41 ALTERNATIVAS DE SOLUCION PUNTO 3 O DE LIVE HEADERS CRIPTOGRAFIA

•

SIN SIGLA

gilbert Sanchez

28/5/2023

¡Estudia con miles de materiales!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Seguridad Informática

3996 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

ING.GILBERT JAIR SANCHEZ AVILA 
ALTERNATIVAS DE SOLUCION LIVE HTTP HEADERS: 
 
podemos implementar para proteger nuestros encabezados un WAF o firewall de aplicación web , este 
dispositivo puede ser un software o hardware el cual analiza el trafico de una web , ayuda a proteger los datos 
de la de web de ataques como XSS, inyección de SQL ,Remote and Local File Inclusion, , Buffer Overflows 
entre otros . 
Puede detectar un posible buffer overflow analizando las variables que lleguen por GET o POST. Por 
ejemplo, si el valor de una variable es superior a 150 caracteres, el WAF podría detectar la transacción como 
maliciosa y denegarla. 
Para los ataques de Cross Site Scripting y SQL Injection, el WAF vigila que los valores pasados tanto por 
GET como por POST, no contengan valores como "SELECT FROM, UNION, CONCAT, <script >, %, etc. 
El factor negativo, es que, si nuestra aplicación utiliza caracteres que el WAF tenga en su "lista negra", 
denegará las peticiones de los usuarios, en este caso hay dos soluciones: rediseñar el funcionamiento de la 
aplicación o configurar el WAF para que ignore dichos caracteres. 
Algunos WAF también monitorizan las respuestas del servidor, por ejemplo, si en una respuesta, que el 
servidor web envía al usuario se detectan cadenas que pueden ser identificadas como cuentas bancarias, el 
WAF lo puede detectar como un posible ataque y denegar la respuesta , Pueden funcionar en modo bridge, 
router, proxy o plugin. Disponibles tanto como Hardware como Software. [1] 
Un ejemplo de WAF muy popular y efectivo es el W3AF de la Suite de Kalilinux 
 
Fig1. Ejemplo de uso de W3AF pagina UNAD , haciendo la opción fast_scan 
 
 
Fuente. El autor. 
Aquí podemos ver que vulnerabilidades ha encontrado la herramienta: 
 
 
 
 
 
 
 
 
 
 
Fig2.vulnerabilidades encontrada con fast_scan vemos que la pagina UNAD tiene un vulnerabilidad de Blind 
SQL injection. 
 
 
 
Fuente el autor. 
 
Aquí podemos ver en detalle la cabecera o sección GET donde se encuentra la vulnerabilidad : 
 
Fig3.vemos donde se encontró el encabezado con el error o vulnerabilidad. 
 
 
 
Estos firewall de aplicaciones Web o WAF , nos ayudan a complementar la protección en aplicaciones web y 
de dispostivos como IDS/IPS. Pero debemos tener en cuenta como medida adicional revisar los códigos de 
nuestras aplicaciones web , nos podemos guiar para esto por el TOP 10 de OWASP para prevenir estos 
problemas. 
También el administrador de red puede usar programas como Wireshark para monitorear la red en caso de que 
se sospeche que una pagina web tenga algún tipo de malware o programas no deseados, aquí vamos a ver 
una parte de un ejemplo mostrado por INTECO-CERT , en cual se usa esta aplicación para detectar malware 
en una página: 
supongamos que nos informan de que una máquina ha sido comprometida y que queremos identificar el 
vector de entrada y el tipo de malware involucrado. Para ello podemos echar mano de una captura de tráfico 
de red obtenida en una ventana de tiempo donde se haya producido el incidente. La abrimos con Wireshark 
para ver su contenido. Aislando las direcciones IP implicadas, podemos tratar de identificar qué software se 
ha descargado aprovechando la utilidad de exportar objetos, seleccionando File >> Export >> Objects >> 
HTTP: 
 
Figura4 - Exportar Objetos 
 
 
 
Fuente:https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis
_trafico_wireshark.pdf 
 
Se nos mostrará una ventana con todas las peticiones HTTP detectadas en la captura de tráfico junto con el 
nombre del objeto que ha sido descargado: 
 
Figura5 - Lista de Objetos HTTP 
 
 
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
 
Fuente:https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis
_trafico_wireshark.pdf 
 
