Curso basicoseguridadweb slideshare8
- 1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.
- 2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
- 3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.
- 4. SEGURIDAD Y APLICACIONES WEB Practica XSS Práctica XSS
- 5. SEGURIDAD Y APLICACIONES WEB Practica XSS Para la realización de las prácticas vamos a utilizar una suite de aprendizaje que consiste en un una imagen virtualbox que contiene instaladas varias aplicaciones vulnerables y algunas herramientas para facilitar la realización de ataques sobre ellas. Esta imagen se llama Web Security Dojo. Ha sido preparada por Maven Security y se puede encontrar en: http://www.mavensecurity.com/web_security_dojo/
- 6. SEGURIDAD Y APLICACIONES WEB Practica XSS En esta imagen podremos encontrar como aplicaciones vulnerables: OWASP's Webgoat
- 8. Damn Vulnerable Web App
- 9. Hacme Casino
- 12. SEGURIDAD Y APLICACIONES WEB Practica XSS Burp Suite
- 13. w3af
- 14. sqlmap
- 15. arachni
- 16. metasploit
- 17. Zed Attack Proxy
- 18. OWASP Skavenger
- 19. OWASP Dirbuster
- 20. Paros Webscarab
- 21. Ratproxy
- 22. skipfish
- 23. websecurify
- 24. davtest
- 25. J-Baah
- 26. JBroFuzz
- 27. Watobo
- 28. RATS
- 29. helpful Firefox add-ons Herramientas:
- 30. SEGURIDAD Y APLICACIONES WEB Practica XSS A continuación iremos realizando diferentes prácticas donde veremos herramientas y ataques que se usan para descubrir y explotar vulnerabilidades en aplicaciones web y sistemas. En cada una de las prácticas se explicarán brevemente las herramientas que usamos para facilitar la explotación de cada vulnerabilidad.
- 31. SEGURIDAD Y APLICACIONES WEB Practica XSS Comenzamos las prácticas de Cross Site Scripting:
- 32. Arrancamos DVWA en la imagen DOJO
- 33. admin/password
- 34. Vamos a la opción XSS reflected
- 35. Introducimos algún valor en el formulario y vemos como tras pulsar en submit aparece dicho valor en pantalla.
- 36. Cuando una aplicación tiene esta funcionalidad es posible que tenga una vulnerabilidad de XSS
- 37. SEGURIDAD Y APLICACIONES WEB Practica XSS Vamos a intentar explotar esta vulnerabilidad introduciendo código HTML para ver si lo interpreta
- 39. SEGURIDAD Y APLICACIONES WEB Practica XSS
- 40. SEGURIDAD Y APLICACIONES WEB Practica XSS Probemos con algunas entradas más: <script>alert(“hola”)</script> <script>alert(document.cookie)</script> En la última prueba acabamos de obtener la cookie de sesión del usuario con lo que logandonos desde otro lugar con esa cookie tendríamos acceso a la cookie mientras el usuario legitimo no cierre sesión.
- 41. SEGURIDAD Y APLICACIONES WEB Practica XSS
- 42. SEGURIDAD Y APLICACIONES WEB Practica XSS
- 43. SEGURIDAD Y APLICACIONES WEB Practica XSS En esta práctica practicaremos xss almacenado, la diferencia con la anterior (reflejado) es que en esta ocasión combinaremos el ataque con un inyección sql para que el valor quede guardado en la BD y el ataque XSS aparezca cada vez que la aplicación muestre dicho data a cualquier usuario.
- 44. SEGURIDAD Y APLICACIONES WEB Practica XSS Dentro de la pantalla de DVWA pulsamos en XSS stored
- 45. La aplicación guarda en bd los datos que vamos enviando y como respuesta devuelve todo lo almacenado hasta el momento
- 46. Si introducimos un XSS en alguno de los campos este será ejecutado en los navegadores de todos los usuarios que entren en la página
- 47. SEGURIDAD Y APLICACIONES WEB Practica XSS Para probarlo: Introducimos en el campo Message
- 48. <script> alert (“Estoy en BD”)</script>
- 49. Una vez enviado aparece cada vez que refresquemos la página o que enviamos un nuevo mensaje
- 50. SEGURIDAD Y APLICACIONES WEB Practica XSS Para probarlo: Introducimos en el campo Message
- 51. <script> alert (“Estoy en BD”)</script>
- 52. Una vez enviado aparece cada vez que refresquemos la página o que enviamos un nuevo mensaje
- 53. SEGURIDAD Y APLICACIONES WEB Practica XSS
- 54. SEGURIDAD Y APLICACIONES WEB Practica XSS Veamos el código fuente:
- 55. Pulsamos en el botón view source
- 57. Revisamos los cambios al ir aumentando el nivel de seguridad....
- 58. SEGURIDAD Y APLICACIONES WEB Practica XSS
- 59. SEGURIDAD Y APLICACIONES WEB Practica XSS Como vemos en la pantalla anterior lo único que se tiene que hacer para prevenir este tipo de ataques es filtrar los datos antes de pintarlos en pantalla.
- 60. En el ejemplo se filtran de dos maneras diferentes: Retirando con un replace las cadenas que son más peligrosas (script)
- 61. Una función especial que retira todos los caracteres HTML
- 62. SEGURIDAD Y APLICACIONES WEB Practica XSS Como hemos visto en las prácticas es relativamente sencillo este tipo de vulnerabilidades y también es bastante sencillo prevenirlas: Filtrar todos los datos de entrada a la aplicación
- 63. Filtrar todos los datos de salida desde la aplicación