La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

WEB VULNERABLE DVWA Universidad de Almería

Publicada porAlba Baile Modificado hace 9 años

Presentaciones similares

Presentación del tema: "WEB VULNERABLE DVWA Universidad de Almería"— Transcripción de la presentación:

1 WEB VULNERABLE DVWA Universidad de Almería
Máster en Administración, Comunicaciones y Seguridad Informática WEB VULNERABLE DVWA 1

2 ÍNDICE 01 Introducción a DVWA ¿Qué es DVWA? Requisitos instalación.
¿Por qué php? 02 Vulnerabilidades. Tipos Contenido Ejemplo 03 Conclusiones. ÍNDICE 2 2 2

3 Introducción a DVWA. ¿Qué es DVWA?
Entorno de entrenamiento en explotación de seguridad web. Programación deliberadamente vulnerable para realizar pruebas de seguridad en un entorno legal. Tres niveles de seguridad: low, medium y high. LiveCD. 3 3 3 3

4 Introducción a DVWA. Requisitos de instalación LAMP.
4 4 4 4

5 Introducción a DVWA. ¿Por qué PHP?
Más de 20 millones de sitios web. Un millón de servidores. Sitios web personales. Webs corporativas. Organizaciones. 5 5 5 5

6 Introducción a DVWA. Problemas de seguridad.
Exploit: Comportamientos extraños en la aplicación Deformar la web(defacement) Extraer información sensible: Servidor web Usuarios visitantes

7 Vulnerabilidad. Fuerza bruta.
Estracción de autenticación al sistema mediante ensayo-error. Uso de diccionarios. Software adicional: Burpsuite. THC-Hydra. 7 7 7 7

8 Vulnerabilidad. Ejemplo de fuerza bruta
8 8 8 8

9 Vulnerabilidad. Ejemplo de fuerza bruta
9 9 9 9

10 Vulnerabilidad. Ejemplo de fuerza bruta
10 10 10 10

11 Vulnerabilidad. Contramedidas de fuerza bruta.
Uso de captchas. Uso de tokens. Funciones de PHP: sleep()

12 Vulnerabilidad. Command execution.
Ejecuta comandos de sistema en el servidor desde la web por un filtrado indebido. 12 12 12 12

13 Vulnerabilidad. Ejemplo command execution.
13 13 13 13

14 Vulnerabilidad. Ejemplo command execution.
14 14 14 14

15 Vulnerabilidad. Contramedidas command execution.
Comprobación del tipo de datos esperado con funciones PHP: Explode() Comprobación is_numeric() Tamaño size() 15 15 15 15

16 Vulnerabilidad. CSRF CROSS-site request forgery también conocido como ataque por explotar la confianza que el sitio web tiene en el usuario, dando lugar a que éste realice acciones de manera inconsciente. Software adicional: OWAST CSRF Tester. 16 16 16 16

17 Vulnerabilidad. Ejemplo de CSRF.
17 17 17 17

18 Vulnerabilidad. Ejemplo de CSRF.

19 Vulnerabilidad. Ejemplo de CSRF.
19 19 19 19

20 Vulnerabilidad. Ejemplo de CSRF.
20 20 20 20

21 Vulnerabilidad. Ejemplo de CSRF.
21 21 21 21

22 Vulnerabilidad. Ejemplo de CSRF.
22 22 22 22

23 Vulnerabilidad. Contramedidas de CSRF.
El uso de token: $token = md5($secret.$sid.$form); 23 23 23 23

24 Vulnerabilidad. File inclusion. La inclusión de archivos está referida a la ejecución en el servidor web de ficheros locales o externos. Hay dos tipos, LFI(Local File Inclusion) y RFI(Remote File Inclusion) 24 24 24 24

25 Vulnerabilidad. Ejemplo File inclusion.

26 Vulnerabilidad. Ejemplo File inclusion.

27 Vulnerabilidad. Contramedidas de File Inclusion.
Directivas de seguridad: allow_url_include allow_url_fopen

28 Vulnerabilidad. SQL injection.
Inyección de código invasor SQL con intenciones maliciosas. Existen dos tipos de SQL injection: SQL injection: Inyección de datos y devolución de errores SQL injection blind: Inyección de datos sin devolución de errores

