domingo, 30 de enero de 2011

Presentación: Man in the Middle aplicado a la seguridad

En esta oportunidad mis queridos lectores, quiero compartir con ustedes esta presentación que preparamos con Martín Rubio (también conocido como Falcon de Low Noise Hacking Group) para el Encuentro de Seguridad que se llevó a cabo en la ciudad de Manizales (Colombia) como siempre digo, una ciudad que vale la pena visitar... esta tuvo 2 partes, una parte teórica, y otra parte práctica, lo que tenemos aquí es la parte teórica...

En si, lo que trata de explicar la presentación es hacer una pequeña explicación de como aprovechando una técnica de ataque como Man in the middle, en la cual un atacante, se interpone entre dos equipos para escuchar o modificar la información, lo aprovechamos en una técnica de evaluación, sólo que aprovechando vulnerabilidades a nivel de web...

Como algunos o muchos de ustedes sabrán, cuando se hace una evaluación de web, por lo general son 3 niveles (y hasta podría decir que algunos mas) los cuales encontramos en una aplicación web, por que.... por que tenemos un nivel o capa de presentación, que es la parte de presentación final, lo que ve el usuario, con lo que se interactúa... otra capa de aplicación, que es la lógica del programa, donde se hace el procesamiento de la información, y un nivel de base de datos... que es donde se encuentra la información...

Pues bueno, aquí trabajamos a 3 niveles, pero pensando en que... tenemos un nivel de sistema operativo con sus vulnerabilidades, y funcionalidades que pueden hacer que el soporte para nuestra aplicación se haga vulnerable... por otro lado tenemos al servicio web, es decir, al server ver que levanta el protocolo en este caso el http, y por lo general (pero no unicamente) ubicado en el puerto 80... y una última capa de aplicación, donde se encuentra la aplicación de la que hablabamos hace un momento, donde entran las muchas vulnerabilidades que pueden ir desde un XSS hasta un RFI pasando por inyecciones de SQL, y todo lo que se les pueda ocurrir (si quieren algunas ideas, revisen OWASP en la web... y por ahí echenle un vistaso al Top Ten de Owasp...

Pero en fin... la idea es que ustedes puedan ver como a veces cuando dejamos de pensar en los supuestos predeterminados, es posible aprovechar una "técnica como el MiTM para realizar ataques sobre las aplicaciones web...

En fin... sin mas preámbulos...

Man in the middle aplicado a la seguridad
View more presentations from hackspy.

Espero que esta presentación haya sido de su agrado...

Y no olviden dejar sus coments, y suscribanse mediante el reader, o su link de noticias favorito...

Salu2

Juan Pablo...

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)