Vulnerabilidades informáticas

más comunes en entidades

privadas y públicas de Bolivia

Ing. Daniel Torres Sandi

$ bash whoami

• Usuario de software libre desde hace 10 años

• Security+, CEH, KLCP
• Realice consultorias de seguridad para entidades financieras,
petroleras, de energia, pasarelas de pago, etc.
• Instructor de Ethical Hacking
• Actualmente parte del Centro de Gestión de Incidentes Informáticos
(CSIRT)
2016
Página web de la policia Boliviana
Página web de Migración
Página web de la armada Boliviana
¿Por que sucede esto?
1. INYECCIÓN
1. INYECCIÓN
1. INYECCIÓN
Creaword.php?id=’
 1. INYECCIÓN
sqlmap --url="http://www.ejemplo.com/sistema/creaword.php?id=128881" --random-
agent --level 5 --risk 3
1. INYECCIÓN

' or 1=1 --
' or 1=1 --
1. INYECCIÓN
1. INYECCIÓN
1. INYECCIÓN

(' or 1=1 limit 1 --

123456
1. INYECCIÓN
1. INYECCIÓN SQL (Aplicaciones de escritorio)

1'; update expediente SET fechaingreso="2015-08-22" where

id=343 --
1. INYECCIÓN SQL (Aplicaciones de escritorio)
1. INYECCIÓN SQL (Aplicaciones de escritorio)
2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
 2. EXPOSICIÓN DE DATOS SENSIBLES

¿Sabias que un usuario tiene acceso a todo el código javascript?

2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES

¿Sabes que datos envias al cliente?

2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
¿Sabias que un usuario tiene acceso a todo el código javascript?
2. EXPOSICIÓN DE DATOS SENSIBLES

Listado de directorios activado!!!

 2. EXPOSICIÓN DE DATOS SENSIBLES
Listado de directorios activado:
2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
2. EXPOSICIÓN DE DATOS SENSIBLES
3. CROSS SITE SCRIPTING
 3. CROSS SITE SCRIPTING

Se ataca al navegador web del usuario, no al sitio web

3. CROSS SITE SCRIPTING
 3. CROSS SITE SCRIPTING


Hacer peticiones a nombre de la víctima

Robo de cookies de autenticación

Modificar el contenido HTML
 3. CROSS SITE SCRIPTING

5 caracteres que son nuestros enemigos:

" ' < > &

4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS

Heartbleed (2014)
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
4. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
 5. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS

Tambien existen componente vulnerables !!

https://snyk.io/
5. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
Usa la herramienta snyk

https://snyk.io/
5. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS

Instalar:
5. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
Autenticarnos y ejecutar la herramienta:
5. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
Resultado:
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Archivos .env (PHP dotenv)

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Usuario: postgres
Password: postgres
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
Crackeo de hashes

MD5, SHA1 VS BCRIPT

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Backups, maquinas virtuales compartidas

5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Credenciales en recursos compartidos

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
Bases de datos sin password
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Bases de datos sin password

5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
5. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
Ecosistema de aplicaciones
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Nunca almacenarlos en el sistema de control de versiones

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Usa .gitignore
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Usa la herramienta git-secret

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Usa la herramienta git-secret


Herramienta que encripta los archivos con información sensible


Disponible en linux y MAC


Usa GPG


Control de acceso granular
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Chrome + Cookie Injector + sessionID =

6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Cuando algunos controles de seguridad son tan útiles

como esta puerta:
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
Escenario:
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
Algoritmo de cifrado robusto AES (Advanced Encryption Standard)
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
6. CONFIGURACIÓN DE SEGURIDAD INCORRECTA
 70326434

daniel.torres0094

daniel.torres@owasp.org