Documente Academic
Documente Profesional
Documente Cultură
fraalvarez@Gmail.com
Análisis de vulnerabilidades
Contenido
- Conceptos generales
- Análisis de vulnerabilidades
- Tipos de vulnerabilidades
- Detección de vulnerabilidades
- Vulnerabilidades web
Página 2
Encontrar vulnerabilidad
Ingeniería social.
Página 3
Encontrar vulnerabilidad
Ingeniería social.
Ingeniería social.
El contacto lo
A quien va dirigido:
realiza:
• Organizaciones • Conocido, amigo
escogidas al azar o pariente.
o como objetivo. • Prestador de
• Determinado servicios.
empleado o • Autoridad.
grupo de
empleados.
• Un usuario.
Página 5
Encontrar vulnerabilidad
Página 6
Encontrar vulnerabilidad
- Acceso no
autorizado
- Usb tentadora
Página 7
Encontrar vulnerabilidad
Ingeniería social.
Casos.
Página 8
Encontrar vulnerabilidad
Ingeniería social.
Página 9
Encontrar vulnerabilidad
Ingeniería social.
Clasificación Detalle
Clasificación: Pasivas - Observación
- Los diferentes No - Correo electrónico.
métodos de presenciales - Teléfono.
ingeniería social se
- Correo ordinario y fax.
pueden clasificar
en: Presenciales - Hablar con la gente.
no agresivas - Vigilancia.
- Seguimiento.
- Acreditaciones falsas.
- Desinformación.
Presenciales - Suplantación de identidad.
agresivas - Chantaje o extorsión.
- Despersonalización (alcohol,
drogas..).
- Presión psicológica.
Página 10
Encontrar vulnerabilidad
Ingeniería social.
Página 11
Encontrar vulnerabilidad
Ingeniería social.
Ejemplo:
Video:
- https://www.youtube.com/watch?v=nxfWA1PC_U0
- https://www.youtube.com/watch?v=5zRuiCMpBpc
Página 12
Encontrar vulnerabilidad
Footprinting.
- Es decir, cualquier dato que nos pueda ser de utilidad para lanzar
distintos ataques en las fases posteriores de la auditoría.
Página 13
Encontrar vulnerabilidad
Footprinting.
Página 14
Encontrar vulnerabilidad
Footprinting.
Buscadores
Página 15
Encontrar vulnerabilidad
Footprinting.
Buscadores
- http://www.cqcounter.com/siteinfo/
- http://www.cuwhois.com/
Página 16
Encontrar vulnerabilidad
Fingerprinting.
- “Tras dar una vuelta al edificio observando de lejos si hay alguna puerta
o ventana abierta, algún agujero en la pared… el footprinting. Vamos a
acercarnos e intentaremos dar golpes en las puertas, por si alguna se
abre, para ver si aparecen guardias… el fingerprinting.”
Página 17
Encontrar vulnerabilidad
Fingerprinting.
Página 18
Encontrar vulnerabilidad
Fingerprinting.
Página 19
Encontrar vulnerabilidad
Fingerprinting.
Página 20
Análisis de vulnerabilidades
Contenido
- Conceptos generales
- Análisis de vulnerabilidades
- Tipos de vulnerabilidades
- Detección de vulnerabilidades
- Vulnerabilidades web
Página 21
Tipos de vulnerabilidades
Tipos:
Página 22
Tipos de vulnerabilidades
Heap Overflow
- Ejemplo:
Ocurre cuando un programa continúa utilizando un puntero después de
que este haya sido liberado. Al liberar un puntero, lo único que se hace es
desasignar la memoria previamente asignada en un bloque, pero no
cambia la dirección a la que apunta.
Página 23
Tipos de vulnerabilidades
Off-By-One
Página 24
Tipos de vulnerabilidades
Race condition
- Los errores generados por una condición de carrera son producidos por
el cambio que experimenta el estado de un recurso (fichero, memoria,
registros…) desde que se comprueba su valor hasta que el recurso es
utilizado. Se convierten en una vulnerabilidad si el atacante puede influir
en este cambio de estado entre la comprobación y uso. Generalmente,
este tipo de problemas suelen darse bien por la interacción entre hilos
en un proceso multihilo o bien por la concurrencia de otros procesos
ajenos al proceso vulnerable.
Página 25
Tipos de vulnerabilidades
Integer Overflow
Página 26
Tipos de vulnerabilidades
Format String
Página 27
Tipos de vulnerabilidades
Buffer Overflow
Página 28
Análisis de vulnerabilidades
Contenido
- Conceptos generales
- Análisis de vulnerabilidades
- Tipos de vulnerabilidades
- Detección de vulnerabilidades
- Vulnerabilidades web
Página 29
Detección de vulnerabilidades
Metodología
Reconocimiento
Página 30
Análisis de vulnerabilidades
Contenido
- Conceptos generales
- Análisis de vulnerabilidades
- Tipos de vulnerabilidades
- Detección de vulnerabilidades
- Vulnerabilidades web
Página 31
Vulnerabilidades web
Deber:
- Inyección
- Secuencias de comandos en sitios cruzados
- Autenticación rota.
- Solicitudes falsificadas en sitios cruzados.
- Referencias directas e inseguras a objetos.
- Configuración errónea de seguridad.
- Almacenamiento inseguro:
- Fallas al restringir acceso URL.
- Insuficiente protección en la capa de transporte.
- Forwards y Redirects no validados.
Página 32
Análisis de vulnerabilidades
Bibliografía
Artículo:
- http://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-
07642012000300014
- http://www.openvas.org/install-packages-
v5.html#openvas_windows_gb
- http://novacreations.net/diez-vulnerabilidades-aplicaciones-web/
- https://github.com/zaproxy/zaproxy/wiki/Downloads
- http://www.enter.co/guias/lleva-tu-negocio-a-internet/ingenieria-social/
Página 33