Curso basicoseguridadweb slideshare4

1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.

2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.

4. SEGURIDAD EN APLICACIONES WEB Web Pentesting WEB PENTESTING Test de penetración web

5. SEGURIDAD EN APLICACIONES WEB Web Pentesting Pruebas de penetración (Penetration test/Pentesting) Es un método para evaluar la seguridad de un sistema simulando un ataque al mismo. Se puede realizar sobre diferentes puntos del sistema a estudiar (aplicación web, sistemas, ...)

6. SEGURIDAD EN APLICACIONES WEB Web Pentesting ¿Como se realiza un Pentesting? En este apartado nos centraremos en realizar un Web Pentesting, es decir en analizar la seguridad de una aplicación web.

7. Revsaremos la metodología de testing OWASP

8. SEGURIDAD EN APLICACIONES WEB Web Pentesting Esta metodología implica la catalogación de cualquier vulnerabilidad encontrada junto con la asignación de un nivel de impacto a la misma y las recomendaciones pertinentes para solucionarla.

9. SEGURIDAD EN APLICACIONES WEB Web Pentesting Consta de una serie de puntos a testear que organiza en dos fases. Fase pasiva Recolección de información.

10. SEGURIDAD EN APLICACIONES WEB Web Pentesting Gestión de la configuración

11. Autenticación

12. Gestión de la sesión

13. Autorización

14. Lógica de negocio Validación de datos

15. Denegación de servicio

16. Web Services

17. Ajax Fase activa. En las que se realizarán pruebas sobre:

18. SEGURIDAD EN APLICACIONES WEB Web Pentesting La utilización de esta metodología nos permitirá realizar y documentar las pruebas de una manera ordenada y coherente. Cada subcategoria le corresponderá un identificador. Por ejemplo: Testeo SSL/TLS ->(OWASP-CM-001) Nos permite disponer de un checklist de tareas para ir anotando su realización y asegurar la revisión completa de la aplicación.

19. SEGURIDAD EN APLICACIONES WEB Web Pentesting A continuación iremos listando y explicando las actividades más relevantes por las que nos guía esta metodología y alguna de las herramientas que podemos usar para facilitar su cumplimiento

20. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Spiders, robots, crawlers: A través de estas herramientas conseguiremos obtener un mapeo de las url's que forman parte de la aplicación. En ocasiones se realizará una combinación de navegación manual y automática para poder recorrer toda la aplicación

21. Herramientas: Paros Proxy

22. Owasp ZAP

23. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Buscar información sobre la aplicación web en internet (google hacking) Podemos obtener información sobre: Vulnerabilidades conocidas

24. Páginas de error

25. Estructura

26. … Herramientas: Google

27. Bing

28. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Identificar puntos de entrada en la aplicación Identificar todos los parámetros de entrada a la aplicación

29. Herramientas: WebScarab

30. Paros Proxy

31. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Determinar la huella de la aplicación Pretendemos descubrir la tecnología subyacente, servidor, sistema operativo,...

32. Herramientas HttPrint

33. NetCraft (online)

34. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Descubrimiento de aplicaciones Consiste en determinar que otros recursos están disponibles en el mismo servidor web

35. Es importante ya puede dar lugar al descubrimiento de detalles, por ejemplo, sobre posibles aplicaciones/urls destinadas a propósitos administrativos.

36. Herramientas: Buscadores (Google,...)

37. Netcraft

38. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recolección de información Análisis de códigos de error Los errores que produce la aplicación en algunas ocasiones revelan información sobre las tecnologías subyacentes (Servidor, lenguaje de programación, base de datos, …)

39. Se tendrán que provocar dichos errores introduciendo valores erróneos en los campos de entrada.

40. SEGURIDAD EN APLICACIONES WEB Web Pentesting Gestión de la configuración Identificar versión de SSL/TLS y algoritmos usados Se revisará aquellos certificados con los que se identifica el servidor en caso de hacerlo por ssl

41. Se revisarán las versiones y características de SSL/TLS aceptadas por el servidor buscando aquellas versiones obsoletas, con vulnerabilidades conocidas o que tengan cifrado debil

