Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Slides:



Advertisements
Presentaciones similares
¿PARA QUE ESTAMOS AQUÍ? LOS OBJETIVOS DE LA ENCARNACIÓN.
Advertisements

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes
22 3 ¿Qué creen que es? Les doy pistas: Se devora y no se gasta No necesita luz eléctrica Se puede compartir Se lleva a todas partes, facilito Si no.
1 Yahoo! News U.S. JEORDAN LEGON Ocho estrategias para triunfar en la revolución tecnológica.
MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.
Paso 1 Portada YO SOY EUROPEO Comisión Europea.
Curso de Java Java – Redes Rogelio Ferreira Escutia.
“Planificación de Aplicaciones Web”
Preguntas.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
CREACIÓN DE PÁGINAS WEB CON SHAREPOINT DESIGNER 2007 (Sesión 1) Ricardo Ferrís Castell ( ) Departament D Informàtica.
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Aranda Fernández, Miguel Ángel García Redondo, Luis Miguel
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Los números.
Translate: I hope they have arrived on time..
Firewalls COMP 417.
Los Objetos de la Clase Escriban la palabra (the word) en español para los objetos de la clase (#1-20).
Los números.
C1v1 Repaso c1v1 Repaso.
1 1 Biblioteca Novelas de Howard Phillips Lovecraft Azathoth y La Llamada de Cthulhu Clic para ver la información de este imagenClic para cerrar
Caracterización de la red existente
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
USO Y MANEJO DEL VIDEOTELÉFONO.
Capítulo 6-2 Vocabulario Describing people and things in the past, Talking about an emotional reaction 1.
Colegio San Lorenzo.
PROCESO DE CONTRATACIÓN 1 Ventanas en Cif-KM Proceso contratación de obra
Creación del prototipo de la red del campus
Teoría matemática.
Proyecto ProMéxico Plasmas abril SECCIONES NOTICIAS PROYECTOS UNIDAD ACTÚA EVENTUALES secciones ProMéxico.
Proyecto ProMéxico Plasmas mayo SECCIONES NOTICIAS PROYECTOS UNIDAD ACTÚA EVENTUALES secciones ProMéxico.
Proyecto ProMéxico Plasmas marzo SECCIONES NOTICIAS PROYECTOS UNIDAD ACTÚA EVENTUALES secciones ProMéxico.
RETIRO DE COMALCALCO DIC. 2012
INSTITUTO TECNOL Ó GICO SUPERIOR DE CALKINI EN EL ESTADO DE CAMPECHE Carrera: Ingeniería en Informática Maestro: LIC. David Enrique Ochoa.
Sistema Para GENERAR gráficas a partir de logs tcpdump usando Hadoop
Seguridad de redes empresariales
TUTORIAL DE SUBVERSION
Investigación Algorítmica
Comité Nacional de Información Bogotá, Julio 27 de 2011 Consejo Nacional de Operación de Gas Natural 1 ESTADISTICAS NACIONALES DE OFERTA Y DEMANDA DE GAS.
Proyecto Fin de Carrera E.T.S. Ingeniería Informática 26 de Septiembre de 2006 DESARROLLO DE UN COMPONENTE TECLADO ALUMNO: Fco. Javier Sánchez Ramos TUTORES:
Guía de Implementación
Tecnologías inalámbricas
Aqui está Señoras y Señores !!!!!
JORNADA 1 DEL 24 DE MARZO AL 30 DE MARZO EQUIPO 01 VS EQUIPO 02 EQUIPO 03 VS EQUIPO 06 EQUIPO 05 VS EQUIPO 10 EQUIPO 07 DESCANSA EQUIPO 08 VS EQUIPO 13.
CULENDARIO 2007 Para los Patanes.
1 Dr. Mario Heñin - MH Dr. Roberto Lombardo - RL Prof. Dr. Armando Pacher - AP Dr. Jorge Rodríguez - JR XXIV Congreso Nacional de Cardiología Buenos Aires.
BEATRIZ LAFONT VILLODRE
SI QUIERES VERLO DALE AL CLICK
ESTADOS FINANCIEROS A DICIEMBRE DE 2013.
GUIÓN GRÁFICO VALORES EN LA USB
“¿Qué Pienso de mi futuro?”
1/27 Optimización de Internet con Software Libre Jack Daniel Cáceres Meza
La herramienta que cambiará todo 1 La Herramienta para RRHH que cambiará Todo.
1 Correo Electrónico TALLER DE ALFABETIZACIÓN DIGITAL.
ISAIAS 5:1-2.
Seguridad de la Información
EL RETO DE UN GRANDE Y PROFUNDO LEGADO
PUNTO Puntos de encuentro en Salud Mental. LA ASOCIACIÓN HIZO SU ACTO DE PRESENTACIÓN EL 14 DE MAYO DEL 2010 EN EL ATENEO DE CHESTE. A PUNTO. Asociación.
PROTEJA A SU NEGOCIO PEQUEÑO DEL FRAUDE. DIAPOSITIVA OCULTA: Instrucciones De Preparación para el Coordinador 2.
ESCUELA PROFESIONAL DE INGENIERIA INDUSTRIAL CURSO: GESTION DE LA CALIDAD ING.ELIZABETH FERG 1.
Guía de Implementación
Auditoría de Sistemas y Software
Hugo Alexander Muñoz García
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 2 de Julio de 2008 Hélène Doumenc
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 30 de Junio de 2008 Hélène Doumenc
Transcripción de la presentación:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP OWASP ¿Vulnerados por Infantes 2.0? OWASP ¿Vulnerados por Infantes 2.0? Nahuel Grisolía Bonsai Information Security 14 de Octubre 2010

