SlideShare a Scribd company logo

Hacking a sistemas CMS

Z
zekivazquez

Diapositivas de la charla "Hacking a sistemas CMS", del evento I Security High School Cádiz (http://cadiz.securityhighschool.es/)

Technology
1 of 44
Sobre mi ¿Qui´en soy? Ezequiel ”Zequi”V´azquez Desarrollo backend Sysadmin & DevOps Hacking & Seguridad Ponente en CONs desde 2013 Zequi V´azquez @RabbitLair Seguridad en CMSs
¿D´onde trabajo? Zequi V´azquez @RabbitLair Seguridad en CMSs
Kero y Hopi Zequi V´azquez @RabbitLair Seguridad en CMSs
Randy Rhoads 5 Zequi V´azquez @RabbitLair Seguridad en CMSs
Harley Davidson Iron 883 Zequi V´azquez @RabbitLair Seguridad en CMSs
´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
Seguridad Principios b´asicos Seguridad en profundidad M´ınimo privilegio Eslab´on m´as d´ebil Proporcionalidad Participaci´on universal Integraci´on ciclo de vida Zequi V´azquez @RabbitLair Seguridad en CMSs
Seguridad en profundidad El Abismo de Helm era inexpugnable. . . Zequi V´azquez @RabbitLair Seguridad en CMSs
¿Qu´e es un CMS? Aplicaci´on web que permite . . . Crear, administrar y publicar contenidos Interfaz de f´acil uso Versionado del contenido Separaci´on en capas: dise˜no y contenido Gesti´on de usuarios y roles Zequi V´azquez @RabbitLair Seguridad en CMSs
Behind the scenes Zequi V´azquez @RabbitLair Seguridad en CMSs
¿Y c´omo de extendido est´a su uso? Veamos algunos n´umeros 49.0 % de internet usa un CMS 29.4 % → Wordpress 3.1 % → Joomla 2.2 % → Drupal 1.2 % → Magento M´as info: http://goo.gl/4N0tOU Zequi V´azquez @RabbitLair Seguridad en CMSs
Vulnerabilidades Zequi V´azquez @RabbitLair Seguridad en CMSs
Seguridad en CMS A tener en cuenta Componentes desactualizados o sobreescritos M´odulos/plugins discontinuados WPScan http://wpscan.org/ Drupal X-Ray http://www.drupalxray.com/ Vulnerabilidades de Wordpress https://wpvulndb.com/ Lista de CVEs de Drupal http://goo.gl/alFGYa Lista de CVEs de Wordpress https://goo.gl/D1nZLg Zequi V´azquez @RabbitLair Seguridad en CMSs
´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
Inyecci´on SQL Zequi V´azquez @RabbitLair Seguridad en CMSs
Cross Site Scripting Zequi V´azquez @RabbitLair Seguridad en CMSs
Cross Site Request Forgery Zequi V´azquez @RabbitLair Seguridad en CMSs
Recogida de informaci´on Hazte con todos Lo primero: recorrido manual por la aplicaci´on Ingenier´ıa social (tel´efonos, correos corporativos, phishing) Fichero robots.txt Fichero sitemap.xml “Fingerprint” de servidor, framework, versiones. . . Crawlers, spiders, robots. . . Herramientas autom´aticas: Burp, ZAP, Nikto2, w3af, Accunetix Mapeado de entradas de la aplicaci´on Revisar foros de la comunidad, peticiones de ayuda y GitHub Zequi V´azquez @RabbitLair Seguridad en CMSs
Recogida de informaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
Recogida de informaci´on Hacking con buscadores Utilizaci´on de operadores avanzados del buscador. site: Limitar la b´usqueda a un ´unico dominio cache: Buscar en la cach´e de Google inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´on indicada Zequi V´azquez @RabbitLair Seguridad en CMSs
Pruebas sobre servidor Elemental, querido Watson M´etodos HTTP permitidos (PUT, DELETE, TRACE) M´odulos instalados en servidor e int´erprete Configuraci´on de plataforma (Apache, PHP, MySQL. . . ) Revisar backups en el ´arbol web (*.sql, *.bak. . . ) Ficheros temporales de c´odigo fuente Rastro del sistema de versionado (Git, SVN) Esc´aner de puertos (Nmap) Firewall/IDS/Web Application Firewall Zequi V´azquez @RabbitLair Seguridad en CMSs
Pruebas sobre servidor Zequi V´azquez @RabbitLair Seguridad en CMSs
Gesti´on de identidad y autorizaci´on El carn´e y los papeles, por favor Definici´on de roles y permisos asignados Elevaci´on de privilegios Referencias inseguras URLs abiertas al p´ublico Enumeraci´on de cuentas de usuario Ataques de fuerza bruta (All hail Hydra!) Zequi V´azquez @RabbitLair Seguridad en CMSs