42. Herramientas: ssl_test

43. sslscan

44. SEGURIDAD EN APLICACIONES WEB Web Pentesting Gestión de la configuración Acceso a páginas de administración: Probar paths típicos: /admin, /administrator, …

45. Herramientas: ZAP incluye la funcionalidad para probar automáticamente con diferentes posibilidades

46. SEGURIDAD EN APLICACIONES WEB [In]Seguridad en internet. Pentesting Verificar El envío de datos sobre canal seguro.(Https)

47. La posibilidad de enumeración de usuarios

48. La posibilidad de saltarse el proceso de autenticación (sqli, acceso directo por url, sesiones no aleatorias,...)

49. La robustez de la política de contraseñas

50. La correcta gestión del logout Autenticación

51. SEGURIDAD EN APLICACIONES WEB Web Pentesting Verificar: Chequeo de los atributos de las sesiones: Cookies con los flags activos HttpOnly y Secure Políticas para evitar XSRF Tokens únicos de sesión, ... Gestión de sesiones

52. SEGURIDAD EN APLICACIONES WEB Web Pentesting Verificar Que no se puede acceder a archivos del servidor ni cargar archivos propios. Local File Inclusion (LFI)

53. Remote File Inclusion (RFI) Bypass del esquema de autorización Verificar que un usuario no puede realizar acciones que solo pueden realizar otros roles Autorización:

54. SEGURIDAD EN APLICACIONES WEB Web Pentesting Lógica de negocio Análisis del funcionamiento interno de la aplicación: Usuarios, roles, permisos.

55. Flujos de navegación.

56. Flujos de información.

57. Esta tarea se tendrá que realizar manualmente prestando especial atención a aquellos puntos que puedan ser explotados

58. SEGURIDAD EN APLICACIONES WEB Web Pentesting Verificar: Que se validan y filtran tanto los datos de entrada como los de salida de la aplicación. Probar ataques de: SQLi

59. XSS

60. *Injection Existe múltiples tipos de ataques donde se procuran inyectar datos en distintos puntos del sistema. Herramientas Paros / ZAD Validación de datos

61. SEGURIDAD EN APLICACIONES WEB Web Pentesting Lógica de negocio Identificación de posibles vectores de ataque e intento de explotación. Ejemplo: Intentar realizar un trámite que requiere pago sin haberlo realizado mediante la modificación de valores de entrada

62. SEGURIDAD EN APLICACIONES WEB Web Pentesting Verificar: Existencia de partes de la aplicación que tarden mucho en responder y realizar varias peticiones simultaneas para observar como reacciona el sistema.

63. Realizar/Inyectar querys pesadas.

64. Bloqueo de cuentas de usuario

65. ... Denegación de servicio (DOS)

66. SEGURIDAD EN APLICACIONES WEB Web Pentesting Identificación y análisis de las funciones que ofrecen los webservices. Revisión de funciones o parámetros no testeados hasta el momento a través del interfaz web Verificar las vulnerabilidades propias de los webservices: Xpath Injection Herramientas Webscarab (WebServices plugin)

67. WSDigger Web Service Testing

68. SEGURIDAD EN APLICACIONES WEB Web Pentesting Identificación y análisis de las funciones que ofrecen Revisión del código fuente javascript para detectar: Funciones o parámetros no testeados hasta el momento a través del interfaz web

69. Identificar framework AJAX

70. Búsqueda en internet de vulnerabilidades propias a dicho framework y prueba de las mismas Herramientas: Addons Firefox: Firebug AJAX Testing

71. SEGURIDAD EN APLICACIONES WEB Web Pentesting Referencias: https://www.owasp.org/index.php/Testing_Checklist https://www.owasp.org/index.php/Web_Application_Penetration_Testing http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf

72. SEGURIDAD EN APLICACIONES WEB Web Pentesting Como vemos el proceso de testing de la seguridad de una aplicación web puede proveernos de una revisión reglada de los principales puntos de vulnerabilidad de un aplicación. No obstante como todo proceso de testing nunca nos otorgara una garantía del 100% de seguridad

Curso basicoseguridadweb slideshare4

Más contenido relacionado

La actualidad más candente (10)

Destacado (15)

Similar a Curso basicoseguridadweb slideshare4 (20)

Más de tantascosasquenose (8)

Último (20)

Curso basicoseguridadweb slideshare4