PDF de programación - Amenazas contra la Autenticación Web

Amenazas contra la
Autenticación Web

Webinar Gratuito

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e-mail: [email protected]



Jueves 7 de Mayo del 2015

Presentación

Alonso Eduardo Caballero Quezada es Brainbench Certified Network
Security (Master), Computer Forensics (U.S.) & Linux Administration
(General), IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling y Miembro de Open Web
Application Security Project (OWASP).

Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y
Conferencista en PERUHACK 2014. Cuenta con más de doce años de
experiencia en el área y desde hace ocho años labora como Consultor e
Instructor Independiente en las áreas de Hacking Ético & Informática
Forense. Perteneció por muchos años al grupo internacional de Seguridad
RareGaZz e integra actualmente el Grupo Peruano de Seguridad
PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también
constantemente en exposiciones enfocadas a, Hacking Ético, Informática
Forense, GNU/Linux y Software Libre.

@Alonso_ReYDeS

www.facebook.com/alonsoreydes



pe.linkedin.com/in/alonsocaballeroquezada/



Amenazas contra la Autenticación Web

La Autenticación juega un rol crítico en la seguridad de una aplicación
web, pues las subsecuentes decisiones son hechas en base a la identidad
establecida por las credenciales proporcionadas.

A continuación se exponen las formas más prevalentes de autenticación
web.

* Nombres de Usuario y Contraseñas. Debido a su simplicidad es la
forma más prevalente de autenticación sobre le Web.

* Autenticación Fuerte. Muchos sitios web empiezan a utilizar formas
más fuertes de autenticación para sus usuarios, incluyendo la utilización
de tokens y certificados.

* Servicios de Autenticación. Muchos sitios web externalizan su
autenticación a servicios los cuales implementan gestión de identidad y un
protocolo de autenticación, como Microsoft Account u OpenID.



* http://en.wikipedia.org/wiki/Microsoft_account
* http://en.wikipedia.org/wiki/OpenID



Amenazas en los Nombres de Usuario y Contraseñas

Aunque existen numerosas maneras de implementar una antenticación
básica utilizando nombres de usuario y contraseña, las implementaciones
web caen en el mismo tipo de ataques.

Enumeración de Nombres de Usuario

Se utiliza principalmente para proporcionar una mayor eficiencia en el
ataque para adivinar contraseñas. Existen algunas funcionalidades
frecuentemente utilizadas en las aplicaciones web, las cuales permite
determinar nombres de usuario.

Resultados de perfilamiento
Mensajes de error en Registros de Ingreso (login)
Mensajes de error en funcionalidades de reajuste de contraseñas
Registro
Bloqueo de cuentas
Ataques basados en el Tiempo



Amenazas en los Nombres de Usuario y Contraseñas

Adivinar Contraseñas

Pueden ser utilizados usualmente sin importar el protocolo a
autenticación. Esto puede ser realizado de manera manual o automática.
Las dos principales técnicas son las siguientes:

Adivinar contraseñas manualmente
Adivinar contraseñas automáticamente

Interceptación

Cualquier protocolo exponiendo credenciales en tránsito sobre la red es
potencialmente vulnerable a ataques de interceptación. Los dos
protocolos más populares de autenticación web exponen las credenciales.

Autenticación “Basic”
Autenticación “Digest”



Curso Virtual de Hacking Aplicaciones Web

Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

E-mail: [email protected] / Sitio Web: http://www.reydes.com



Cursos Virtuales

Todos los Cursos Virtuales dictados están disponibles en Video.

Curso Virtual de Hacking Ético

http://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Web

http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forense

http://www.reydes.com/d/?q=Curso_de_Informatica_Forense



Más Contenidos

Videos de 26 Webinars Gratuitos sobre Hacking Ético, Hacking
Aplicaciones Web e Informática Forense.

http://www.reydes.com/d/?q=videos

Diapositivas utilizadas en los Webinars Gratuitos.

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Mi Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1



Demostraciones



Amenazas contra la
Autenticación Web

¡Muchas Gracias!

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e-mail: [email protected]



Jueves 7 de Mayo del 2015