SlideShare ist ein Scribd-Unternehmen logo
1 von 43
Downloaden Sie, um offline zu lesen
ARGENTINA   COLOMBIA   CHILE   ESPAÑA     EE.UU.   MÉXICO     PANAMÁ      PERÚ       VENEZUELA




                                                            David del Pozo González
WAPITI                                                      dpozog@grupogesfor.com

Escaner de vulnerabilidades de aplicaciones                                  Junio 2010
web y auditor de seguridad
       © Gesfor                                                  www.gesfor.es | www.grupogesfor.com



VI OWASP Spain                          Patrocina:                       Colabora:
Chapter Meeting
VI OWASP Spain
                                    Chapter Meeting

Agenda


 Introducción
 Wapiti

   – Vulnerabilidades que detecta
       • OWASP Top 10
   – Técnica de fuzzing
   – Informes
   – Caso práctico
   – Página web
   – Futuro


  © Gesfor                                            2
VI OWASP Spain
                          Chapter Meeting




           Introducción




© Gesfor                                    3
VI OWASP Spain
                                     Chapter Meeting

Introducción


 Wapiti es un proyecto creado por Nicolas Surribas
 Grupo Gesfor comenzó a colaborar con Wapiti a
  través del proyecto europeo ICT Romulus
 Escaner de aplicaciones web.
 Licencia GNU General Public License 2.0
 Orientación al desarrollador




  © Gesfor                                             4
VI OWASP Spain
                              Chapter Meeting




           Proyecto Romulus




© Gesfor                                        5
VI OWASP Spain
                                         Chapter Meeting

Proyecto Romulus


 Proyecto   financiado por la Comisión Europea
  dentro del “Seventh Framework Programme for
  Research and Technological Development”.
 Desarrollo pragmático, fiable y seguro de
  aplicaciones web mediante un diseño dirigido por el
  dominio y desarrollo orientado a mashups basado
  en un metaframework de Java de código abierto.
   – Mejorar la calidad del desarrollo del software
     haciendo hincapié en la fiabilidad, trazabilidad,
     seguridad y rendimiento, así como otros
     atributos de calidad.


  © Gesfor                                                 6
VI OWASP Spain
                                         Chapter Meeting

Proyecto Romulus: Objetivo “Seguridad”


 Problema principal:
   – Los desarrolladores no tienen conocimientos de
     los aspectos de seguridad
 Soluciones:
   – El metaframework debe generar aplicaciones
     seguras (generación automática de código).
   – El metaframework debe permitir la definición de
     restricciones de seguridad
   – Los desarrolladores deben poder testear la
     seguridad de sus aplicaciones => WAPITI

  © Gesfor                                                 7
VI OWASP Spain
                                              Chapter Meeting




                         Wapiti
       Escaner de vulnerabilidades de aplicaciones web
                   y auditor de seguridad




© Gesfor                                                        8
VI OWASP Spain
                                        Chapter Meeting

Wapiti: Introducción


 Proyecto creado en 2006 por Nicolas Surribas
 Contribuciones de Gesfor desde 2008
 Características:
   – Escrito en Python: multiplataforma
   – Interfaz a través de comandos por consola
   – Enfoque de caja negra (Técnica utilizada: fuzz
     testing)




  © Gesfor                                                9
VI OWASP Spain
                                         Chapter Meeting

Wapiti: Características


 Vulnerabilidades que detecta:
   –   Inyección XSS (persistentes y no persistentes)
   –   Inyecciones SQL (incluyendo SQL ciegas)
   –   Inyección CRLF
   –   Inyección LDAP
   –   Errores en la gestión de ficheros
   –   Ejecución de comandos en el servidor
   –   Búsqueda de copias de seguridad (backups)
   –   Configuraciones htaccess débiles


  © Gesfor                                                 10
VI OWASP Spain
                                       Chapter Meeting

Wapiti: Características


 ¿A quién está dirigido?
   – Desarrolladores
      • Configuración por defecto es sencilla
      • Informes explicativos
   – Auditores de seguridad
      • Recoge todas las URL de la aplicación
      • Pueden explotar la potencia de Wapiti




  © Gesfor                                               11
VI OWASP Spain
                             Chapter Meeting




Vulnerabilidades comunes de seguridad
            (OWASP TOP 10)




© Gesfor                                       12
VI OWASP Spain
                                         Chapter Meeting

Vulnerabilidades comunes de seguridad (OWASP Top 10)

