SlideShare ist ein Scribd-Unternehmen logo

Seguridad Web XSS y BeEF

J
Jose Miguel Holguin

Presentación de seguridad web, donde se muestra el impacto de los cross-site scripting con la herramienta beEF

Technologie
1 von 16
www.pentester.es SEGURIDAD WEB: Cross-Site Scripting Autor: José Miguel Holguín
Agenda  Agenda  Introducción  Cross-Site Scripting  Demo  Contramedidas y Conclusiones  Preguntas
Introducción (I) : Tendencia  Todos los días interactuamos con gran cantidad de aplicaciones donde un alto porcentaje son aplicaciones Web (en el trabajo, en casa, etc.).  Ley 11/2007 -> Obliga a la Administración a transformase a partir del 1 de enero de 2010 en una administración electrónica (e- Administración).
Introducción (II) - Complejidad  El aumento de funcionalidad deriva en un aumento de complejidad de las aplicaciones Web.
Introducción (III) - OWASP Top Ten -2010 RC OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS) A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF) <was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW) A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access <not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW) A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage A9 – Insecure Communications A10 – Insufficient Transport Layer Protection A3 – Malicious File Execution <dropped from T10 2010> A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
Cross-Site Scripting (I): Descripción  ¿Qué es un cross-site scripting?  Un cross-site scripting ocurre por una falta de validación y tratamiento de los datos de entrada a la aplicación web; lo que es aprovechado por los atacantes para realizar inyecciones de código script (javascript, VBscript, etc.).  Posteriormente estos datos son enviados al navegador del cliente.  Tipos de cross-site scripting  Almacenado: Los datos sin filtrar son almacenados en una base de datos.  Reflejado: Los datos sin filtrar que vienen del atacante son reflejados desde una entrada en la aplicación web (campo de un formulario, campo hidden, etc.).  Ejemplos básicos de cross-site scripting  “><script>alert(“XSS”)</script>  "><img src="x:x" onerror="alert(0)">  "><iframe src="javascript:alert(0)">
Cross-Site Scripting (II): Ejemplo  Formulario de ejemplo • Código fuente de la aplicación web stripslashes: filtra el carácter “” mysql_real_scape_string: filtra los caracteres x00, n, r, , ', " y x1a Inserción de los datos en la base de datos
Cross-Site Scripting (III): Ejemplo
Cross-Site Scripting (IV): XSSV  Características de un Cross-Site Scripting Virus (xssv):  Independiente de la plataforma  No se ve afectado por la configuración habitual de los firewalls  Pueden tener un impacto importante sobre la continuidad de Internet  DDoS  Spam  Propagación de exploits para navegadores  El día 11 de abril de 2009: El gusano Mikkey se propaga por twitter.com, infectando alrededor de 10.000 tweets.  El día 28 de junio de 2008 el portal justin.tv es víctima de un xssv.
Cross-Site Scripting (V): Herramienta BeEF  ¿Qué es BeEF?  BeEF es un framework para realizar ataques al navegador del cliente a partir de un Cross-site Scripting.  ¿Cómo funciona BeEF? Atacante Aplicación Web 3. La aplicación envía al cliente el script que apunta a 2. El cliente accede a la beefmagic.js.php aplicación Web Cliente
Cross-Site Scripting (VI): Módulos de BeEF  Módulos de la herramienta BeEF = ¿Qué puedo hacer con BeEF?
Cross-Site Scripting (VII): Interfaz de BeEF  Interfaz de gestión de BeEF 4 3 1 2
Demo
Contramedidas y conclusiones  Contramedidas  La aplicación debe filtrar de manera adecuada todo lo que no sea de necesario en el contexto HTML.  Construir una “lista blanca” es una solución para mitigar los XSS. Pero no es una solución total dado que existen aplicaciones que requieren de caracteres especiales (webmail, etc.)  Realización de revisiones web para detectar los posibles XSS.  A nivel de administración es posible implantar medidas anti-xss como:  mod_security  PHPIDS  Conclusiones  Los ataques de XSS poseen un impacto importante sobre los usuarios de aplicaciones web.  Es posible crear una red de zombie’s de manera sencilla y rápida, a través de XSS con la consecuencias que esto conlleva.  La responsabilidad recae de la mano de los responsables de la aplicación web.
Documentos y Enlaces de referencia  Enlaces  http://ha.ckers.org/xss.html  http://www.xssed.com/  http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29  http://www.owasp.org/index.php/Data_Validation  Documentos  https://www.owasp.org/images/8/89/OWASP_Testing_Guide_V3.pdf
¿Preguntas?

