del buscador.
site: Limitar la busqueda a un unico dominio
cache: Buscar en la cache de Google
inurl: Resultados que contienen un valor en la URL
ext:, filetype: Buscar ficheros con la extension indicada
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Revision de la configuracion
Uso de SSL (Man In The Middle y SSLStrip a un cliente)
Conexion a BBDD (Conexiones remotas)
Sistema operativo del servidor
Configuracion del servidor web (Version vulnerable)
Metodos HTTP permitidos por el servidor (PUT, DELETE)
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Analisis de autenticacion
Enumeracion de usuarios (Modulo Views de Drupal)
Ataque de fuerza bruta o diccionario
Bypass del sistema de autenticacion (SQLi)
Contrasenas suprayectivas
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Analisis de la gestion de la sesion
Exposicion de variables de sesion
Cookies no cifradas (modificacion de atributos)
Cross Site Request Forgery
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Analisis de autorizacion y logica de negocio
Acceso a ficheros
Escalado de privilegios
Fallos en la logica de la aplicacion
Analisis de mensajes de error
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Validacion de datos de entrada y salida
Cross Site Scripting (XSS)
Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)
Buffer overflow
Fuzzing (entrada aleatoria, y/o excesivamente grande)
Ezequiel Vazquez De la calle Hacking web con OWASP
Pentesting con OWASP
Denegacion de servicio
No liberacion de recursos
Almacenamiento de demasiada informacion en la sesion
Bloqueo de usuarios
Entrada de usuario en un bucle
Gestion de peticiones repetitivas (LOIC)
Ezequiel Vazquez De la calle Hacking web con OWASP
¿Y como protejo mi web?
Buenas practicas
Auditorıas de seguridadperiodicas
Integrar la seguridad en eldesarrollo desde el inicio
Asumir que siemprehabra fallos de seguridad
Si alguien va a porti. . . (APT)
Encontrar el equilibrio
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Top Ten
Lista de vulnerabilidadesmas comunes
Publicada cada tres anos
Cuarta version en 2013
”Meter el miedo en elcuerpo”
Util como referencia rapida
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP ZAP
Proxy que intercepta peticiones y respuestas
Permite modificar el contenido de ambas
Detecta posibles superficies de ataque
Ezequiel Vazquez De la calle Hacking web con OWASP
Nikto2
Escaner de vulnerabilidadesweb
Codigo abierto (GPL)
Comprueba versionesdesactualizadas, metodosHTTP, etc.
No esta disenado comoherramienta stealth
http://www.cirt.net/nikto2
Ezequiel Vazquez De la calle Hacking web con OWASP
SQLMap
Automatiza la deteccion yexplotacion de vulnerabilidadesSQLinjection
Codigo abierto (GPL)
Soporta muchos motores(MySQL, Oracle, PostgreSQL,MS SQL Server... ¡hasta Access!)
http://sqlmap.org/
Ezequiel Vazquez De la calle Hacking web con OWASP
OWASP Xenotix
Framework de deteccion y explotacion de XSS
Analiza IE, Chrome y Firefox
Herramienta muy potente
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
Conclusiones
Realizar testing durante todo el ciclo de vida
¡El pentesting no es un juego! Permiso por escrito
¡Importante! Documentacion con resultados obtenidos
Un buen analisis debe intentar cubrir el maximo de lasuperficie de ataque
Ahorro o perdida de dinero, reputacion, etc.
La importancia de la formacion
Ezequiel Vazquez De la calle Hacking web con OWASP
Conclusiones
Ezequiel Vazquez De la calle Hacking web con OWASP
Indice
1 Introduccion
2 OWASP Testing Guide
3 Miscelanea
4 Conclusiones
5 Referencias
Ezequiel Vazquez De la calle Hacking web con OWASP
Referencias
OWASP official webpagehttps://www.owasp.org
Browser security handbookhttps://code.google.com/p/browsersec/wiki/Main
Blog Flu Projecthttp://www.flu-project.com
Blog Seguridad para Todoshttp://www.seguridadparatodos.com
Una al dıahttp://unaaldia.hispasec.com
Ezequiel Vazquez De la calle Hacking web con OWASP
Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLairezequielvazq[at]gmail[dot]com
Ezequiel Vazquez De la calle Hacking web con OWASP