 1. Injection
 2. Cross-Site Scripting (XSS)
 3. Broken Authentication and Session Management
 4. Insecure Direct Object References
 5. Cross-Site Request Forgery (CSRF)
 6. Security Misconfiguration
 7. Insecure Cryptographic Storage
 8. Failure to Restrict URL Access
 9. Insufficient Transport Layer Protection
 10. Unvalidated Redirects and Forwards


  © Gesfor                                                 13
VI OWASP Spain
                                   Chapter Meeting




           Funcionamiento de Wapiti
                  (Fuzz Testing)




© Gesfor                                             14
VI OWASP Spain
                                        Chapter Meeting

Detección de vulnerabilidades


 Tres tipos de técnicas
   – Pruebas de caja blanca
      • Análisis estático y dinámico de código
   – Pruebas de caja negra
      • Enfoque de atacante externo
   – Pruebas de caja gris
      • Enfoque mixto




  © Gesfor                                                15
VI OWASP Spain
                                      Chapter Meeting

Wapiti

Fuzz Testing (Funcionamiento)

 1: Detección de vectores de entrada
   – Enlaces
   – Formularios
 2: Ataque
   – Inyección de cadenas maliciosas para probar los
     diferentes ataques
 3: Estudio de la respuesta
   – Errores, cadenas inyectadas, etc.

  © Gesfor                                              16
VI OWASP Spain
                                            Chapter Meeting

Wapiti: Primera etapa (Web Crawler)



 Objetivo: descubrimiento de vectores de entrada
   – Formularios y enlaces

 Utiliza la librería httplib2 (antes urllib2 de Python)
   – Más eficiente
   – http://code.google.com/p/httplib2




  © Gesfor                                                    17
VI OWASP Spain
                                       Chapter Meeting

Wapiti: Primera etapa (Web Crawler)


 Problemas encontrados I:
   – Autenticación HTTP:
      • Solución: Opción auth: -a <login%password>
   – Mantenimiento de sesión con cookies:
      • Solución: Opción cookie: -c <cookie_file>
      • Wapiti incluye una herramineta con la que es
        posible la generación de cookies.




  © Gesfor                                               18
VI OWASP Spain
                                               Chapter Meeting

Wapiti: Primera etapa (Web Crawler)


 Problemas encontrados II:
   – HTML Mal formado:
      • Beautiful Soap Library:
      • www.crummy.com/software/BeautifulSoup/
   – Enlaces infinitos (Problema “calendarios”)
      • Solución: Opción nice: -n <limit>
             – http://www.server.com/p?a=x&b=1&c=x
             – http://www.server.com/p?a=x&b=2&c=x
             – http://www.server.com/p?a=x&b=2&c=y




  © Gesfor                                                       19
VI OWASP Spain
                                                 Chapter Meeting

Wapiti: Primera etapa (Web Crawler)


 Problemas encontrados III:
   – Test largos, escaneo muy grande
      • Solución: Archivos temporales
             – Se puede parar y reanudar el escaneo
               (opción -i [<archivo>]):
                 » URLs
                 » Cabeceras
                 » Formularios




  © Gesfor                                                         20
VI OWASP Spain
                                      Chapter Meeting

Wapiti: Primera etapa (Web Crawler)




  © Gesfor                                              21
VI OWASP Spain
                                           Chapter Meeting

Wapiti: Primera etapa (Web Crawler)


 Limitaciones:
   – Enlaces en Javascript (Wapiti no interpreta
     JavaScript => los links no son seguidos)
   – Páginas con la misma URL sin parámetros
     (Interpreta que son la misma página)
   – Internet profunda u oculta => No la ve

             Limitaciones inherentes del
              enfoque de Web Crawler



  © Gesfor                                                   22
VI OWASP Spain
                                         Chapter Meeting

Wapiti: Segundo paso (Fuzzing Testing)


 Ataque de los vectores identificados en el
  primer paso:
   – Inyección de cadenas maliciosas para descubrir
     vulnerabilidades existentes
   – Fácilmente extensible mediante:
      • Implementación de nuevos ataques
      • Nuevas cadenas “maliciosas”




  © Gesfor                                                 23
VI OWASP Spain
                                         Chapter Meeting

Wapiti: Segundo paso (Fuzzing Testing)




  © Gesfor                                                 24
VI OWASP Spain
                                         Chapter Meeting

Wapiti: Segundo paso (Fuzzing Testing)