2 OWASP UdeMM - Vulnerados por Infantes 2.0 whoami Líder de Bonsai Information Security Information Security enthusiast Diversas vulnerabilidades reportadas en productos y servicios comerciales y Open Source Gadgets and Electronics Lover CEH

3 OWASP UdeMM - Vulnerados por Infantes 2.0 Historia Motivadora…

4 OWASP UdeMM - Vulnerados por Infantes 2.0

5

6 ¿Por qué nos interesa la seguridad en Aplicaciones Web? Internet -> repleta de aplicaciones Web Cualquier empresa u organización, desde las pequeñas que desean hacerse conocer hasta las grandes corporaciones, poseen aplicaciones Web públicas Tendencia a migrar a interfaces Web aplicaciones de escritorio ya existentes ¿Qué empresa u organización no posee en su red interna e incluso publicadas en Internet una gran cantidad de aplicaciones Web que cumplen papeles fundamentales en la operatoria del día a día?

7 OWASP UdeMM - Vulnerados por Infantes 2.0 ¿Por qué nos interesa la seguridad en Aplicaciones Web? Porque ellos SÍ tienen MUCHO, pero MUUUCHO … Tiempo!

8 OWASP UdeMM - Vulnerados por Infantes 2.0 ¿Por qué nos interesa la seguridad en Aplicaciones Web? Y nosotros… NO!

9 OWASP UdeMM - Vulnerados por Infantes 2.0 Mi servidor Web tiene todos los parches, y corre detrás de un Firewall. ¿Estoy a salvo? Mi aplicación Web no tiene vulnerabilidades, por ende, no hay posibilidades de ataques… ¿cierto? ¿Y por dónde me pueden atacar?

10 OWASP UdeMM - Vulnerados por Infantes 2.0 Conexiones a Servidores de Base de Datos… ¿¿¿sólo a puertos específicos??? DMZ Mal (muy mal) configurada… Mi Microsoft IIS donde tengo mi Web pertenece al Dominio General y se puede conectar al Controlador de Dominio. OMG! Equipos adyacentes en DMZ con credenciales triviales o reutilizadas – SI DESDE AFUERA NO SE VE, ya fue! Le dejo admin:admin En localhost tengo un Apache Tomcat corriendo como root. OLVIDATE, desde AFUERA no se ve! Dejale admin:tomcat Aprovechando Redes de Confianza!

