sábado, febrero 15, 2014

Examen Máster de Seguridad de la UEM 2013-2014

Como todos los años anteriores hoy es el día en que toca hacer sudar un poquito a mis chicos del Máster de Seguridad de la UEM 2014. Este examen es una pequeña variación del que les toco hacer a los del Máster de de Seguridad de Mayo de 2013 - que no os publiqué por aquí -, a ver qué tal se les da. El examen se hace en papel, tienen 2 horas para hacerlo, y lo están haciendo ahora mismo, así que si te animas, puedes ponerte a hacerlo tú. Luego más tarde actualizaré el post con las respuestas para que sepan si les ha salido bien o no la prueba.

Además, tienes exámenes de años anteriores ya publicados por aquí, que espero que mis alumnos se hayan empapado en profundidad, ya que suelo hacer más o menos las mismas preguntas.... para ver si estudian o no. Por supuesto, en el examen siempre entra todo lo citado directa o indirectamente en las clases, las diapositivas y publicado en el blog.
Examen Máster de Seguridad de la UEM 2009-2010
Examen Máster de Seguridad de la UEM 2010-2011
Examen Máster de Seguridad de la UEM 2011-2012
Examen Máster de Seguridad de la UEM 2012-2013
Saludos Malignos!

Examen Máster de Seguridad 2014 de la Universidad Europea de Madrid

1.- Tu organización dispone de una aplicación web de cara a internet consistente en ofertar productos y servicios con pasarela de pago propia desarrollada para una plataforma .Net utilizando tecnologías Microsoft. Los datos de registro de los clientes, así como los pedidos solicitados se almacenan en una base de datos SQL Server de la empresa, gestionando todo el proceso a través de la lógica de negocio. ¿Qué mecanismos de protección consideras que deberían implantarse en cuanto a la arquitectura de servidores y servicios se refiere? Cita reglas generales y algunas medias concretas que creas convenientes para implantar.
- Respuesta: Reglas de fortificación 1) Mínimo Punto de Exposición 2) Mínimo Privilegio Posible y 3) Defensa en Profundidad. Design Guidelines for Secure Web Applications. Hacking Webs en .NET: Algunos trucos para auditoría.
2º.- Si tu organización dispone de un servidor de base de datos SQL Server 2008 pero el DBA es una persona con poca experiencia. ¿Qué mecanismos de seguridad pondrías en su conocimiento como disponibles en el entorno a la hora de cifrar la información que en él se aloja?
- Respuesta: Cifrado de almacenamiento de sistema, cifrado de base de datos, cifrado de datos, hashing seguro de passwords, cifrado de backups y cifrado de comunicaciones a nivel de cadena de conexión y aplicación web.
3.- Describe como se puede hacer un proceso de hijacking de sesión a un usuario de una red social en la que las cookies no vayan por HTTP-s si en la web no se ha descubierto ninguna vulnerabilidad de código (ni SQLi, ni XSS).
- Hijacking de session con cookies capturadas por la red.
4.- Describe un posible método para robar una cookie marcada como HTTP-Only con un ataque de XSS que se debería probar sabiendo que el servidor no tiene habilitado el método TRACE y que es un Apache 2.0.X.
- Robar cookies HTTP-Only con XSS y Error 400 en Apache. También se podría describir un método basado en un Applet Java.
5.- Una aplicación web de una empresa proporciona un proceso de autenticación que sospechamos un tanto curioso. Al analizar el código fuente de la página, vemos que la aplicación utiliza para el proceso de autenticación un Applet de Java con extensión JAR. Tras probar varios intentos de inicio de sesión, detectamos que no se produce Post-Back al servidor. ¿Qué fallo de seguridad podría tener esta aplicación y cómo debería investigarse?
- Autenticación local. Decompilación de Applets Java. Jugando con un Applet Java. Cómo localizar Applets Java con Shodan.
6.- Detectamos que una aplicación web realizada en ASP con acceso a SQL Server es vulnerable a SQL Injection. Describe porqué se producen este tipo de ataques y un método simple para solventarlos.
- Mi primera comilla.   
7.- En qué consiste un ataque de tipo Blind SQL Injection a una aplicación web. Explícalo con tus palabras por ejemplo para obtener la versión del motor de la base de datos que se está utilizando.
- Técnicas avanzadas en Blind SQL Injection
8.- La nueva tecnología adoptada por tu empresa para el sitio web interno corporativo te permite visualizar a través del navegador aquellas impresoras y recursos compartidos de red a los que sólo tienes acceso por pertenencia a un departamento en concreto. Analizando el código web, se ver que es un código muy parecido al que usan los administradores de sistemas Windows para gestionar los sistemas con CScript. Llegas a la conclusión de que puede tener algún tipo de inyección y estás en lo correcto ya que al introducir los caracteres de inyección adecuados, te permite visualizar más recursos corporativos de los que deberías ver en un principio ¿De qué tipo de vulnerabilidad estamos hablando y a qué tipo de base de datos estamos accediendo?
- (Blind) LDAP Injection in Web Applications
9.- Describe en qué consisten los ataques de Time-Based Blind SQL Injection y con qué tipo de funciones o métodos pueden realizarse en los motores de base de datos SQL Server, MySQL, Oracle y Access.
- Time- Based Blind SQL Injection using Heavy Queries

10.- Como administrador del sistema de tu organización, una mañana monitorizas que el antivirus corporativo reporta un malware en un directorio local del servidor donde tu empresa tiene alojado el sitio web. El archivo en cuarentena es un fichero denominado C99.php. ¿Qué tipo de ataque estás sufriendo y qué fallo o fallos de seguridad se ha/n podido aprovechar?
- Tienes una WebShell [Community Shells availables, Riesgos en el uso de WebShells en auditoría], Métodos HTTP Inseguros PUT, subida insegura de ficheros, Técnicas SQLi con acceso al File System de escritura, RFI si lo pilla en tmp o por red, Web compartida en hosting inseguro o hacking del servidor web por otro medio.

7 comentarios:

  1. Angel - Ote - Cortes15/2/14 11:32 a. m.

    Ya te vale Chema, estoy aqui en el hall de la 3ª y salen tus alumnos quejandose de lo dificil que es y estoy a la vez viendo las respuestas en tu Web....eso es crueldad Maligna :-)

    ResponderEliminar
  2. Es curioso que todas las respuestas están en tu blog, por un momento he pensado que leyendo simplemente el blog apruebo el examen.

    ResponderEliminar
  3. Mucha (demasiada) tecnología Microsoft, ¿no?

    ResponderEliminar
  4. De las 10 preguntas 7 son de web!! Creo que la seguridad en mucho mas que web.

    Parece que las preguntas estan orientadas a los temas en los que se defiende el profesor y no en lo que se da en el temario.

    ResponderEliminar
  5. @anónimo de las 12.42 Si te sabes mi blog apruebas con nota este módulo de 16 horas del Master }:)

    Saludos!

    ResponderEliminar
  6. @anónimo de las 7.20 p.m. Que los árboles no te impidan ver el bosque. La tecnología es lo de menos en casi todas ellas.

    Saludos!

    ResponderEliminar
  7. @anónimo de las 7.49 es lo que se ha visto en este módulo de 16 horas. El Máster son muchos módulos, muchos trabajos y muchos exámenes.

    Saludos!

    ResponderEliminar