Gesti´on de identidad y autorizaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
Autenticaci´on Credenciales por canal inseguro (MitM, SSLStrip) Pol´ıtica de contrase˜nas d´ebil Recordar contrase˜nas: ¿se vuelve a enviar la pass? Autenticaci´on mediante redes sociales Segundo factor de autenticaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
Gesti´on de la sesi´on Duraci´on de la sesi´on Gesti´on de cookies (cifrado, atributos httpOnly y Secure) Robo de cookie de sesi´on = Robo de identidad Cross Site Request Forgery Zequi V´azquez @RabbitLair Seguridad en CMSs
Validaci´on de datos de entrada Cross Site Scripting SQL injection Poluci´on de par´ametros HTTP Valores de cookies Inyecci´on de c´odigo Subida de ficheros Permisos de ejecuci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
Drupalgeddon El santo grial 15 de octubre del 2014 Se publica la versi´on 7.32, parches de seguridad Permite una inyecci´on SQL siendo usuario an´onimo El reporte estuvo en el bug tracker 7 meses Zequi V´azquez @RabbitLair Seguridad en CMSs
Gesti´on de errores Exposici´on de c´odigos y textos de error Exposici´on de trazas Zequi V´azquez @RabbitLair Seguridad en CMSs
Denegaci´on de servicio No liberaci´on de recursos Almacenamiento de demasiada informaci´on en la sesi´on Bloqueo de usuarios Entrada de usuario en un bucle Gesti´on de peticiones repetitivas (LOIC) Zequi V´azquez @RabbitLair Seguridad en CMSs
Denegaci´on de servicio Algunos juguetes Hydra Gatling Siege jMeter Loic Zequi V´azquez @RabbitLair Seguridad en CMSs
M´as testing. . . Criptograf´ıa d´ebil Errores en l´ogica de negocio Tests en lado de cliente Librer´ıas JavaScript Endpoints AJAX No solo web. . . Zequi V´azquez @RabbitLair Seguridad en CMSs
´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
Un vector de ataque simple Detecci´on de XSS almacenado (filtro “Full HTML”) Inyectar JS que env´ıa cookies a atacante (SOP, httpOnly) Atacante inyecta cookie en su navegador Zequi V´azquez @RabbitLair Seguridad en CMSs
Un vector de ataque simple Activaci´on de m´odulo “PHP filter” Modificar nodo para que use este filtro Ejecutar comandos de sistema desde PHP (disable functions) Lanzar shell reversa con netcat (cortafuegos saliente) Zequi V´azquez @RabbitLair Seguridad en CMSs
Un vector de ataque simple A partir de aqu´ı. . . Escalado de privilegios para obtener root (CVE-2012-0809) Persistencia del acceso T´ecnica de pivoting: escanear red interna ¡En la imaginaci´on (y en el contrato) est´a el l´ımite! Zequi V´azquez @RabbitLair Seguridad en CMSs
Seguridad ante todo, pero . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
. . . ¡ojo con la interfaz silla-teclado! Zequi V´azquez @RabbitLair Seguridad en CMSs
En resumen. . . Objetivo del auditor: securizar Defensa en todas las capas Buenas pr´acticas Mucha documentaci´on, ¡no hay excusa! La importancia de la formaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
Referencias Linux Administrator’s Security Guide http://www.seifried.org/lasg Apache Security Tips http://httpd.apache.org/docs/current/misc/security tips.html PHP security manual http://php.net/manual/en/security.php Cracking Drupal http://www.crackingdrupal.com Writing secure code https://drupal.org/writing-secure-code Zequi V´azquez @RabbitLair Seguridad en CMSs
Referencias Securing your Drupal site https://drupal.org/security/secure-configuration Hardening Wordpress http://codex.wordpress.org/Hardening WordPress Damn Vulnerable Web Application http://www.dvwa.co.uk Aplicaciones web vulnerables para practicar https://www.amanhardikar.com/mindmaps/Practice.html The Hacker News http://thehackernews.com/ Zequi V´azquez @RabbitLair Seguridad en CMSs
Esto es todo, amigos... ¡Gracias! @RabbitLair ezequielvazq[at]gmail[dot]com Zequi V´azquez @RabbitLair Seguridad en CMSs