11 OWASP UdeMM - Vulnerados por Infantes 2.0 Fases Clásicas de un Test de Intrusión Profesional Descubrimiento Análisis Explotación Escalamiento

12 OWASP UdeMM - Vulnerados por Infantes 2.0 Fases en un ataque de un Infante 2.0

13 OWASP UdeMM - Vulnerados por Infantes 2.0 Herramientas 1:100000

14 OWASP UdeMM - Vulnerados por Infantes 2.0 Descubro Puntos Vulnerables… w3af Nikto Dirbuster Flasm SWFscan Nmap Scripting Engine Nessus (activación módulo Web) Metasploit (WMAP) Proxies Locales Software Comercial (Cracked) FOCA

15 OWASP UdeMM - Vulnerados por Infantes 2.0 SQLMap SQLibf SQLSus SQLi Cheat Sheets Hackers WebKit BeeF XSSer Brutus – Medussa - Hydra Bypass de Javascript, de ActiveX, de Flash w3af Exploto Puntos Vulnerables…

16 OWASP UdeMM - Vulnerados por Infantes 2.0 ReDUH HTTPTunnel DBKiss Churrasco (Churraskito, Chimichurri) Metasploit Web Payloads Meterpreter Netcat PwDumpX GSecDump Exploit Locales Post Exploto Puntos Vulnerables…

17 OWASP UdeMM - Vulnerados por Infantes 2.0 Denegaciones de Servicio???…

18 OWASP UdeMM - Vulnerados por Infantes 2.0

19 OWASP UdeMM - Vulnerados por Infantes 2.0

20 OWASP UdeMM - Vulnerados por Infantes 2.0 Shared Hostings Google Hacking WebCaches & more… & more… Y si el sitio Web no tiene errores?

21 OWASP UdeMM - Vulnerados por Infantes 2.0 El sitio objetivo no tiene errores fácilmente explotables! Es posible, entonces, estudiar el universo de la aplicación en busca de otras posibles vulnerabilidades

22 OWASP UdeMM - Vulnerados por Infantes 2.0 Mucha Información interesante al alcance

23 OWASP UdeMM - Vulnerados por Infantes 2.0 Evitando dejar rastros del ataque Evitando dejar rastros del ataque Being Stealth like a Ninja!

24 OWASP UdeMM - Vulnerados por Infantes 2.0 Buenos HOTs SPOTs Aires

25 OWASP UdeMM - Vulnerados por Infantes 2.0 Free Web Proxies, Red TOR, Navegación Anónima Se intenta ocultar la dirección IP, utilizando una cadena de servidores que enmascaran la dirección real, haciendo el rastreo complicado.

26 OWASP UdeMM - Vulnerados por Infantes 2.0

27 OWASP UdeMM - Vulnerados por Infantes Conclusiones Las posibilidades, herramientas y técnicas son numerosas, accesibles y fáciles de usar El tiempo es nuestro enemigo Cuidado con las Falsas sensaciones de seguridad: Frameworks de Desarrollo, Soluciones Enlatadas y Appliances Cerrados Defensa en Profundidad, la mejor aliada Web Application Firewalls, buenos amigos Analizadores de Logs y Tráfico

28 OWASP UdeMM - Vulnerados por Infantes Preguntas? Respuestas! !

29 OWASP UdeMM - Vulnerados por Infantes Preguntas? (el clásico) algunas que podrían estar haciendo… ;) Después de esto… acaso… ¿está todo perdido? ¿Podrás volver atrás que me perdí de una cosita porque me llamó mi jefe? ¿Mi sobrinito de casi 6 años, es un hacker? Nunca analicé la seguridad de mi infraestructura o Web… ¿Debería? Y en Argentina… ¿estamos protegidos por alguna ley ante algún eventual ataque?

30 OWASP UdeMM - Vulnerados por Infantes 2.0 Nahuel Grisolía Bonsai Information Security ¿Vulnerados por Infantes 2.0?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.