Seguridad Web 2012

La seguridad es un aspecto fundamental en el desarrollo de aplicaciones Web. En esta publicación se puede encontrar el material utilizado durante la ponencia sobre Seguridad Web, durante las Jornadas Web de 2012 en la Escuela Politécnica Superior (UAM), realizada por Álvaro Gómez Giménez.

Los temas tratados en esta ponencia corresponden con las vulnerabilidades Web más frecuentes actualmente presentes, en su mayoría, en el Top 10 del proyecto OWASP, dedicado a la seguridad de las aplicaciones Web. Entre estas vulnerabilidades encontramos:

  • SQL Injection y BSQLi
  • Cross-Site Scripting o XSS
  • Cross-Site Request Forgery o CSRF
  • RFI / LF

Las diapositivas utilizadas en la ponencia se pueden encontrar en el siguiente enlace:

Presentacion: Seguridad Web 2012

La máquina virtual, preparada para importarse directamente en VirtualBox, configurada en entorno Linux, se puede descargar del siguiente enlace:

Máquina Virtual - Apache + PHP + Mysql (Debian - 2.6.18)

Los archivos utilizados para explotar vulnerabilidades contenidas en la web de la máquina virtual se pueden encontrar en el siguiente enlace:

Archivos de la máquina atacante

De cara a ajecutar todo correctamente he aquí algunas anotaciones:

  • La máquina virtual está configurada con una interfa de red en un entorno Host-Only, es decir, no tiene conexión a internet, tan sólo tiene conexión a una red local entre el host y la VM, cuya ip es 192.168.56.*
  • La máquina virtual debería arrancar, en condiciones normales, en la dirección 192.168.56.101. Si no puede resolver la dirección http://192.168.56.101/ desde el navegador del host pruebe a ejecutar /sbin/ifconfig en la máquina virtual y comprobar la dirección IP de la interfaz eth2.
  • De cara a eliminar pruebas de datos y restaurar la Base de Datos en MySQL se suministra un fichero datagen.sql en el directorio /var/www/. Pruebe a ejecutar:
    $>mysql -u root -p'eps' < /var/www/datagen.sql
  • La relación de usuarios y contraseñas de la máquina virtual es la siguiente (Muy complicadas...):
    • Usuario: eps, Contraseña: eps
    • Usuario: root, Contraseña: eps
    • Usuario MySQL: root, Contraseña: eps
Esta entrada fue publicada en Software. Guarda el enlace permanente.

5 respuestas a Seguridad Web 2012

  1. Victor dijo:

    Hola quería preguntaros si vais a colgar los vídeos de las charlas de las jornadas desarrollo web 2012 en esta pagina? o si es otra en cual?

  2. Alvaro dijo:

    Una pregunta, si accedes por SQL injection a una pag web, por ejemplo http://www.pcasevilla.org/ (No tan ejemplo (: )
    y solamente le dices que su pag es vulnerable, puede pasar algo?.

    PD. Me gusto mucho tu charla en la EPS sobre seguridad.

    • joken dijo:

      Hola Álvaro,
      Verás, como siempre en estas cosas, la respuesta es depende. En primer lugar depende de la legislación vigente en cada país. Aquí en España, hasta donde sé, el acceso no autorizado a sistemas de terceros sin autorización del administrador sí está penalizado por la ley. En cualquier caso, como dices, no es igual acceder con un objetivo informativo o académico que acceder con otras intenciones, bien sea ánimo de lucro, suplantación o, en general, cualquier conducta ya ilegal...

      ...Continuar leyendo...

Responder a joken Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>