Analisis_de_vulnerabilidades_web
Páginas: 9 (2123 palabras)
Publicado: 20 de septiembre de 2015
ANALISIS
DE
VULNERABILIDADES
WEB
Acerca de mi.
• Jaime Iván Mendoza Ribera
• Administrador de WHM Cpanel en COTAS.ltda
• Pentesting en IT-Forensic.
• Parte del Proyecto THD en Bolivia.
• Email: jaime981@hotmail.com
TEMAS
• INTRODUCCION
• TIPOS PAGINAS WEB
• VULNERABILIDAD
• ¿POR QUÉ HACKEAN LOS SISTIOS WEB?
• Y QUE METOLOGIA UTIIZAMOS EN UN PENTESTING
• ALGUNA DE LAS HERRAMIENTASUTILIZADAS
• VULNERABIIDADES Y LOS FALSOS POSITIVOS….
• REPORTAR VULNERABILIDADES
• XML EXTERNAL ENTITY XXE
INTRODUCCIÓN:
Una de las principales preocupaciones cuando estamos al
cargo de sistema de información o servicios publicados en
internet, es si los mismo se encuentran correctamente
protegidos.
Hoy en día como muchos de nosotros tenemos conocimiento
que en estos tiempos el Análisis deAplicaciones Web juega un
papel muy importante al hacer una Evaluación de la Seguridad
y/o
Penetration
Testing,
ya
que
esta
nos
brinda
la información adecuada acerca de la aplicación web, como
por ejemplo el tipo de Plugin que utiliza, tipos de CMS ya sea
Joomla - WordPress u otros.
TIPOS PAGINAS WEB
-
Personales
-
Corporativas
-
Comercio
-
Portales
HTML
-
Educación
ASP
-
Turismo
PHP
-Instituciones
JSP
-
Informativos
Ruby on Rails
- Servicios
ESTATICAS
SEGÚN SU CONSTRUCCION
DINAMICAS
SEGÚN SU TECNOLOGIA
REF: http://www.ajaxperu.com/paginas-web/tipos-paginas
VULNERABILIDAD.
Definimos Vulnerabilidad como debilidad de cualquier tipo que
compromete la seguridad del sistema informático.
Las vulnerabilidades de los sistemas informáticos las podemos
agrupar en función de:Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficientes e inexistentes.
Implementación
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales
no existe una solución “conocida”, pero se sabe como explotarla.
Vulnerabilidades conocidas
•
•
•
•
•
•
•
Vulnerabilidad de
Vulnerabilidad de
Vulnerabilidad de
Vulnerabilidad deVulnerabilidad de
Vulnerabilidad de
Vulnerabilidad de
Inyección de código SQL (sqlinjection)
Inyección de Commandos
desbordamiento de buffer.
Cross Site Scripting (XSS).
denegación del servicio
ventanas engañosas (Window Spoofing).
Xml Entity Externa XXE
¿Por qué Hackean los Sitios Web?
El hackeo de sitios web es un problema mucho más común de
lo que la mayoría de la gente se imagina, es algo que acualquier sitio web le puede pasar y es difícil de evitar aún
cuando se tomen medidas para prevenirlo. Lamentablemente el
cine ha pintado una imagen totalmente irreal de lo que es un
hacker y lo que le hacen a un sitio web, es por eso que cuando
le pasa a un sitio común y corriente los dueños siempre se
preguntan ¿Por qué hackearon mi sitio web?.
Tristemente este problema es muy común y es difícil deevitar.
Sin embargo existen muchas medidas de seguridad que se
pueden seguir para tratar de minimizar el riesgo
IDS/IPS
WAF
Hardening PHP.INI / Servidor Web
Contraseña Seguras
Revisa Actualizaciones
Escanea en Busca de Fallos
Programación Segura conociendo OWASP
Y QUE METOLOGIA UTIIZAMOS EN UN PENTESTING..
SON FIABLES LOS ANALIZADORES AUTOMATICOS ??
Por escáner Web se entiende cualquier programacon la capacidad de
analizar la seguridad de una aplicación o pagina web
Últimamente, la tendencia en materia de seguridad es emplear , cada
vez mas , herramientas para facilitar la ardua tarea de verificar el nivel
de seguridad real de una aplicación web.
VENTAJAS
Reducción de costes
Disponibilidad y Automatización
No son habilidades especificas
de Seguridad
DESVENTAJAS
Gran cantidad de...
