Hacking the web for fun and profit ¡Y sin ir a la cárcel!

Hacking the web for fun and profit

¡Y sin ir a la cárcel! Hack & Beers Valencia

18/11/2014

$ whoami

Florencio Cano Gabarda

CEO de SEINHE

Ingeniero Superior en Informática

CISA, CEH, IRCA 27001 Lead Auditor, Perito judicial informático

[email protected]

@florenciocano

www.seinhe.com

¿Qué vamos a ver?

Cómo hacer dinero hackeando webs…legalmente

ROADMAP

1. ¿QUÉ ES EL HACKING?

2. ¿QUÉ SE HACKEA?

3. HERRAMIENTAS BÁSICAS

4. MANOS A LA OBRA – OWASP TOP 10

5. EVADIENDO LA CARCEL FOR FUN AND PROFIT

ROADMAP






¿Qué es el hacking?

The Fappening

H.S. Detenido

Definición de la RAE

pirata informático. Traducción recomendada para la voz inglesa hacker, ‘persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos’: «Un pirata informático logró jaquear los sistemas de seguridad» (Clarín@ [Arg.] 19.6.05).

Mi definición de hacker

Persona que emplea la inteligencia, la asociación de ideas aparentemente disociadas y el pensamiento lateral para encontrar soluciones elegantes a problemas únicos que no han sido resueltos antes o para resolver problemas conocidos de manera más elegante, más rápida, utilizando menos recursos, etc.

El hacker informático

• Utiliza los recursos disponibles de manera elegante y óptima

• Identifica problemas de manera ingeniosa y los resuelve utilizando el método más inteligente posible

• Pueden ser problemas de seguridad, hardware, software…

Beneficios para la sociedad

• Identificación de fallos públicamente desconocidos

• Concienciación

• Desarrollo de profesionales

¡Un aplauso por los auténticos hackers!

ROADMAP






Doom en una impresora

Señales de tráfico



Aviones

¿El vuelo de desaparecido del Malaysian Airlines?

Cajeros automáticos

Webs

Todas las webs tienen peligro

• Distribuir malware

• Zombies para ataques de DDoS

• Ocultación de la identidad para cometer delitos

• Robo de información sensible

Drupaggedon (CVE-2014-3704)

• Drupal utiliza un API para abstracción de consultas SQL

• Una vulnerabilidad en dicha API permite inyectar SQL

• Dicha API y consultas vulnerables están disponibles sin que el usuario esté autenticado

Drupaggedon (CVE-2014-3704)

• Drupal utiliza un API para abstracción de consultas SQL

• Una vulnerabilidad en dicha API permite inyectar SQL

• Dicha API y consultas vulnerables están disponibles sin que el usuario esté autenticado

¿Cuántos Drupal hay?

¿Cómo encuentran los atacantes sitios Drupal?

¿Cómo encuentran los atacantes sitios Drupal?

ROADMAP






El protocolo HTTP

http://www.ntu.edu.sg/home/ehchua/programming/webprogramming/HTTP_Basics.html

ZAP – Zed Attack Proxy

DEMO

Arachni

DEMO

SQL Map

DEMO

ROADMAP






OWASP Top 10

• A1. Inyección • A2. Gestión de autenticación y/o sesión vulnerable • A3. Cross-Site Scripting (XSS) • A4. Referencias directas a objetos inseguras • A5. Configuración vulnerable • A6. Divulgación de información sensible • A7. Control de acceso a nivel de función • A8. Cross Site Request Forgery (CSRF) • A9. Componentes con vulnerabilidades conocidas • A10. Redirecciones no validadas

A1. Inyección

DEMO con SQLmap

A2. Gestión de autenticación y/o sesión vulnerable

A3. Cross-Site Scripting (XSS)

DEMO en DVWA

A4. Referencias directas a objetos inseguras

A5. Configuración vulnerable

DEMO con dirs3arch

A6. Divulgación de información sensible

A6. Divulgación de información sensible

A7. Control de acceso a nivel de función

A8. Cross Site Request Forgery (CSRF)

DEMO en DVWA

A9. Componentes con vulnerabilidades conocidas

A10. Redirecciones no validadas

ROADMAP






Bugbounties: Bugcrowd




¿Preguntas?

Hacking the web for fun and profit ¡Y sin ir a la cárcel!

Technology

carcel for fun and profit

obra owasp top

sql dicha api

carcel for fun and profit

herramientas bsicas

abstraccin de consultas

hacker informtico

problemas de seguridad