The queen of security
-
Upload
manuel-alen-sanchez -
Category
Documents
-
view
79 -
download
2
description
Transcript of The queen of security
Time Based Blind SQL
Injection
Blind LD
AP Injecti
on
LDAP Injection
SQL Injection (1998)
• And 1=1• and ascii(substr(version[],1,1))>0• ‘OR 1=1;/*• */--
Defacement
El Bug XSS
•Búsqueda de modificar el comportamiento de la página•Código visible para el cliente•Atacante inyecta códigos inseguros en la App Web
Bug Presidencia española
Mi Base de Datos en Google• ext:inc
intext:mysql_connect• Permiten ver
Usuario y contraseña del Admin• Permite modificar
la base de datos
Metadatos
Qué son los Metadatos• Información que nos muestran otros datos sobre un
documento compartido por servidores tales como:• el usuario que ha creado el documento, • la ruta para localizarlo• el sistema operativo, software e impresoras utilizadas, • los emails por los que se ha compartido (en el caso que
se haya enviado por adjunto), los servidores y las contraseñas de donde se haya compartido el documento, en el caso de haberlo hecho
¿Dónde se pueden encontrar?
• Documentos ofimáticos• Word• Excel• PowerPoint• OpenOffice
• Fotos• Vídeos
Tipo de Metadatos
• Información que nos den datos sobre el documento • Información oculta. Información interna y no editable• Información Perdida. Información que se encuentra en
los documentos por errores o negligencias humanas y que desde un principio no estaban destinados a acabar allí
Terminal Applications
Where?
RDP
USING BING
Secure?
Playing The Piano
Código penal
¿Esto es una medida de seguridad?
¿Medidas de Seguridad?
Las Paswords por defecto ¿lo son?
¿LO CUALO?
Tipos de Passwords• Contraseñas por defecto• Contraseñas repetidas• Contraseñas Sencillotas• 123456• Admin• Qawsedrftg• 1q2w3e4r5t6y
• Contraseñas con un…MÉTODO INFALIBLE
Fácil de encontrar en SHODAN
• Buscando lo “private” o “public”
¿Hace Calor o soy yo?
Tema de Contraseñas. Nivel Máster
•Ipconfig
Fallos• Tecnología• Jefes• Informáticos• Usuario• Sobre todo Pereza
Demos: Man In The Middle
Terminal ApplicationsMetadatos
Blind SQL Injection
¿Soluciones?
DALE DURO!!!!!
Pero…Nos olvidamos de Penny
Caso “rafa1”
• NO se DIFUNDEN datos• NO me cuelo en su
wifi• NO me cuelo en su
torre de PC• NO busco sus
passwordshttp://elladomalvado.blogspot.com.es/2014/03/viendo-usuario-y-contrasena-del-senor.html
La Contraseña en Google
La Gente no quiere PRIVACIDAD
Caso “mujercita1”• Más de 900 fotos en Tuenti• Más de 200 Fotos en Facebook• Más de 500 fotos en Twitter• Más de 90 fotos en Instagram
¿Sab
e to
das la
s fo
tos
que tie
ne en
INTE
RNET?
TOTAL: 1690 Fotos
¿Yo DIFUNDO o ROBO datos?
Además en Mac no hay virus
Pues toma dos cazos
Buscas Delincuentes, no Hackers
¿Preguntas?• Manuel Alén Sánchez• [email protected]• [email protected]• @manualensanchez• http://elladomalvado.blogspot.com.es/