22 de septiembre de 2015

Transcripción

FRAMEWORK DE ATAQUES WEB v 1.0
Como los Ciberdelincuentes se
aprovechan de sitios web
inseguros
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”.
Agenda
•
•
•
•
•
•
¿Qué pasa cuando un sitio web se encuentra sin seguridad?
 Técnica de robo de Credenciales viajando de forma insegura
 Técnica hombre en el medio (MiTM)
 Re-direccionamiento y reenvíos no válidos
 Configuración por defecto
 Cross Site Scripting Frame
 SQL Injection
 Técnica de web Shell
 Técnicas de DOS
¿Qué pasa cuando un sitio web se encuentra con seguridad?
Buenas prácticas para sitios web. “Best Practices”
5 Alertas de Sitios web Vulnerables
Sitios Web comprometidos
Reflexión
Técnica de robo de Credenciales
viajando de forma insegura
Técnica hombre en el medio (MiTM)
Re-direccionamiento y reenvíos
no válidos
Configuración por defecto
Google Dorks
Google Dorks
ext:pwd inurl:(service | authors | administrators | users) “# -FrontPage-“
http://csml9.pme.nthu.edu.tw:8080/old%20webs/frontpage%20webs/content/_vti_pvt/service.pwd
http://www.ksghauser.harvard.edu/philanthropyclassics/_vti_pvt/service.pwd
http://www.ricepropulsion.com/_vti_pvt/service.pwd
filetype:sql “MySQL dump” (pass|password|passwd|pwd)
filetype:sql “# dumping data for table” “`PASSWORD` varchar”
http://dis.unal.edu.co/~icasta/GGP/_Ver_2009_1/GGP_2009_1_gr2/GGP20091GR2_Ciclo2/GGP20091GR2_C2Ef/Instalacion_Producto/CreacionB
D-SIAC.sql
http://ccia.ei.uvigo.es/docencia/SCS/1112/jee/scs_reservas.sql
http://proyectocompartedeporte.googlecode.com/svn-history/r135/trunk/compartedeporte/src/compartedeporte.sql
http://www.aviatecenter.com/burdekin/handle/my_db.sql
http://www.tuttoacasaonline.com/sql/ion_auth.sql
intitle:”index of” “Index of /” password.txt
http://www.cse.buffalo.edu/~rapaport/727cva/EMAIL/
http://gray-world.net/etc/passwd/
http://www.hackershandbook.org/1000/
camera linksys inurl:main.cgi 700 cámaras disponibles para que un hacker nos vea. No hace falta contraseña, para entrar
http://camera.hadstenhouse.com/main.cgi?next_file=v_video.htm
http://mail.duncan.ca:58650/img/main.cgi?next_file=main.htm
inurl:”ViewerFrame?Mode=” 83.000 cámaras disponibles para espiar sin necesidad de contraseña
http://74.94.148.163:8080/ViewerFrame?Mode=Motion
http://60.45.63.26/ViewerFrame?Mode=Motion&Language=0
http://61.211.241.239/ViewerFrame?Mode=Motion&Language=1
http://kamera-mu.licanet.cz/ViewerFrame?Mode=Motion&Language=0
http://shiretoko.miemasu.net/CgiStart?page=Single&Mode=Motion&Language=1
Impresoras
http://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi
Cross Site Scripting Frame
SQL Injection
Técnica de web Shell Upload
http://remingtonsconstruction.com/var_off.php5
Técnica de web Shell Upload
http://corz.org/corz/c99.php
Técnica de D.O.S (POC)
https://thc.org/thc-ssl-dos/
Técnica de D.O.S (ATTACK)
https://thc.org/thc-ssl-dos/
Técnica de D.O.S (LOIC)
BUENAS PRÁCTICAS DE
SEGURIDAD INFORMÁTICA
PARA SITIOS WEB
Credenciales viajando de forma Segura
Credenciales viajando de forma Segura (MiTM)
Identificando Certificados Digitales válidos
Sitios web Comprometidos
Algunos sitios comprometidos
a nivel nacional
a nivel nacional
http://www.fiducoldex.com.co/
http://zonehmirrors.org/defaced/2014/09/01/www.fiducoldex.com.co/www.fiducoldex.com.co/index.html
https://coagronorte.com.co/
https://www.zone-h.org/mirror/id/24828886/
http://www.csc.gov.co/framework/
http://zonehmirrors.org/defaced/2015/09/10/portaltransaccional.csc.gov.co/portaltransaccional.csc.gov.co/index.html%3FA
ccesoID=84634F2D9217&RegistroID=47124C00B17A
http://www.mineducacion.gov.co/1621/w3-channel.html
http://zonehmirrors.org/defaced/2015/09/11/portalapp.mineducacion.gov.co/portalapp.mineducacion.gov.co/auditoria/