29 Vulnerabilidad. Ejemplo SQL injection.

30 Vulnerabilidad. Ejemplo SQL injection.

31 Vulnerabilidad. Ejemplo SQL injection.

32 Vulnerabilidad. Contramedidas de SQL injection.
Funciones de PHP: addcslashes() mysql_real_escape_string() stripslashes()

33 Vulnerabilidad. File Upload.
Subida de archivo no controlada que contiene código malicioso dejando una puerta abierta a todo el sistema. Software adicional: Tamper data.

34 Vulnerabilidad. Ejemplo File Upload.

35 Vulnerabilidad. Ejemplo File Upload.

36 Vulnerabilidad. Ejemplo File Upload.

37 Vulnerabilidad. Contramedidas File Upload.
Función de seguridad: Getimagesize() Header(Content-Type)

38 Vulnerabilidad. XSS. Cross site scripting permite a una tercera parte insertar código en páginas visitadas por usuarios. Existen dos tipos, XSS reflected o indirecto, en el cual se inserta código para modificar valores y pasar entre dos páginas. XSS stored, que permite insertar el código en la base de datos y se ejecutado cada vez que se acceda. Software adicional: Firebug.

39 Vulnerabilidad. Ejemplo XSS.

40 Vulnerabilidad. Ejemplo XSS.

41 Vulnerabilidad. Ejemplo XSS.

42 Vulnerabilidad. Contramedidas XSS.
Funciones de PHP: Stripslashes() mysql_real_escape_string() htmlspecialchars()

43 Conclusión. No existe ningún sistema libre de fallos, por eso el programador debe de ser capaz de minimizar riesgos y garantizar en medida de lo posible la integridad del sitio web y su información Gracias a DVWA se puede comprender y nejorar la destreza como programador de páginas web. Nos enseñas las siguientes pautas: Validar/filtrar cualquier parámetro del usuario. No ofrecer nada mas que la información que sea estrictamente necesaria. Conocer las directivas de seguridad de PHP. Controlar los permisos de subida de ficheros.

Descargar ppt "WEB VULNERABLE DVWA Universidad de Almería"

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Joomla! Introducción y configuración Básica del CMS Joomla!. Por: Eli Ruiz.

Joomla! Introducción y configuración Básica del CMS Joomla!. Por: Eli Ruiz.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Algunos tips en Seguridad ASP.NET 2.0

Algunos tips en Seguridad ASP.NET 2.0
Joomla. ¿Qué es Joomla? Es un sistema de gestión de contenidos (CMS) construido con PHP, usado por muchas personas y organizaciones para publicar contenido.

Joomla. ¿Qué es Joomla? Es un sistema de gestión de contenidos (CMS) construido con PHP, usado por muchas personas y organizaciones para publicar contenido.
Servidores Web Capítulo 2.

Servidores Web Capítulo 2.
CI-2413 Desarrollo de Aplicaciones para Internet

CI-2413 Desarrollo de Aplicaciones para Internet
Técnicas avanzadas de penetración a sistemas

Técnicas avanzadas de penetración a sistemas
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Errores comunes al desarrollar websites

Errores comunes al desarrollar websites
Javier Rodriguez Granados

Javier Rodriguez Granados
PROGRAMA DE MAESTRÍA EN REDES DE INFORMACION Y CONECTIVIDAD MRIC-I

PROGRAMA DE MAESTRÍA EN REDES DE INFORMACION Y CONECTIVIDAD MRIC-I
Subir Ficheros al Servidor con PHP José Sánchez Galvañ.

Subir Ficheros al Servidor con PHP José Sánchez Galvañ.
Curso de PHP Tema 6: Seguridad.

Curso de PHP Tema 6: Seguridad.
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.
Seguridad y Privacidad

Seguridad y Privacidad
YII (Yes It Is!) – Php Framework

YII (Yes It Is!) – Php Framework

Presentaciones similares

Anuncios Google