 Clases de ataques implementan los métodos:
   – def attackGET(self, page, dict, headers = {})
      • page: la URL de la página
      • dict: parámetros de la URL (clave y valor)
   – def attackPOST(self, form)
      • form: array con información del formulario
        (página donde se encuentra el formulario,
        action del formulario y parámetros del
        formulario)



  © Gesfor                                                 25
VI OWASP Spain
                                         Chapter Meeting

Wapiti: Segundo paso (Fuzzing Testing)


 Ficheros con cadenas maliciosas




  © Gesfor                                                 26
VI OWASP Spain
                                                   Chapter Meeting

Wapiti: Segundo paso (Fuzzing Testing)


 Problemas encontrados I:
   – Reescaneo de aplicacion con nuevo test
      • Solución: Archivos temporales
             – Se puede probar otra vez la aplicación con las
               mismas URL que encontró el crawler
               (opción -k <archivo>)




  © Gesfor                                                           27
VI OWASP Spain
                                           Chapter Meeting

Wapiti: Tercer paso (Análisis de la respuesta)




 Estudio de la respuesta obtenida para descubrir
  vulnerabilidades:
   – HTTP Status
   – Contiene trazas de error
   – Contiene los mismos datos inyectados




  © Gesfor                                                   28
VI OWASP Spain
                                       Chapter Meeting

Wapiti: Informes de vulnerabilidades


 Informes en diferentes formatos:
   – XML
   – HTML
 Información sobre las vulnerabilidades
  encontradas:
   – URL y sus parámetros vulnerables
   – Información sobre la vulnerabilidad
   – Referencias sobre ella
   – ¿Cómo evitarla?


  © Gesfor                                               29
VI OWASP Spain
                                       Chapter Meeting

Wapiti: Informes de vulnerabilidades




  © Gesfor                                               30
VI OWASP Spain
                                       Chapter Meeting

Wapiti: Informes de vulnerabilidades




  © Gesfor                                               31
VI OWASP Spain
                                            Chapter Meeting

Wapiti: Caso práctico


 Atacar Webgoat:
   – Configuración normal con informe HTML:
         • python wapiti.py http://localhost/webgoat/attack
           -v 2 -f html -o webgoat

   – Configuración añadiendo autenticación HTTP:
         • python wapiti.py http://localhost/webgoat/attack
           -v 2 -f html -o webgoat -a guest%guest

   – Configuración añadiendo cookie:
         • python wapiti.py http://localhost/webgoat/attack
           -v 2 -f html -o webgoat -a guest%guest -c cookie



  © Gesfor                                                    32
VI OWASP Spain
                                                   Chapter Meeting

Wapiti: Caso práctico


 Cookie:
   – Script de generación de cookies:
     net/getcookie.py
         <?xml version="1.0" encoding="UTF-8"?>
         <cookies>
           <domain name="localhost">
             <cookie path="/webgoat"
                     name="JSESSIONID"
                     value="1AA56D2C50031E6BA62E7AE773A323F0"
                     version="0"/>
           </domain>
         </cookies>




  © Gesfor                                                           33
VI OWASP Spain
                                            Chapter Meeting

Wapiti: Caso práctico


 Atacar Webgoat:
   – Configuración añadiendo opción “nice”
         • python wapiti.py http://localhost/webgoat/attack
           -v 2 -f html -o webgoat -a guest%guest -c cookie
           -n 3




  © Gesfor                                                    34
VI OWASP Spain
                                     Chapter Meeting

Wapiti: Ventajas y desventajas


 Desventajas:
   – Wapiti no puede descubrir todas las
     vulnerabilidades
 Ventajas:
   – El usuario no necesita conocimientos de
     seguridad
   – Wapiti descubre las vulnerabilidades más
     comunes (según el OWASP Top Ten)
   – Nuevos ataques pueden ser añadidos fácilmente


  © Gesfor                                             35
VI OWASP Spain
                                     Chapter Meeting

Wapiti: Resultados


 Más de 33.000 descargas de SourceForge
 Incluido como Proyecto Alpha OWASP (revisión)
 Incluido en las distribuciones   GNU/Linux      de
  seguridad más importantes:
   – OWASP Live CD
   – BackTrack




  © Gesfor                                             36
VI OWASP Spain
                                                         Chapter Meeting