http://teletrabajo.gov.co/portal/
http://zonehmirrors.org/defaced/2015/09/15/teletrabajo.mintic.gov.co/teletrabajo.mintic.gov.co/libroblanco/
http://www.secretariadeambiente.gov.co/
http://zonehmirrors.org/defaced/2014/09/08/www.secretariadeambiente.gov.co/www.secretariadeambiente.gov.co/
Historia patria
http://www.federacionvenezolanadefutbol.org/
https://www.zone-h.org/mirror/id/19552064
Fuente: https://www.zone-h.org/archive
a nivel Internacional
https://www.nsa.gov/
https://www.zone-h.org/mirror/id/9678402
Guía de Seguridad WEB
http://sourceforge.net/projects/mantraos/
https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
https://www.owasp.org/index.php/Bogota
https://www.owasp.org/index.php/Main_Page
BEST PRACTICE
https://benchmarks.cisecurity.org/
5 Alertas de sitios vulnerables
Modificación del INDEX
Modificación por fecha de los archivos
Permisos de Lectura, escritura y ejecución en los archivos de la aplicación
Procesos
desconocidos en el
sistema operativo
Alto consumo de recursos de hardware
BEST PRACTICE
 Implementar un modelo de permisos mínimos, es mejor ir escalando privilegios por
demanda de acuerdo a los perfiles establecidos en las etapas de diseño.
 Si se utiliza un lenguaje que no sea compilado, asegurarse de limpiar el código que se
pone en producción, para que no contenga rutinas de pruebas, comentarios o
cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.
 Nunca confiar en los datos que ingresan a la aplicación, todo debe ser verificado para
garantizar que lo que está ingresando a los sistemas es lo esperado y además evitar
inyecciones de código.
 Hacer un seguimiento de las tecnologías utilizadas para el desarrollo. Estas van
evolucionando y cualquier mejora que se haga puede dejar obsoleta o inseguras
versiones anteriores.
 Todos los accesos que se hagan a los sistemas deben ser validados.
BEST PRACTICE
 Para intercambiar información sensible utilizar protocolos para cifrar las
comunicaciones, y en el caso de almacenamiento la información confidencial debería
estar cifrada utilizando algoritmos fuertes y claves robustas.
 Cualquier funcionalidad, campo, botón o menú nuevo debe agregarse de acuerdo a
los requerimientos de diseño. De esta forma se evita tener porciones de código que
resultan siendo innecesarias.
 La información almacenada en dispositivos clientes debe ser la mínima, y más si se
trata de contraseñas o datos de sesión. Este tipo de dispositivos son los más
propensos a recibir ataques y por lo tanto su información puede ser expuestas más
fácilmente.
 Cualquier cambio que se haga debería quedar documentado, esto facilitará
modificaciones futuras.
 Poner más cuidado en los puntos más vulnerables, no hay que olvidar que el nivel
máximo de seguridad viene dado por el punto más débil.
REFLEXIÓN
Un atacante necesita solamente un pequeño error, una
vulnerabilidad para lograr su cometido.
Si dentro de la empresa descuidan los temas
de seguridad por acelerar la operatividad del
negocio, podemos estar dejando la puerta
abierta a que se comprometa la seguridad de
la información.
Ser responsables con los procesos es la mejor defensa, y no
está de más preguntarse si es mejor invertir unas semanas
más en desarrollo, que perder reputación y dinero en un
instante por un incidente de seguridad.
PREGUNTAS?
AGRADECIMIENTOS
Fuentes de consulta:
https://www.zone-h.org/archive
http://hackerss.com/24-sitios-web-del-gobierno-de-mexico-fueron-hackeados-por-anonymous.html
http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphone-security-breach-only-very-targeted-attacks.htm
https://www.youtube.com/watch?v=SI7hLp01MxU

22 de septiembre de 2015

Transcripción

Documentos relacionados