Recommended

Xss attacks
Xss attacksXss attacks
Xss attacksRober Garamo
 
Contenidos del VídeoBook de "Pentesting con Kali 2020"
Contenidos del VídeoBook de "Pentesting con Kali 2020"Contenidos del VídeoBook de "Pentesting con Kali 2020"
Contenidos del VídeoBook de "Pentesting con Kali 2020"Telefónica
 
Hacking WordPress. El Arte de La Guerra.
Hacking WordPress. El Arte de La Guerra.Hacking WordPress. El Arte de La Guerra.
Hacking WordPress. El Arte de La Guerra.Nestor Angulo de Ugarte
 
Análisis Forense de Red
Análisis Forense de RedAnálisis Forense de Red
Análisis Forense de RedChema Alonso
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
 
Hack met 1
Hack met 1Hack met 1
Hack met 1mrebola
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applicationsEventos Creativos
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 

Recommended

Xss attacks
Xss attacksXss attacks
Xss attacksRober Garamo
 
Contenidos del VídeoBook de "Pentesting con Kali 2020"
Contenidos del VídeoBook de "Pentesting con Kali 2020"Contenidos del VídeoBook de "Pentesting con Kali 2020"
Contenidos del VídeoBook de "Pentesting con Kali 2020"Telefónica
 
Hacking WordPress. El Arte de La Guerra.
Hacking WordPress. El Arte de La Guerra.Hacking WordPress. El Arte de La Guerra.
Hacking WordPress. El Arte de La Guerra.Nestor Angulo de Ugarte
 
Análisis Forense de Red
Análisis Forense de RedAnálisis Forense de Red
Análisis Forense de RedChema Alonso
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
 
Hack met 1
Hack met 1Hack met 1
Hack met 1mrebola
 
Client side attacks in web applications
Client side attacks in web applicationsClient side attacks in web applications
Client side attacks in web applicationsEventos Creativos
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Man in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadMan in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Hackeo
HackeoHackeo
Hackeoseminario4
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeoseminario4
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
Troyanos
TroyanosTroyanos
TroyanosConferencias FIST
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Ethical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptxEthical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptxFreddVargas1
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 

More Related Content

Similar to Hacking a sistemas CMS

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeoseminario4
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Ethical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptxEthical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptxFreddVargas1
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 

Similar to Hacking a sistemas CMS (20)

Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Man in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadMan in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridad
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
Hackeo
HackeoHackeo
Hackeo
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeo
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
 
Troyanos
TroyanosTroyanos
Troyanos
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Ethical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptxEthical_Hacking_Intro.pptx
Ethical_Hacking_Intro.pptx
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigos
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 

More from zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beingszekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Powerzekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harleyzekivazquez
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scalingzekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCAzekivazquez
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 

More from zekivazquez (12)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 

Recently uploaded

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Recently uploaded (15)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

