Vulnerabilidades web
-
Upload
joshimar-castro-siguas -
Category
Education
-
view
144 -
download
1
Transcript of Vulnerabilidades web
![Page 2: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/2.jpg)
¿QUE ES VULNERABILIDAD?
TIPOS DE ATAQUES
ESTADISTICAS DE ATAQUES
HERRAMIENTAS DE TESTEO
DEMO EN VIVO
![Page 3: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/3.jpg)
Las vulnerabilidades son puntos débilesdel software que permiten que unatacante comprometa la integridad,disponibilidad o confidencialidad delmismo.
![Page 4: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/4.jpg)
![Page 5: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/5.jpg)
Básicamente se basa en aplicaciones que permiteejecutar código de scripting (javascript, entre otros)y es causado por la no verificación de los valoresintroducidos por el usuario.
![Page 6: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/6.jpg)
![Page 7: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/7.jpg)
Se basa en el envío de datos por parte del cliente a laaplicación con contenido malicioso y utilizados directamente,por ejemplo, en sentencias SQL. El típico caso de ataque deinyección es SQL Injection, aunque también tenemos HTMLInyection (como el XSS), XPath, XML. Todos estos ataquessuele producirse cuando el desarrollador confía demasiado enel usuario y no filtra correctamente todos los puntos deentrada de datos.
![Page 8: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/8.jpg)
![Page 9: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/9.jpg)
![Page 10: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/10.jpg)
![Page 11: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/11.jpg)
Este tipo de ataque permite a una página mal intencionada, al servisitado por una víctima, ejecutar una llamada Web a otra página(susceptible al usuario) y realizar una acción determinada sobre elsite víctima.
![Page 12: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/12.jpg)
![Page 13: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/13.jpg)
![Page 14: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/14.jpg)
![Page 15: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/15.jpg)
![Page 16: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/16.jpg)
![Page 17: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/17.jpg)
Esta Herramienta es muy buena ya que nos permite escanear diferentes tipos de errores tales
como: SPlugin motor (Crea tus propios plugins) Solicitud interceptor Solicitar diffing Solicitud repetidor Proceso de rastreo automático Solicitud / respuesta HTTP historia Estadísticas de solicitud de parámetros
Solicitar valores de los parámetros estadísticas Solicitud parámetro url firma y firma campo de cabecera El uso de un Proxy alternativo (Tor por ejemplo) Sql ataques (plugin) Server SideIncludes (plugin) Ataques XSS (plugin) RegistrosAttack Exportación de resultados a HTML o XML
![Page 18: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/18.jpg)
Vegas subgraph es una plataforma de código abierto que nos permite probar la seguridad de
las aplicaciones web, dicha herramienta nos permite encontrar inyecciones de SQL
Cross –site scripting (XSS) tiene 3 niveles de escaneo
![Page 19: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/19.jpg)
Herramienta de Inyeccion SQL deMultiples Databases Compatiblespara inyectar (MsSQL,MsSQLBlind,Oracle etc..) llegando ser paramuchos el mejor Inyecctorautomatizado de este tipo deVulnerabilidades.
![Page 20: Vulnerabilidades web](https://reader033.fdocuments.net/reader033/viewer/2022050818/559e19801a28ab9c4e8b459e/html5/thumbnails/20.jpg)
HORA DE HACKEAR!!!!!!!!