  Wapiti: Últimas actualizaciones
Versión    Mejoras
2.0        Generación de informes
           Refactorización a un enfoque Orientado a Objetos
           Extensibilidad de las cadenas maliciosas
           Opción “nice”
           Mejora de la documentation
           Nuevo portal para Wapiti
           Mejoras en ataques XSS
2.1        Mejora de eficiencia (usando librería httplib2)
           Ataques de inyecciones SQL ciegas
           Herramienta de creación cookies
           Mejora en ataque XSS
2.2        Nuevos ataques basados en base de datos de Nikto
           Opción scope (ámbito)
           Archivos temporales
           Internationalización (Inglés, Español y Francés)




      © Gesfor                                                             37
VI OWASP Spain
                                    Chapter Meeting

Wapiti: Página web

 Características de cada versión
 Blog
 Wiki
   – Introducción
   – Comienzo rápido
   – Guías de usuario
   – FAQ
 Roadmap
 Vídeos...




   © Gesfor                                           38
VI OWASP Spain
                                        Chapter Meeting

Wapiti: Futuro


 Version 2.3 (en progreso). Mejoras:


   – Inyecciones SQL
   – Paralelizar los ataques mediante hilos
   – Gestión automática de cookies




  © Gesfor                                                39
VI OWASP Spain
                                     Chapter Meeting




      Herramientas y Procesos Colaborativos de
         Detección, Predicción y Corrección de
       Vulnerabilidades de aplicaciones web para
        desarrolladores y auditores de seguridad



© Gesfor                                               40
VI OWASP Spain
                                     Chapter Meeting

    VulneraNET

 Objetivos:
   – Detección de vulnerabilidades
     (caja negra y caja blanca)
   – Gestión de información de
     vulnerabilidades
   – Aplicación de tecnologías web
     2.0 y semánticas
   – Gestión centralizada y
     generación de informes de
     seguridad




        © Gesfor                                       41
VI OWASP Spain
                     Chapter Meeting

VulneraNET: Wapiti




  © Gesfor                             42
VI OWASP Spain
                                                Chapter Meeting

       David del Pozo González
      dpozog@grupogesfor.com


               GRUPO GESFOR
 Proveedor Global de TI y RR.HH.


                 www.gesfor.es
      http://innovacion.grupogesfor.com
WAPITI: http://www.ict-romulus.eu/web/wapiti
VulneraNET: http://vulneranet.grupogesfor.com




                  Un grupo sin fronteras

    © Gesfor                                                      43

Weitere ähnliche Inhalte

Ähnlich wie Wapiti - VI OWASP Spain Chapter Meeting

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Argentesting 2017 - Anatomia Framework Automatización
Argentesting 2017 - Anatomia Framework AutomatizaciónArgentesting 2017 - Anatomia Framework Automatización
Argentesting 2017 - Anatomia Framework AutomatizaciónArgentesting
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPAlvaro Machaca Tola
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Genasys sigte2011 open_geogadget_framework (OGF)
Genasys sigte2011 open_geogadget_framework (OGF)Genasys sigte2011 open_geogadget_framework (OGF)
Genasys sigte2011 open_geogadget_framework (OGF)Javier Sánchez
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Desarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosDesarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosAdrian Alonso Vega
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúJohn Vargas
 
Curso Virtual de Metasploit Framework 2019
Curso Virtual de Metasploit Framework 2019 Curso Virtual de Metasploit Framework 2019
Curso Virtual de Metasploit Framework 2019 Alonso Caballero
 
HTML5 en el universo Windows (Apps universales)
HTML5 en el universo Windows (Apps universales)HTML5 en el universo Windows (Apps universales)
HTML5 en el universo Windows (Apps universales)Quique Fdez Guerra
 

Ähnlich wie Wapiti - VI OWASP Spain Chapter Meeting (20)

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Argentesting 2017 - Anatomia Framework Automatización
Argentesting 2017 - Anatomia Framework AutomatizaciónArgentesting 2017 - Anatomia Framework Automatización
Argentesting 2017 - Anatomia Framework Automatización
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Genasys sigte2011 open_geogadget_framework (OGF)
Genasys sigte2011 open_geogadget_framework (OGF)Genasys sigte2011 open_geogadget_framework (OGF)
Genasys sigte2011 open_geogadget_framework (OGF)
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Desarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosDesarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos Deportivos
 
CV_Pablo Marengo
CV_Pablo MarengoCV_Pablo Marengo
CV_Pablo Marengo
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
 
Curso Virtual de Metasploit Framework 2019
Curso Virtual de Metasploit Framework 2019 Curso Virtual de Metasploit Framework 2019
Curso Virtual de Metasploit Framework 2019
 
