Hacking de servidores charla de Álvaro Diaz en la comunidad Hack&Beers.

Hacking de servidores web

La importancia de la seguridad web ha salido a relucir en Palabra de hacker en numerosas ocasiones y es que no es para menos, la búsqueda de fallos y vulnerabilidades para acceder a cualquier página web disponible en la red es una constante y conviene estar preparados, cualquier medida es poca y estar informados resulta vital.

En esta ocasión recojo una charla realizada por Álvaro Díaz en la comunidad Hack&Beers durante la celebración de las Jornadas de Seguridad Informática MorterueloCON en la que a modo divulgativo demuestra cómo es posible realizar hacking de servidores a través de Symlink.

Álvaro Díaz (@alvarodh5) es un apasionado de la ciberseguridad. Actualmente trabaja como Security Analyst en Delotitte y lo compagina con sus estudios de grado en Ingeniería Informática. Cuenta con un máster en Ciberseguridad y Ciberdefensa internacional. Miembro del blog Follow the White Rabbit y colaborador en los blogs de INCIBE y Tecnoxplora. Administrador de la comunidad de seguridad informática Underc0de. Participante habitual en Bug Bountys y CTFs.

Hacking de servidores con Symlink

La investigación de Álvaro para explicar de una manera divulgativa cómo se produce el hacking de servidores web Apache a través de Symlink, la explica con detalle en esta entrada en Fwhibbit  y la charla, que está disponible en vídeo y podcast a continuación, está estructurada de la siguiente manera:

  • Información inicial.
  • Objetivo: un WordPress.
  • ¿Qué es Symlink?
  • ¿Para qué se utiliza?
  • Ejemplos.

Hablando de seguridad web y más tratándose en el ejemplo práctico de un WordPress, recomiendo comprobar cada uno de los consejos que dejaron los especialistas en la materia durante el ciberdebate sobre ‘Cómo mejorar la seguridad en WordPress‘ así como revisar las charla ‘Reventando WordPress‘ y ‘Seguridad web: que no te pongan tu web como la bandera de Japón‘ en la que se repasan las principales técnicas que usan los atacantes para vulnerar una web y que vienen bien para saber cómo reforzar la seguridad de las instalaciones.

Presentación

Es obvio que si no lo sabes te estarás preguntando qué es Symlink y aunque en la charla se explica con detalle cabe decir que Symlink proviene de Symbolic Link lo que vendría a ser un enlace simbólico y esto se usa para hacer referencia a un fichero o directorio que se encuentra en un lugar distinto. Si la duda ahora todavía es mayor sobre cómo los atacantes pueden usar esta técnica para vulnerar un WordPress adelante aquí está la charla para salir de dudas.

Eso sí quiero advertir que al igual que el Álvaro explica al comienzo la charla tiene un fin demostrativo, totalmente alejado de lo que sería un tutorial para hacer mal así que no me hago responsable del mal uso que se pueda hacer de esta información y pido desde ya disculpas porque las condiciones de grabación no fueron las más optimas, pero bueno nada nuevo tratándose de un Hack&Beers donde al ambiente distendido habitual que no invita al silencio precisamente se le sumó la cena que se estaba sirviendo durante la charla.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Quieres recibir todas las novedades por newsletter?

Nombre

Correo electrónico


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¡Deja tu comentario! Tu correo electrónico no será publicado.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.