Hacking a sistemas CMS

  • 1.
  • 2. Sobre mi ¿Qui´en soy? Ezequiel ”Zequi”V´azquez Desarrollo backend Sysadmin & DevOps Hacking & Seguridad Ponente en CONs desde 2013 Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 3. ¿D´onde trabajo? Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 4. Kero y Hopi Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 5. Randy Rhoads 5 Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 6. Harley Davidson Iron 883 Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 7. ´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 8. ´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 9. Seguridad Principios b´asicos Seguridad en profundidad M´ınimo privilegio Eslab´on m´as d´ebil Proporcionalidad Participaci´on universal Integraci´on ciclo de vida Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 10. Seguridad en profundidad El Abismo de Helm era inexpugnable. . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 11. ¿Qu´e es un CMS? Aplicaci´on web que permite . . . Crear, administrar y publicar contenidos Interfaz de f´acil uso Versionado del contenido Separaci´on en capas: dise˜no y contenido Gesti´on de usuarios y roles Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 12. Behind the scenes Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 13. ¿Y c´omo de extendido est´a su uso? Veamos algunos n´umeros 49.0 % de internet usa un CMS 29.4 % → Wordpress 3.1 % → Joomla 2.2 % → Drupal 1.2 % → Magento M´as info: http://goo.gl/4N0tOU Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 15. Seguridad en CMS A tener en cuenta Componentes desactualizados o sobreescritos M´odulos/plugins discontinuados WPScan http://wpscan.org/ Drupal X-Ray http://www.drupalxray.com/ Vulnerabilidades de Wordpress https://wpvulndb.com/ Lista de CVEs de Drupal http://goo.gl/alFGYa Lista de CVEs de Wordpress https://goo.gl/D1nZLg Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 16. ´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 17. Inyecci´on SQL Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 18. Cross Site Scripting Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 19. Cross Site Request Forgery Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 20. Recogida de informaci´on Hazte con todos Lo primero: recorrido manual por la aplicaci´on Ingenier´ıa social (tel´efonos, correos corporativos, phishing) Fichero robots.txt Fichero sitemap.xml “Fingerprint” de servidor, framework, versiones. . . Crawlers, spiders, robots. . . Herramientas autom´aticas: Burp, ZAP, Nikto2, w3af, Accunetix Mapeado de entradas de la aplicaci´on Revisar foros de la comunidad, peticiones de ayuda y GitHub Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 21. Recogida de informaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 22. Recogida de informaci´on Hacking con buscadores Utilizaci´on de operadores avanzados del buscador. site: Limitar la b´usqueda a un ´unico dominio cache: Buscar en la cach´e de Google inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´on indicada Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 23. Pruebas sobre servidor Elemental, querido Watson M´etodos HTTP permitidos (PUT, DELETE, TRACE) M´odulos instalados en servidor e int´erprete Configuraci´on de plataforma (Apache, PHP, MySQL. . . ) Revisar backups en el ´arbol web (*.sql, *.bak. . . ) Ficheros temporales de c´odigo fuente Rastro del sistema de versionado (Git, SVN) Esc´aner de puertos (Nmap) Firewall/IDS/Web Application Firewall Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 24. Pruebas sobre servidor Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 25. Gesti´on de identidad y autorizaci´on El carn´e y los papeles, por favor Definici´on de roles y permisos asignados Elevaci´on de privilegios Referencias inseguras URLs abiertas al p´ublico Enumeraci´on de cuentas de usuario Ataques de fuerza bruta (All hail Hydra!) Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 26. Gesti´on de identidad y autorizaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 27. Autenticaci´on Credenciales por canal inseguro (MitM, SSLStrip) Pol´ıtica de contrase˜nas d´ebil Recordar contrase˜nas: ¿se vuelve a enviar la pass? Autenticaci´on mediante redes sociales Segundo factor de autenticaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 28. Gesti´on de la sesi´on Duraci´on de la sesi´on Gesti´on de cookies (cifrado, atributos httpOnly y Secure) Robo de cookie de sesi´on = Robo de identidad Cross Site Request Forgery Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 29. Validaci´on de datos de entrada Cross Site Scripting SQL injection Poluci´on de par´ametros HTTP Valores de cookies Inyecci´on de c´odigo Subida de ficheros Permisos de ejecuci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 30. Drupalgeddon El santo grial 15 de octubre del 2014 Se publica la versi´on 7.32, parches de seguridad Permite una inyecci´on SQL siendo usuario an´onimo El reporte estuvo en el bug tracker 7 meses Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 31. Gesti´on de errores Exposici´on de c´odigos y textos de error Exposici´on de trazas Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 32. Denegaci´on de servicio No liberaci´on de recursos Almacenamiento de demasiada informaci´on en la sesi´on Bloqueo de usuarios Entrada de usuario en un bucle Gesti´on de peticiones repetitivas (LOIC) Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 33. Denegaci´on de servicio Algunos juguetes Hydra Gatling Siege jMeter Loic Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 34. M´as testing. . . Criptograf´ıa d´ebil Errores en l´ogica de negocio Tests en lado de cliente Librer´ıas JavaScript Endpoints AJAX No solo web. . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 35. ´Indice 1 Introducci´on 2 Hacking CMS 3 Para ir cerrando . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 36. Un vector de ataque simple Detecci´on de XSS almacenado (filtro “Full HTML”) Inyectar JS que env´ıa cookies a atacante (SOP, httpOnly) Atacante inyecta cookie en su navegador Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 37. Un vector de ataque simple Activaci´on de m´odulo “PHP filter” Modificar nodo para que use este filtro Ejecutar comandos de sistema desde PHP (disable functions) Lanzar shell reversa con netcat (cortafuegos saliente) Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 38. Un vector de ataque simple A partir de aqu´ı. . . Escalado de privilegios para obtener root (CVE-2012-0809) Persistencia del acceso T´ecnica de pivoting: escanear red interna ¡En la imaginaci´on (y en el contrato) est´a el l´ımite! Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 39. Seguridad ante todo, pero . . . Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 40. . . . ¡ojo con la interfaz silla-teclado! Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 41. En resumen. . . Objetivo del auditor: securizar Defensa en todas las capas Buenas pr´acticas Mucha documentaci´on, ¡no hay excusa! La importancia de la formaci´on Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 42. Referencias Linux Administrator’s Security Guide http://www.seifried.org/lasg Apache Security Tips http://httpd.apache.org/docs/current/misc/security tips.html PHP security manual http://php.net/manual/en/security.php Cracking Drupal http://www.crackingdrupal.com Writing secure code https://drupal.org/writing-secure-code Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 43. Referencias Securing your Drupal site https://drupal.org/security/secure-configuration Hardening Wordpress http://codex.wordpress.org/Hardening WordPress Damn Vulnerable Web Application http://www.dvwa.co.uk Aplicaciones web vulnerables para practicar https://www.amanhardikar.com/mindmaps/Practice.html The Hacker News http://thehackernews.com/ Zequi V´azquez @RabbitLair Seguridad en CMSs
  • 44. Esto es todo, amigos... ¡Gracias! @RabbitLair ezequielvazq[at]gmail[dot]com Zequi V´azquez @RabbitLair Seguridad en CMSs