HTML5 en el universo Windows (Apps universales)
HTML5 en el universo Windows (Apps universales)HTML5 en el universo Windows (Apps universales)
HTML5 en el universo Windows (Apps universales)
 

Mehr von Grupo Gesfor I+D+i

Propuesta demostrador Cardinea
Propuesta demostrador CardineaPropuesta demostrador Cardinea
Propuesta demostrador CardineaGrupo Gesfor I+D+i
 
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...Grupo Gesfor I+D+i
 
THOFU Presentacion General corta
THOFU Presentacion General cortaTHOFU Presentacion General corta
THOFU Presentacion General cortaGrupo Gesfor I+D+i
 
Presentación contenidos a la carta en jornada lankibide
Presentación contenidos a la carta en jornada lankibidePresentación contenidos a la carta en jornada lankibide
Presentación contenidos a la carta en jornada lankibideGrupo Gesfor I+D+i
 
EduWAI: Disabilities & ict's 4 learning
EduWAI: Disabilities & ict's 4 learningEduWAI: Disabilities & ict's 4 learning
EduWAI: Disabilities & ict's 4 learningGrupo Gesfor I+D+i
 
Presentación proyecto 3D Tour
Presentación proyecto 3D TourPresentación proyecto 3D Tour
Presentación proyecto 3D TourGrupo Gesfor I+D+i
 
Romulus Project start version en
Romulus Project start version enRomulus Project start version en
Romulus Project start version enGrupo Gesfor I+D+i
 
Contenidos a la Carta Brochure
Contenidos a la Carta BrochureContenidos a la Carta Brochure
Contenidos a la Carta BrochureGrupo Gesfor I+D+i
 

Mehr von Grupo Gesfor I+D+i (20)

Propuesta demostrador Cardinea
Propuesta demostrador CardineaPropuesta demostrador Cardinea
Propuesta demostrador Cardinea
 
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...
THOFU- Gigaconectividad jornadas de presentación del cluster Habitat en Catal...
 
Triptico Redes Hibridas 2010
Triptico Redes Hibridas 2010Triptico Redes Hibridas 2010
Triptico Redes Hibridas 2010
 
THOFU Presentacion General corta
THOFU Presentacion General cortaTHOFU Presentacion General corta
THOFU Presentacion General corta
 
Omelette Project Overview
Omelette Project OverviewOmelette Project Overview
Omelette Project Overview
 
Presentación contenidos a la carta en jornada lankibide
Presentación contenidos a la carta en jornada lankibidePresentación contenidos a la carta en jornada lankibide
Presentación contenidos a la carta en jornada lankibide
 
EduWAI: Disabilities & ict's 4 learning
EduWAI: Disabilities & ict's 4 learningEduWAI: Disabilities & ict's 4 learning
EduWAI: Disabilities & ict's 4 learning
 
Brochure Cisvi
Brochure CisviBrochure Cisvi
Brochure Cisvi
 
Alta alumnos admiTI2
Alta alumnos admiTI2Alta alumnos admiTI2
Alta alumnos admiTI2
 
Presentación proyecto 3D Tour
Presentación proyecto 3D TourPresentación proyecto 3D Tour
Presentación proyecto 3D Tour
 
Romulus Project start version en
Romulus Project start version enRomulus Project start version en
Romulus Project start version en
 
InnovaEDU
InnovaEDU InnovaEDU
InnovaEDU
 
eduWAI presentacion proyecto
eduWAI presentacion proyectoeduWAI presentacion proyecto
eduWAI presentacion proyecto
 
Cantiga Tríptico
Cantiga TrípticoCantiga Tríptico
Cantiga Tríptico
 
Conecta Tríptico
Conecta TrípticoConecta Tríptico
Conecta Tríptico
 
Museos2.0 Tríptico
Museos2.0 TrípticoMuseos2.0 Tríptico
Museos2.0 Tríptico
 
Redes Híbridas Tríptico
Redes Híbridas TrípticoRedes Híbridas Tríptico
Redes Híbridas Tríptico
 
3DTour Brochure
3DTour Brochure3DTour Brochure
3DTour Brochure
 
Cardea brochure
Cardea brochureCardea brochure
Cardea brochure
 
Contenidos a la Carta Brochure
Contenidos a la Carta BrochureContenidos a la Carta Brochure
Contenidos a la Carta Brochure
 