Empfohlen

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Alonso Caballero
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensa
Santiago Bernal
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
Ricardo Joel Robinson Gonzalez
 
Que es xss
Que es xssQue es xss
Que es xss
James Jara
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
OwaspMadrid Chapter
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
Alan Resendiz
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
Joshimar Castro Siguas
 

Empfohlen

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Alonso Caballero
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensa
Santiago Bernal
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en php
Ricardo Joel Robinson Gonzalez
 
Que es xss
Que es xssQue es xss
Que es xss
James Jara
 
From vulnerable source to shell in two hours
From vulnerable source to shell in two hoursFrom vulnerable source to shell in two hours
From vulnerable source to shell in two hours
OwaspMadrid Chapter
 
Ataques a aplicaciones web
Ataques a aplicaciones webAtaques a aplicaciones web
Ataques a aplicaciones web
Alan Resendiz
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
Joshimar Castro Siguas
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en Programación
Martín Aberastegue
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
Cristian Borghello
 
Phishing
PhishingPhishing
Phishing
Dianapena1992
 
Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodo
Esteban Dusque
 
Vulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoVulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estado
MarcosChamorroOrtiz
 
Xss attacks
Xss attacksXss attacks
Xss attacks
Rober Garamo
 
Historia de la farmacologia
Historia de la farmacologiaHistoria de la farmacologia
Historia de la farmacologia
Alicia Barreiro
 
Sesión 2
Sesión 2Sesión 2
Sesión 2
Alia Sol
 
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestOrdenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Edgar Devia Góngora
 
第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告
Chinese Christian Network Development Associatio
 
Labor docente min
Labor docente minLabor docente min
Labor docente min
Min Escobedo R
 
網站架設新概念
網站架設新概念網站架設新概念
網站架設新概念
Chinese Christian Network Development Associatio
 
What Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedWhat Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and Succeed
John Bowie
 
網路異端
網路異端網路異端
網路異端
Chinese Christian Network Development Associatio
 
Ejercicios de informática básica
Ejercicios de informática básicaEjercicios de informática básica
Ejercicios de informática básica
Daniel Lebron
 
Miles & Points Credit Cards
Miles & Points Credit CardsMiles & Points Credit Cards
Miles & Points Credit Cards
Million Mile Secrets
 
Persuasive speaking
Persuasive speakingPersuasive speaking
Persuasive speaking
Abdul Hadi
 
Cuidados de enfermeria
Cuidados de enfermeria Cuidados de enfermeria
Cuidados de enfermeria
Alicia Barreiro
 
Ablation of HCC
Ablation of HCCAblation of HCC
Ablation of HCC
PAIRS WEB
 
Ondas electromagnéticas onda sonica
Ondas electromagnéticas onda sonicaOndas electromagnéticas onda sonica
Ondas electromagnéticas onda sonica
Universidad Privada Norbert Wiener
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation
Michael Katz
 

Weitere ähnliche Inhalte

Was ist angesagt?

Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodo
Esteban Dusque
 

Was ist angesagt? (7)

[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Desarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en ProgramaciónDesarrollo Web Seguro - Seguridad en Programación
Desarrollo Web Seguro - Seguridad en Programación
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Phishing
PhishingPhishing
Phishing
 
Pruba unica 1er periodo
Pruba unica 1er periodoPruba unica 1er periodo
Pruba unica 1er periodo
 
Vulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estadoVulnerabilidad de paginas web del estado
Vulnerabilidad de paginas web del estado
 
Xss attacks
Xss attacksXss attacks
Xss attacks
 

Andere mochten auch

網路異端
網路異端網路異端
網路異端
Chinese Christian Network Development Associatio
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation
Michael Katz
 

Andere mochten auch (15)

Historia de la farmacologia
Historia de la farmacologiaHistoria de la farmacologia
Historia de la farmacologia
 
Sesión 2
Sesión 2Sesión 2
Sesión 2
 
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquestOrdenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
Ordenamiento de instrucciones para desarrollar el proyecto expuesto el webquest
 
第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告第一屆基督徒網路應用研討會問卷回應報告
第一屆基督徒網路應用研討會問卷回應報告
 
Labor docente min
Labor docente minLabor docente min
Labor docente min
 
網站架設新概念
網站架設新概念網站架設新概念
網站架設新概念
 
What Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and SucceedWhat Law Firms Need to Do To Profit and Succeed
What Law Firms Need to Do To Profit and Succeed
 
網路異端
網路異端網路異端
網路異端
 
Ejercicios de informática básica
Ejercicios de informática básicaEjercicios de informática básica
Ejercicios de informática básica
 
Miles & Points Credit Cards
Miles & Points Credit CardsMiles & Points Credit Cards
Miles & Points Credit Cards
 
Persuasive speaking
Persuasive speakingPersuasive speaking
Persuasive speaking
 
Cuidados de enfermeria
Cuidados de enfermeria Cuidados de enfermeria
Cuidados de enfermeria
 
Ablation of HCC
Ablation of HCCAblation of HCC
Ablation of HCC
 
Ondas electromagnéticas onda sonica
Ondas electromagnéticas onda sonicaOndas electromagnéticas onda sonica
Ondas electromagnéticas onda sonica
 
Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation Biophysics of Radiofrequency Ablation
Biophysics of Radiofrequency Ablation
 

Ähnlich wie Seguridad Web XSS y BeEF

Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
campus party
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
Carlos Alderete
 

Ähnlich wie Seguridad Web XSS y BeEF (20)

Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Seguridad en la web
Seguridad en la webSeguridad en la web
Seguridad en la web
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 

Kürzlich hochgeladen

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Kürzlich hochgeladen (11)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 

Seguridad Web XSS y BeEF

  • 1. www.pentester.es SEGURIDAD WEB: Cross-Site Scripting Autor: José Miguel Holguín
  • 2. Agenda  Agenda  Introducción  Cross-Site Scripting  Demo  Contramedidas y Conclusiones  Preguntas
  • 3. Introducción (I) : Tendencia  Todos los días interactuamos con gran cantidad de aplicaciones donde un alto porcentaje son aplicaciones Web (en el trabajo, en casa, etc.).  Ley 11/2007 -> Obliga a la Administración a transformase a partir del 1 de enero de 2010 en una administración electrónica (e- Administración).
  • 4. Introducción (II) - Complejidad  El aumento de funcionalidad deriva en un aumento de complejidad de las aplicaciones Web.
  • 5. Introducción (III) - OWASP Top Ten -2010 RC OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS) A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF) <was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW) A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access <not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW) A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage A9 – Insecure Communications A10 – Insufficient Transport Layer Protection A3 – Malicious File Execution <dropped from T10 2010> A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
  • 6. Cross-Site Scripting (I): Descripción  ¿Qué es un cross-site scripting?  Un cross-site scripting ocurre por una falta de validación y tratamiento de los datos de entrada a la aplicación web; lo que es aprovechado por los atacantes para realizar inyecciones de código script (javascript, VBscript, etc.).  Posteriormente estos datos son enviados al navegador del cliente.  Tipos de cross-site scripting  Almacenado: Los datos sin filtrar son almacenados en una base de datos.  Reflejado: Los datos sin filtrar que vienen del atacante son reflejados desde una entrada en la aplicación web (campo de un formulario, campo hidden, etc.).  Ejemplos básicos de cross-site scripting  “><script>alert(“XSS”)</script>  "><img src="x:x" onerror="alert(0)">  "><iframe src="javascript:alert(0)">
  • 7. Cross-Site Scripting (II): Ejemplo  Formulario de ejemplo • Código fuente de la aplicación web stripslashes: filtra el carácter “” mysql_real_scape_string: filtra los caracteres x00, n, r, , ', " y x1a Inserción de los datos en la base de datos
  • 9. Cross-Site Scripting (IV): XSSV  Características de un Cross-Site Scripting Virus (xssv):  Independiente de la plataforma  No se ve afectado por la configuración habitual de los firewalls  Pueden tener un impacto importante sobre la continuidad de Internet  DDoS  Spam  Propagación de exploits para navegadores  El día 11 de abril de 2009: El gusano Mikkey se propaga por twitter.com, infectando alrededor de 10.000 tweets.  El día 28 de junio de 2008 el portal justin.tv es víctima de un xssv.
  • 10. Cross-Site Scripting (V): Herramienta BeEF  ¿Qué es BeEF?  BeEF es un framework para realizar ataques al navegador del cliente a partir de un Cross-site Scripting.  ¿Cómo funciona BeEF? Atacante Aplicación Web 3. La aplicación envía al cliente el script que apunta a 2. El cliente accede a la beefmagic.js.php aplicación Web Cliente
  • 11. Cross-Site Scripting (VI): Módulos de BeEF  Módulos de la herramienta BeEF = ¿Qué puedo hacer con BeEF?
  • 12. Cross-Site Scripting (VII): Interfaz de BeEF  Interfaz de gestión de BeEF 4 3 1 2
  • 13. Demo
  • 14. Contramedidas y conclusiones  Contramedidas  La aplicación debe filtrar de manera adecuada todo lo que no sea de necesario en el contexto HTML.  Construir una “lista blanca” es una solución para mitigar los XSS. Pero no es una solución total dado que existen aplicaciones que requieren de caracteres especiales (webmail, etc.)  Realización de revisiones web para detectar los posibles XSS.  A nivel de administración es posible implantar medidas anti-xss como:  mod_security  PHPIDS  Conclusiones  Los ataques de XSS poseen un impacto importante sobre los usuarios de aplicaciones web.  Es posible crear una red de zombie’s de manera sencilla y rápida, a través de XSS con la consecuencias que esto conlleva.  La responsabilidad recae de la mano de los responsables de la aplicación web.
  • 15. Documentos y Enlaces de referencia  Enlaces  http://ha.ckers.org/xss.html  http://www.xssed.com/  http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29  http://www.owasp.org/index.php/Data_Validation  Documentos  https://www.owasp.org/images/8/89/OWASP_Testing_Guide_V3.pdf