Desde esta ventana podemos descargar el archivo que nos interese analizar, o descargarlos todos pulsando el 
botón “Save All”. En nuestro caso, procedemos a descargar el fichero llamado fcexploit.pdf, almacenándolo 
en local. Suponemos que este archivo es malicioso por lo que habrá que tener cuidado de no abrirlo o 
ejecutarlo, pero ya tenemos una posible muestra del malware que podremos a analizar con nuestro antivirus o 
enviarla a que sea analizada online. Una de las páginas que ofrece la posibilidad de examinar ficheros 
sospechosos haciendo uso diferentes motores de antivirus es VirusTotal (http://www.virustotal.com). 
En este caso, el resultado obtenido para el fichero descargado fue positivo, indicando el nombre del virus, por 
lo que es posible buscar información específica para eliminarlo y, paralelamente, informar al proveedor de 
antivirus para que genere una firma de detección en caso de no detectarlo[2]. 
Afortunadamente este programa también esta en la suite de kalilinux: 
 
Figura6 – interfaz de wireshark en kalilinux . 
 
 
 
Fuente. El autor. 
 
 
 
Tambien podemos instalar complementos en nuestro navegador componentes que protegen nuestro navegador 
web como noscript este add-on que se instala en Firefox permite JavaScript, Java, flash y otros plugins para 
ser ejecutado únicamente por los sitios web de confianza de su elección (por ejemplo, su línea banco). 
NoScript también proporciona la más potente anti-XSS y anti-Clickjacking protección siempre disponible en 
un navegador[3]. 
 
 
Figura 7– ejemplo de funcionamiento de noscript. 
 
 
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
 
Fuente: https://noscript.net/ 
 
También como usuarios seria bueno tener en cuenta cuando como usuarios cuando nuestro PC presente 
falencias o sospechemos que no funcione bien , debemos tener actualizados los antivirus e instalar programas 
como antispyware para complementar estas medidas de protección , debemos no abrir correos desconocidos 
,también los usuarios pueden instalar un firewall complementario como zone alarm free firewall[6] no 
instalar programas que no conozcamos incluso eliminar programas que no usemos , tampoco instalar 
complementos en un navegador que no conozcamos , incluso hacer limpieza de las cookies de un navegador 
ya que estas almacenan información de una pagina para facilitar el acceso a esta borrar datos de navegación 
para evitar también que se almacenen en el navegador elementos no deseados en el caso de google chrome 
esto lo podemos hacer en configuración/privacidad/borrar datos de navegación , incluso también se sugiere no 
estar conectado a internet en caso de no ser necesario ya que esto también facilita la labor de los spyware. 
 
Que hacer si sospechamos de actividad inusual en nuestro PC por parte de otras personas: 
 
Si se sospecha que paso algo raro en nuestro PC podemos usar logs de auditoría o incluso usar programas de 
informática forense como osforensics en caso de que sospechemos que alguien manipulo nuestro PC y si la 
información que había en este fue saboteada y esta información fuera importante incluso como para que se 
tenga que hacer denuncios a la autoridad competente, este programa se consigue la versión free para que los 
usuarios lo prueben incluso si se quiere la versión profesional eso si ya toca pagar. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 8– ejemplo de funcionamiento de osforensics 
 
https://noscript.net/
 
Fuente. El autor 
 
Si vemos esta imagen en el recuadro rojo el programa mostrara los documentos en Word usados 
recientemente, url accedidos, usos de memoria USB, cookies instaladas entreotros cambios o actividades que 
pueda realizar una computadora. 
 
 
Mas información: 
 
[1]http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf 
[2]https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_traf
ico_wireshark.pdf 
[3] https://noscript.net/ 
[4]http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu-
pc?ex=SWH-1566.0 
[5]http://articulos.softonic.com/intruso-pc-investigacion-forense/2?ex=SWH-1566.0 
[6] http://zonealarm-free-spanish.softonic.com/ 
 
 
http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
https://noscript.net/
http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu-pc?ex=SWH-1566.0
http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu-pc?ex=SWH-1566.0
http://articulos.softonic.com/intruso-pc-investigacion-forense/2?ex=SWH-1566.0
http://zonealarm-free-spanish.softonic.com/