Kürzlich hochgeladen

Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 

Kürzlich hochgeladen (20)

Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 

Wapiti - VI OWASP Spain Chapter Meeting

  • 1. ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ PERÚ VENEZUELA David del Pozo González WAPITI dpozog@grupogesfor.com Escaner de vulnerabilidades de aplicaciones Junio 2010 web y auditor de seguridad © Gesfor www.gesfor.es | www.grupogesfor.com VI OWASP Spain Patrocina: Colabora: Chapter Meeting
  • 2. VI OWASP Spain Chapter Meeting Agenda  Introducción  Wapiti – Vulnerabilidades que detecta • OWASP Top 10 – Técnica de fuzzing – Informes – Caso práctico – Página web – Futuro © Gesfor 2
  • 3. VI OWASP Spain Chapter Meeting Introducción © Gesfor 3
  • 4. VI OWASP Spain Chapter Meeting Introducción  Wapiti es un proyecto creado por Nicolas Surribas  Grupo Gesfor comenzó a colaborar con Wapiti a través del proyecto europeo ICT Romulus  Escaner de aplicaciones web.  Licencia GNU General Public License 2.0  Orientación al desarrollador © Gesfor 4
  • 5. VI OWASP Spain Chapter Meeting Proyecto Romulus © Gesfor 5
  • 6. VI OWASP Spain Chapter Meeting Proyecto Romulus  Proyecto financiado por la Comisión Europea dentro del “Seventh Framework Programme for Research and Technological Development”.  Desarrollo pragmático, fiable y seguro de aplicaciones web mediante un diseño dirigido por el dominio y desarrollo orientado a mashups basado en un metaframework de Java de código abierto. – Mejorar la calidad del desarrollo del software haciendo hincapié en la fiabilidad, trazabilidad, seguridad y rendimiento, así como otros atributos de calidad. © Gesfor 6
  • 7. VI OWASP Spain Chapter Meeting Proyecto Romulus: Objetivo “Seguridad”  Problema principal: – Los desarrolladores no tienen conocimientos de los aspectos de seguridad  Soluciones: – El metaframework debe generar aplicaciones seguras (generación automática de código). – El metaframework debe permitir la definición de restricciones de seguridad – Los desarrolladores deben poder testear la seguridad de sus aplicaciones => WAPITI © Gesfor 7
  • 8. VI OWASP Spain Chapter Meeting Wapiti Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad © Gesfor 8
  • 9. VI OWASP Spain Chapter Meeting Wapiti: Introducción  Proyecto creado en 2006 por Nicolas Surribas  Contribuciones de Gesfor desde 2008  Características: – Escrito en Python: multiplataforma – Interfaz a través de comandos por consola – Enfoque de caja negra (Técnica utilizada: fuzz testing) © Gesfor 9
  • 10. VI OWASP Spain Chapter Meeting Wapiti: Características  Vulnerabilidades que detecta: – Inyección XSS (persistentes y no persistentes) – Inyecciones SQL (incluyendo SQL ciegas) – Inyección CRLF – Inyección LDAP – Errores en la gestión de ficheros – Ejecución de comandos en el servidor – Búsqueda de copias de seguridad (backups) – Configuraciones htaccess débiles © Gesfor 10
  • 11. VI OWASP Spain Chapter Meeting Wapiti: Características  ¿A quién está dirigido? – Desarrolladores • Configuración por defecto es sencilla • Informes explicativos – Auditores de seguridad • Recoge todas las URL de la aplicación • Pueden explotar la potencia de Wapiti © Gesfor 11
  • 12. VI OWASP Spain Chapter Meeting Vulnerabilidades comunes de seguridad (OWASP TOP 10) © Gesfor 12
  • 13. VI OWASP Spain Chapter Meeting Vulnerabilidades comunes de seguridad (OWASP Top 10)  1. Injection  2. Cross-Site Scripting (XSS)  3. Broken Authentication and Session Management  4. Insecure Direct Object References  5. Cross-Site Request Forgery (CSRF)  6. Security Misconfiguration  7. Insecure Cryptographic Storage  8. Failure to Restrict URL Access  9. Insufficient Transport Layer Protection  10. Unvalidated Redirects and Forwards © Gesfor 13
  • 14. VI OWASP Spain Chapter Meeting Funcionamiento de Wapiti (Fuzz Testing) © Gesfor 14
