Vulnerabilidad wordpress ssl (seguridad de datos)
Páginas: 10 (2363 palabras)
Publicado: 8 de abril de 2010
SEGURIDAD DE DATOS
Informe Vulnerabilidad Wordpress SSL
Integrantes: Michella Sills Gonzalo Parada Profesor: Nicolas Boettcher Ayudante: Sebastian Castillo Fecha Entrega: 15/04/09
Indice
1. Breve explicacion del trabajo.....................................................................3 2. Secure SocketLayer(SSL).........................................................................4 3. Desarrollo Practico del Ataque..................................................................7 3.1 SSLStrip (teórico).....................................................................................7 3.2 Ataques practico…………………………………………………..........9 4. Solucion a la vulnerabilidad(como combatirlos).......................................14 5.Conclusion.................................................................................................15 6. Bibliografia................................................................................................16
En este trabajo se verá como vulnerar Wordpress y la utilización del protocolo SSL para este tipo de aplicaciones. Primero se procederá a realizar una pequeña introducción a los conceptos basicos que serealizaron en este trabajo de investigación. Explicación y demostración con imágenes de el ataque a la vulnerabilidad.
Nota importante: nuestro trabajo no se pudo realizar en Wordpress v1.0(la versión que posee la universidad) ya que como este no implementa SSL, se tuvo que realizar esto con Gmail, ya que esta aplicación si utiliza SSL como seguridad en su socket.
SECURE SOCKET LAYER(SSL)
El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL opera como una capa adicional entre Internet y las aplicaciones, esto permite que el protocolo sea independiente de la aplicación, siendo posible utilizar FTP, Telnet y otras aplicaciones además de HTTP. Para establecer una comunicación segura utilizando SSL se tienen que seguir unaserie de pasos.
Primero se debe hacer una solicitud de seguridad. Después de haberla hecho, se deben establecer los parámetros que se utilizarán para SSL. Esta parte se conoce como SSL Handshake. Una vez se haya establecido una comunicación segura, se deben hacer verificaciones periódicas para garantizar que la comunicación sigue siendo segura a medida que se transmiten datos. Luego quela transacción ha sido completada, se termina SSL.
Solicitud de SSL: Antes de que se establezca SSL, se debe hacer una solicitud. Típicamente esto implica un cliente haciéndo una solicitud de un URL a un servidor que soporte SSL. SSL acepta solicitudes por un puerto diferente al utilizado normalmente para ese servicio. Una vez se ha hecho la solicitud, el cliente y el servidor empiezana negociar la conexión SSL, es decir, hacen el SSL Handshake.
SSL Handshake: Durante el hanshake se cumplen varios propósitos. Se hace autenticación del servidor y opcionalmente del cliente, se determina que algoritmos de criptografía serán utilizados y se genera una llave secreta para ser utilizada durante el intercambio de mensajes subsiguientes durante la comunicación SSL. Los pasos que sesiguen son los siguientes: Client Hello : Este paso tiene por objetivo informar al servidor que algoritmos de criptografía puede utilizar y solicita una verificación de la identidad del servidor. El cliente envía el conjunto de algoritmos de criptografía y compresión que soporta y un número aleatorio. El propósito del número aleatorio es para que en caso de que el servidor no posea un certificadopara comprobar su identidad, aún se pueda establecer una comunicación segura utilizando un conjunto distinto de algoritmos. Dentro de los protocolos de criptografía hay un protocolo de intercambio de llave que define como cliente y servidor van a intercambiar la información, los algoritmos de llave secreta que definen que métodos pueden utilizar y un algoritmo de hash de una sola vía. Hasta...
Informe Vulnerabilidad Wordpress SSL
Integrantes: Michella Sills Gonzalo Parada Profesor: Nicolas Boettcher Ayudante: Sebastian Castillo Fecha Entrega: 15/04/09
Indice
1. Breve explicacion del trabajo.....................................................................3 2. Secure SocketLayer(SSL).........................................................................4 3. Desarrollo Practico del Ataque..................................................................7 3.1 SSLStrip (teórico).....................................................................................7 3.2 Ataques practico…………………………………………………..........9 4. Solucion a la vulnerabilidad(como combatirlos).......................................14 5.Conclusion.................................................................................................15 6. Bibliografia................................................................................................16
En este trabajo se verá como vulnerar Wordpress y la utilización del protocolo SSL para este tipo de aplicaciones. Primero se procederá a realizar una pequeña introducción a los conceptos basicos que serealizaron en este trabajo de investigación. Explicación y demostración con imágenes de el ataque a la vulnerabilidad.
Nota importante: nuestro trabajo no se pudo realizar en Wordpress v1.0(la versión que posee la universidad) ya que como este no implementa SSL, se tuvo que realizar esto con Gmail, ya que esta aplicación si utiliza SSL como seguridad en su socket.
SECURE SOCKET LAYER(SSL)
El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL opera como una capa adicional entre Internet y las aplicaciones, esto permite que el protocolo sea independiente de la aplicación, siendo posible utilizar FTP, Telnet y otras aplicaciones además de HTTP. Para establecer una comunicación segura utilizando SSL se tienen que seguir unaserie de pasos.
Primero se debe hacer una solicitud de seguridad. Después de haberla hecho, se deben establecer los parámetros que se utilizarán para SSL. Esta parte se conoce como SSL Handshake. Una vez se haya establecido una comunicación segura, se deben hacer verificaciones periódicas para garantizar que la comunicación sigue siendo segura a medida que se transmiten datos. Luego quela transacción ha sido completada, se termina SSL.
Solicitud de SSL: Antes de que se establezca SSL, se debe hacer una solicitud. Típicamente esto implica un cliente haciéndo una solicitud de un URL a un servidor que soporte SSL. SSL acepta solicitudes por un puerto diferente al utilizado normalmente para ese servicio. Una vez se ha hecho la solicitud, el cliente y el servidor empiezana negociar la conexión SSL, es decir, hacen el SSL Handshake.
SSL Handshake: Durante el hanshake se cumplen varios propósitos. Se hace autenticación del servidor y opcionalmente del cliente, se determina que algoritmos de criptografía serán utilizados y se genera una llave secreta para ser utilizada durante el intercambio de mensajes subsiguientes durante la comunicación SSL. Los pasos que sesiguen son los siguientes: Client Hello : Este paso tiene por objetivo informar al servidor que algoritmos de criptografía puede utilizar y solicita una verificación de la identidad del servidor. El cliente envía el conjunto de algoritmos de criptografía y compresión que soporta y un número aleatorio. El propósito del número aleatorio es para que en caso de que el servidor no posea un certificadopara comprobar su identidad, aún se pueda establecer una comunicación segura utilizando un conjunto distinto de algoritmos. Dentro de los protocolos de criptografía hay un protocolo de intercambio de llave que define como cliente y servidor van a intercambiar la información, los algoritmos de llave secreta que definen que métodos pueden utilizar y un algoritmo de hash de una sola vía. Hasta...
Leer documento completo
Regístrate para leer el documento completo.