Sí es importante conocerse a sí mismo para conocer las virtudes y defectos y detectar así los puntos de mejora. En las infraestructuras sucede lo mismo, hay que conocer cómo están por eso es tan importante hoy en día disponer no solo de mecanismos de seguridad defensiva sino también tener claro la importancia de la seguridad ofensiva y tener así cubiertos todos los frentes. Y siguiendo esta tónica llegamos a la seguridad web donde obviamente sucede lo mismo, hay que conocer cómo está el patio (web) para poner soluciones y líneas de defensa tal y como ya hemos visto en Palabra de hacker en numerosas ocasiones.
Pues esta vez toca insistir en la relevancia de todo esto y para ello nada como la fantástica y completa charla que ofrecieron Tamara Hueso y Diego Jurado en las Jornadas PaellaCON* bajo el sorprendente título «En la web que no te den hack con paella«.
Vinieron al evento con ganas de comer paella y lo que consiguieron y además de comer saciaron las hambres de conocimiento de todos los asistentes por descubrir con detalle las fases del pententing, la importancia que tiene la auditoría web, las herramientas utilizadas en los procesos así como las vulnerabilidades más comunes. Además acompañaron todo esto con el entrante siempre necesario: un repaso a la historia del hacking ético para poner el foco en la importancia que tiene la ética a la hora de elaborar cualquier test de intrusión previsto en una auditoría web. Sin ética no hay que hacer. Sin autorización para hacer un pentesting, menos pues la ley así lo exige.
Diego Jurado (@djurado9) es Ingeniero Informático y cuenta con un Máster en Ciberseguridad y Ciberguerra (CISDE). Apasionado de la ciberseguridad, trabaja como Security Analyst en el departamento de Ethical Hacking & Vulnerability Assessment en Wise Security Global. Co-creador del blog ‘Follow The White Rabbit‘. Miembro del equipo de BugHunting y CTFs (Red4Sec). Ganador del III Concurso Jóvenes Profesionales (Reto ISACA 2016) y ponente en la High Level Conference on Assurance 2016 organizada por ISACA.
Tamara Hueso (@tamarahueso) es ingeniera Informática con un Máster en Ciberseguridad y Ciberguerra. Analista de Seguridad senior en el departamento de Infrastructure protection and vulnerability Management de Deloitte. Miembro del blog ‘Follow The White Rabbit‘, premio Bitácoras 2016 al mejor blog de Seguridad Informática. Una entusiasta con ganas de cambiar la imagen que se tiene de los profesionales de la ciberseguridad. Hackeando en tacones.
Ración de hacking ético, pentesting, auditoría web, listado de herramientas y vulnerabilidades
La charla que ofrecieron Tamara y Diego y que está disponible tanto en vídeo como en podcast a continuación, la dividieron en las cinco categorías que muestra el enunciado con lo cual ofrecieron una revisión a que se enfrentan día a día desde su puesto de analistas de seguridad tanto de sistemas como de web. En esta ocasión la ponencia la centraron en el tema de la seguridad web tal que así:
- Hacking ético. Breve historia y revisión a grandes escándalos.
- Pentesting, tipos y fases que se dividen en:
- Acuerdo y autorización.
- Reconocimiento y enumeración.
- Escaneo y análisis de vulnerabilidades.
- Explotación.
- Post-explotación.
- Documentación.
- Auditoría web. OWASP y repaso a los siete principios de la securización que se basan en:
- Minimizar la superficie de ataque.
- El principio de mínimo privilegio.
- Principio de la defensa en profundidad.
- Evitar la seguridad por oscuridad.
- La correcta gestión de errores.
- No confiar en servicios de terceros.
- Arreglar completamente los fallos de seguridad.
- Herramientas, recursos para un pentesting:
- Herramienta para escaneo de puertos y servicios, NMAP.
- Descubrimiento de archivos y directorios en aplicaciones web mediante «Fuzzing», DIRB.
- Proxy web, la navaja suiza del pentester, Burp Suite.
- Proxy web, otra alternativa, Zed Attack Proxy (ZAP).
- TestSSL, Qualys SSLLabs.
- Escaneo de vulnerabilidades en aplicaciones web, Nikto.
- Programa de escaneo de vulnerabilidades para infraestructura y aplicación, Nessus.
- Escaneo de vulnerabilidades web, Acunetix.
- Automatización y explotación de ataques SQL Injection, SQLMAP.
- Framework para explotación de vulnerabilidades, Metasploit.
- Vulnerabilidades, clasificación y tipos:
- Autenticación.
- Autorización.
- Cifrado.
- Validación.
- Diseño.
- Configuración.
- Sesión.
- Mantenimiento.
En esta ocasión recomiendo complementar esta charla con la ofrecida por Rafael Otal en la pasada edición de PaellaCON ‘Seguridad web, que no te pongan tu web como la bandera de Japón‘ y el ciberdebate sobre ‘Cómo mejorar la seguridad en WordPress‘ además puedes acceder desde este enlace a la lista de reproducción con todos los vídeos disponibles de PaellaCON.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!