  • 15. VI OWASP Spain Chapter Meeting Detección de vulnerabilidades  Tres tipos de técnicas – Pruebas de caja blanca • Análisis estático y dinámico de código – Pruebas de caja negra • Enfoque de atacante externo – Pruebas de caja gris • Enfoque mixto © Gesfor 15
  • 16. VI OWASP Spain Chapter Meeting Wapiti Fuzz Testing (Funcionamiento)  1: Detección de vectores de entrada – Enlaces – Formularios  2: Ataque – Inyección de cadenas maliciosas para probar los diferentes ataques  3: Estudio de la respuesta – Errores, cadenas inyectadas, etc. © Gesfor 16
  • 17. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler)  Objetivo: descubrimiento de vectores de entrada – Formularios y enlaces  Utiliza la librería httplib2 (antes urllib2 de Python) – Más eficiente – http://code.google.com/p/httplib2 © Gesfor 17
  • 18. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler)  Problemas encontrados I: – Autenticación HTTP: • Solución: Opción auth: -a <login%password> – Mantenimiento de sesión con cookies: • Solución: Opción cookie: -c <cookie_file> • Wapiti incluye una herramineta con la que es posible la generación de cookies. © Gesfor 18
  • 19. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler)  Problemas encontrados II: – HTML Mal formado: • Beautiful Soap Library: • www.crummy.com/software/BeautifulSoup/ – Enlaces infinitos (Problema “calendarios”) • Solución: Opción nice: -n <limit> – http://www.server.com/p?a=x&b=1&c=x – http://www.server.com/p?a=x&b=2&c=x – http://www.server.com/p?a=x&b=2&c=y © Gesfor 19
  • 20. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler)  Problemas encontrados III: – Test largos, escaneo muy grande • Solución: Archivos temporales – Se puede parar y reanudar el escaneo (opción -i [<archivo>]): » URLs » Cabeceras » Formularios © Gesfor 20
  • 21. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler) © Gesfor 21
  • 22. VI OWASP Spain Chapter Meeting Wapiti: Primera etapa (Web Crawler)  Limitaciones: – Enlaces en Javascript (Wapiti no interpreta JavaScript => los links no son seguidos) – Páginas con la misma URL sin parámetros (Interpreta que son la misma página) – Internet profunda u oculta => No la ve Limitaciones inherentes del enfoque de Web Crawler © Gesfor 22
  • 23. VI OWASP Spain Chapter Meeting Wapiti: Segundo paso (Fuzzing Testing)  Ataque de los vectores identificados en el primer paso: – Inyección de cadenas maliciosas para descubrir vulnerabilidades existentes – Fácilmente extensible mediante: • Implementación de nuevos ataques • Nuevas cadenas “maliciosas” © Gesfor 23
  • 24. VI OWASP Spain Chapter Meeting Wapiti: Segundo paso (Fuzzing Testing) © Gesfor 24
  • 25. VI OWASP Spain Chapter Meeting Wapiti: Segundo paso (Fuzzing Testing)  Clases de ataques implementan los métodos: – def attackGET(self, page, dict, headers = {}) • page: la URL de la página • dict: parámetros de la URL (clave y valor) – def attackPOST(self, form) • form: array con información del formulario (página donde se encuentra el formulario, action del formulario y parámetros del formulario) © Gesfor 25
  • 26. VI OWASP Spain Chapter Meeting Wapiti: Segundo paso (Fuzzing Testing)  Ficheros con cadenas maliciosas © Gesfor 26
  • 27. VI OWASP Spain Chapter Meeting Wapiti: Segundo paso (Fuzzing Testing)  Problemas encontrados I: – Reescaneo de aplicacion con nuevo test • Solución: Archivos temporales – Se puede probar otra vez la aplicación con las mismas URL que encontró el crawler (opción -k <archivo>) © Gesfor 27
  • 28. VI OWASP Spain Chapter Meeting Wapiti: Tercer paso (Análisis de la respuesta)  Estudio de la respuesta obtenida para descubrir vulnerabilidades: – HTTP Status – Contiene trazas de error – Contiene los mismos datos inyectados © Gesfor 28
