1. Hacking web con OWASP Ezequiel Vazquez De la calle Ezequiel Vazquez De la calle Hacking web con OWASP

2. Sobre mi Estudios Ingeniero Tecnico en Informatica - UCA Master en Ingeniera del Software - US Experto en Seguridad de las TIC - US Experiencia 3+ anos como desarrollador web Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aciones RocknRoll (guitarrista) y videojuegos Narrativa fantastica, rol, cine. . . Ezequiel Vazquez De la calle Hacking web con OWASP 3. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 4. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 5. Seguridad Y esto de que va? Seguridad web Exposicion a internet Vulnerabilidades Explotacion Hackers? . . . Dinero Ezequiel Vazquez De la calle Hacking web con OWASP 6. OWASP Open Web Application Security Project Fundacion sin animo de lucro Multitud de proyectos: algo caotico Colaboracion a nivel mundial, grupos locales Metodologa de analisis de seguridad web Ezequiel Vazquez De la calle Hacking web con OWASP 7. OWASP Mas de 36000 colaboradores Conferencias por todo el mundo, durante todo el ano En Espana: Asociacion de profesionales Libros, merchandising, etc. Ezequiel Vazquez De la calle Hacking web con OWASP 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel Vazquez De la calle Hacking web con OWASP 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy . . . Ezequiel Vazquez De la calle Hacking web con OWASP 10. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida No solo pentesting! Disponible como libro, PDF y wiki Ezequiel Vazquez De la calle Hacking web con OWASP 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar polticas, estandares, etc. Denir metricas y criterios de evaluacion 2 Durante la denicion y el diseno Revisar requisitos de seguridad Revisar diseno y arquitectura Crear y revisar modelos de amenazas Ezequiel Vazquez De la calle Hacking web con OWASP 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el codigo junto con los desarrolladores 4 Durante el despliegue Realizar test de penetracion [!] Analizar la gestion de la conguracion 5 Durante el mantenimiento Revisar la gestion de operaciones Pruebas periodicas del estado de salud Asegurar la vericacion de cambios Ezequiel Vazquez De la calle Hacking web con OWASP 14. OWASP Testing Guide Ezequiel Vazquez De la calle Hacking web con OWASP 15. Pentesting con OWASP Adquisicion de informacion Analisis de fuentes publicas sobre el sitio web Analisis de la ayuda del propio sitio Uso de spiders, robots y crawlers (puntos de entrada) Analisis de metadatos de los cheros descargables Ezequiel Vazquez De la calle Hacking web con OWASP 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizacion de operadores avanzados del buscador. site: Limitar la busqueda a un unico dominio cache: Buscar en la cache de Google inurl: Resultados que contienen un valor en la URL ext:, letype: Buscar cheros con la extension indicada Ezequiel Vazquez De la calle Hacking web con OWASP 17. Pentesting con OWASP Revision de la conguracion Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexion a BBDD (Conexiones remotas) Sistema operativo del servidor Conguracion del servidor web (Version vulnerable) Metodos HTTP permitidos por el servidor (PUT, DELETE) Ezequiel Vazquez De la calle Hacking web con OWASP 18. Pentesting con OWASP Analisis de autenticacion Enumeracion de usuarios (Modulo Views de Drupal) Ataque de fuerza bruta o diccionario Bypass del sistema de autenticacion (SQLi) Contrasenas suprayectivas Ezequiel Vazquez De la calle Hacking web con OWASP 19. Pentesting con OWASP Analisis de la gestion de la sesion Exposicion de variables de sesion Cookies no cifradas (modicacion de atributos) Cross Site Request Forgery Ezequiel Vazquez De la calle Hacking web con OWASP 20. Pentesting con OWASP Analisis de autorizacion y logica de negocio Acceso a cheros Escalado de privilegios Fallos en la logica de la aplicacion Analisis de mensajes de error Ezequiel Vazquez De la calle Hacking web con OWASP 21. Pentesting con OWASP Validacion de datos de entrada y salida Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buer overow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel Vazquez De la calle Hacking web con OWASP 22. Pentesting con OWASP Denegacion de servicio No liberacion de recursos Almacenamiento de demasiada informacion en la sesion Bloqueo de usuarios Entrada de usuario en un bucle Gestion de peticiones repetitivas (LOIC) Ezequiel Vazquez De la calle Hacking web con OWASP 23. Y como protejo mi web? Buenas practicas Auditoras de seguridad periodicas Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habra fallos de seguridad Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel Vazquez De la calle Hacking web con OWASP 24. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 25. OWASP Top Ten Lista de vulnerabilidades mas comunes Publicada cada tres anos Cuarta version en 2013 Meter el miedo en el cuerpo Util como referencia rapida Ezequiel Vazquez De la calle Hacking web con OWASP 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modicar el contenido de ambas Detecta posibles supercies de ataque Ezequiel Vazquez De la calle Hacking web con OWASP 27. Nikto2 Escaner de vulnerabilidades web Codigo abierto (GPL) Comprueba versiones desactualizadas, metodos HTTP, etc. No esta disenado como herramienta stealth http://www.cirt.net/nikto2 Ezequiel Vazquez De la calle Hacking web con OWASP 28. SQLMap Automatiza la deteccion y explotacion de vulnerabilidades SQLinjection Codigo abierto (GPL) Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... hasta Access!) http://sqlmap.org/ Ezequiel Vazquez De la calle Hacking web con OWASP 29. OWASP Xenotix Framework de deteccion y explotacion de XSS Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel Vazquez De la calle Hacking web con OWASP 30. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 31. Conclusiones Realizar testing durante todo el ciclo de vida El pentesting no es un juego! Permiso por escrito Importante! Documentacion con resultados obtenidos Un buen analisis debe intentar cubrir el maximo de la supercie de ataque Ahorro o perdida de dinero, reputacion, etc. La importancia de la formacion Ezequiel Vazquez De la calle Hacking web con OWASP 32. Conclusiones Ezequiel Vazquez De la calle Hacking web con OWASP 33. Indice 1 Introduccion 2 OWASP Testing Guide 3 Miscelanea 4 Conclusiones 5 Referencias Ezequiel Vazquez De la calle Hacking web con OWASP 34. Referencias OWASP ocial webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Top ten web hacking techniques (2012) https://www.whitehatsec.com/resource/grossmanarchives/ 12grossmanarchives/120612toptenwebhack.html Burp Suite http://portswigger.net/burp Ezequiel Vazquez De la calle Hacking web con OWASP 35. Esto es todo, amigos... Gracias! Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel Vazquez De la calle Hacking web con OWASP