DE
VULNERABILIDADES
WEB
Acerca de mi.
• Jaime Iván Mendoza Ribera
• Administrador de WHM Cpanel en COTAS.ltda
• Pentesting en IT-Forensic.
• Parte del Proyecto THD en Bolivia.
• Email: jaime981@hotmail.com
TEMAS
• INTRODUCCION
• TIPOS PAGINAS WEB
• VULNERABILIDAD
• ¿POR QUÉ HACKEAN LOS SISTIOS WEB?
• Y QUE METOLOGIA UTIIZAMOS EN UN PENTESTING
• ALGUNA DE LAS HERRAMIENTASUTILIZADAS
• VULNERABIIDADES Y LOS FALSOS POSITIVOS….
• REPORTAR VULNERABILIDADES
• XML EXTERNAL ENTITY XXE
INTRODUCCIÓN:
Una de las principales preocupaciones cuando estamos al
cargo de sistema de información o servicios publicados en
internet, es si los mismo se encuentran correctamente
protegidos.
Hoy en día como muchos de nosotros tenemos conocimiento
que en estos tiempos el Análisis deAplicaciones Web juega un
papel muy importante al hacer una Evaluación de la Seguridad
y/o
Penetration
Testing,
ya
que
esta
nos
brinda
la información adecuada acerca de la aplicación web, como
por ejemplo el tipo de Plugin que utiliza, tipos de CMS ya sea
Joomla - WordPress u otros.
TIPOS PAGINAS WEB
-
Personales
-
Corporativas
-
Comercio
-
Portales
HTML
-
Educación
ASP
-
Turismo
PHP
-Instituciones
JSP
-
Informativos
Ruby on Rails
- Servicios
ESTATICAS
SEGÚN SU CONSTRUCCION
DINAMICAS
SEGÚN SU TECNOLOGIA
REF: http://www.ajaxperu.com/paginas-web/tipos-paginas
VULNERABILIDAD.
Definimos Vulnerabilidad como debilidad de cualquier tipo que
compromete la seguridad del sistema informático.
Las vulnerabilidades de los sistemas informáticos las podemos
agrupar en función de:Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficientes e inexistentes.
Implementación
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales
no existe una solución “conocida”, pero se sabe como explotarla.
Vulnerabilidades conocidas
•
•
•
•
•
•
•
Vulnerabilidad de
Vulnerabilidad de
Vulnerabilidad de
Vulnerabilidad deVulnerabilidad de
Vulnerabilidad de
Vulnerabilidad de
Inyección de código SQL (sqlinjection)
Inyección de Commandos
desbordamiento de buffer.
Cross Site Scripting (XSS).
denegación del servicio
ventanas engañosas (Window Spoofing).
Xml Entity Externa XXE
¿Por qué Hackean los Sitios Web?
El hackeo de sitios web es un problema mucho más común de
lo que la mayoría de la gente se imagina, es algo que acualquier sitio web le puede pasar y es difícil de evitar aún
cuando se tomen medidas para prevenirlo. Lamentablemente el
cine ha pintado una imagen totalmente irreal de lo que es un
hacker y lo que le hacen a un sitio web, es por eso que cuando
le pasa a un sitio común y corriente los dueños siempre se
preguntan ¿Por qué hackearon mi sitio web?.
Tristemente este problema es muy común y es difícil deevitar.
Sin embargo existen muchas medidas de seguridad que se
pueden seguir para tratar de minimizar el riesgo
IDS/IPS
WAF
Hardening PHP.INI / Servidor Web
Contraseña Seguras
Revisa Actualizaciones
Escanea en Busca de Fallos
Programación Segura conociendo OWASP
Y QUE METOLOGIA UTIIZAMOS EN UN PENTESTING..
SON FIABLES LOS ANALIZADORES AUTOMATICOS ??
Por escáner Web se entiende cualquier programacon la capacidad de
analizar la seguridad de una aplicación o pagina web
Últimamente, la tendencia en materia de seguridad es emplear , cada
vez mas , herramientas para facilitar la ardua tarea de verificar el nivel
de seguridad real de una aplicación web.
VENTAJAS
Reducción de costes
Disponibilidad y Automatización
No son habilidades especificas
de Seguridad
DESVENTAJAS
Gran cantidad de...
Leer documento completo
Regístrate para leer el documento completo.