  • 29. VI OWASP Spain Chapter Meeting Wapiti: Informes de vulnerabilidades  Informes en diferentes formatos: – XML – HTML  Información sobre las vulnerabilidades encontradas: – URL y sus parámetros vulnerables – Información sobre la vulnerabilidad – Referencias sobre ella – ¿Cómo evitarla? © Gesfor 29
  • 30. VI OWASP Spain Chapter Meeting Wapiti: Informes de vulnerabilidades © Gesfor 30
  • 31. VI OWASP Spain Chapter Meeting Wapiti: Informes de vulnerabilidades © Gesfor 31
  • 32. VI OWASP Spain Chapter Meeting Wapiti: Caso práctico  Atacar Webgoat: – Configuración normal con informe HTML: • python wapiti.py http://localhost/webgoat/attack -v 2 -f html -o webgoat – Configuración añadiendo autenticación HTTP: • python wapiti.py http://localhost/webgoat/attack -v 2 -f html -o webgoat -a guest%guest – Configuración añadiendo cookie: • python wapiti.py http://localhost/webgoat/attack -v 2 -f html -o webgoat -a guest%guest -c cookie © Gesfor 32
  • 33. VI OWASP Spain Chapter Meeting Wapiti: Caso práctico  Cookie: – Script de generación de cookies: net/getcookie.py <?xml version="1.0" encoding="UTF-8"?> <cookies> <domain name="localhost"> <cookie path="/webgoat" name="JSESSIONID" value="1AA56D2C50031E6BA62E7AE773A323F0" version="0"/> </domain> </cookies> © Gesfor 33
  • 34. VI OWASP Spain Chapter Meeting Wapiti: Caso práctico  Atacar Webgoat: – Configuración añadiendo opción “nice” • python wapiti.py http://localhost/webgoat/attack -v 2 -f html -o webgoat -a guest%guest -c cookie -n 3 © Gesfor 34
  • 35. VI OWASP Spain Chapter Meeting Wapiti: Ventajas y desventajas  Desventajas: – Wapiti no puede descubrir todas las vulnerabilidades  Ventajas: – El usuario no necesita conocimientos de seguridad – Wapiti descubre las vulnerabilidades más comunes (según el OWASP Top Ten) – Nuevos ataques pueden ser añadidos fácilmente © Gesfor 35
  • 36. VI OWASP Spain Chapter Meeting Wapiti: Resultados  Más de 33.000 descargas de SourceForge  Incluido como Proyecto Alpha OWASP (revisión)  Incluido en las distribuciones GNU/Linux de seguridad más importantes: – OWASP Live CD – BackTrack © Gesfor 36
  • 37. VI OWASP Spain Chapter Meeting Wapiti: Últimas actualizaciones Versión Mejoras 2.0 Generación de informes Refactorización a un enfoque Orientado a Objetos Extensibilidad de las cadenas maliciosas Opción “nice” Mejora de la documentation Nuevo portal para Wapiti Mejoras en ataques XSS 2.1 Mejora de eficiencia (usando librería httplib2) Ataques de inyecciones SQL ciegas Herramienta de creación cookies Mejora en ataque XSS 2.2 Nuevos ataques basados en base de datos de Nikto Opción scope (ámbito) Archivos temporales Internationalización (Inglés, Español y Francés) © Gesfor 37
  • 38. VI OWASP Spain Chapter Meeting Wapiti: Página web  Características de cada versión  Blog  Wiki – Introducción – Comienzo rápido – Guías de usuario – FAQ  Roadmap  Vídeos... © Gesfor 38
  • 39. VI OWASP Spain Chapter Meeting Wapiti: Futuro  Version 2.3 (en progreso). Mejoras: – Inyecciones SQL – Paralelizar los ataques mediante hilos – Gestión automática de cookies © Gesfor 39
  • 40. VI OWASP Spain Chapter Meeting Herramientas y Procesos Colaborativos de Detección, Predicción y Corrección de Vulnerabilidades de aplicaciones web para desarrolladores y auditores de seguridad © Gesfor 40
  • 41. VI OWASP Spain Chapter Meeting VulneraNET  Objetivos: – Detección de vulnerabilidades (caja negra y caja blanca) – Gestión de información de vulnerabilidades – Aplicación de tecnologías web 2.0 y semánticas – Gestión centralizada y generación de informes de seguridad © Gesfor 41
  • 42. VI OWASP Spain Chapter Meeting VulneraNET: Wapiti © Gesfor 42
  • 43. VI OWASP Spain Chapter Meeting David del Pozo González dpozog@grupogesfor.com GRUPO GESFOR Proveedor Global de TI y RR.HH. www.gesfor.es http://innovacion.grupogesfor.com WAPITI: http://www.ict-romulus.eu/web/wapiti VulneraNET: http://vulneranet.grupogesfor.com Un grupo sin fronteras © Gesfor 43