Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading…
Transcript

Marcela Restrepo López

Cindy Marcela Hernández Castillo

Víctor Hugo Narváez Zapata

Las pruebas giran en torno a la variación, es decir, detectar los aspectos del software y su entorno que pueden haber variado y ver cómo responde el software. El objetivo consiste en garantizar que el software funcione de una manera confiable y segura en escenarios de producción tanto razonables como, incluso, no razonables. Por lo que la planeación más importante que debe llevar a cabo un evaluador es conocer los aspectos que pueden variar y de qué formas dicha variación necesita configurarse para las pruebas.

Desde el punto de vista de la seguridad, el entorno, la entrada de usuario, así como los datos y lógica internos son los lugares principales donde dicha variación puede revelar problemas de seguridad. El entorno consiste en los archivos, aplicaciones, recursos del sistema y otros recursos locales o de red que la aplicación use. Cualquiera de éstos podría ser el punto de entrada de un ataque

Explotar las vulnerabilidades halladas

Determinar que puertos se encuentran abiertos y que servicios son potencialmente riesgosos.

Conocer las vulnerabilidad del sistema Ulises del Tecnológico de Antioquia. Saber de que manera nuestra información e historial académico, están seguros ante posibles ataques.

Programas Utilizados

Resultados

SQLMAP,  no se logro vulnerar el sistema, intentó obtener las tablas y la base de datos para mandarle un sql-injection.

BACKTRACK (NMAP), se escanearon los puertos, se determinaron cuales se encontraban abiertos, se logro identificar servicios y sistema operativo en el cual se encuentra la plataforma.

BACKTRACK (Wireshark), se logro capturar la clave del usuario y ser vulnerable la aplicación.

Conclusiones

Todos los sistemas son vulnerables ante un posible ataque, se requiere de mucho conocimiento en áreas especificas, como los son las bases de datos, sistemas operativos, programación, entre otros.

Encontrar la vulnerabilidad a un aplicativo no es fácil, requiere mucho conocimiento y práctica; cada día se forman estrategias, programas y herramientas que protegen nuestros sistemas, pero de igual manera a la par se desarrollan los posibles atacantes, como retadores ante la seguridad informática.

CIBERGRAFÍA

• http://es.wikipedia.org/wiki/Detecci%C3%B3n_de_sniffer

• http://es.wikipedia.org/wiki/Wireshark

• http://msdn.microsoft.com/es-es/magazine/cc507646.aspx

• http://www.hacktimes.com/sql_injection_con_sqlmap/

• http://sqlmap.org/

¡GRACIAS!

Aplicación ULISES

WIRESHARK

Pruebas de Penetración

CHROME

XSS

¿Qué queremos?

BUILT WITH

NMAP - ZENMAP

INTEGRANTES

SQLMAP

Sistema de Información de Estudiantes

(Institución universitaria Tecnológico de Antioquia)

BUILT WITH

http://builtwith.com/ es una aplicación online, la cual filtra la página y nos indica información del servidor, bases de datos, versiones y sobre que programa esta desarrollada.

BACKTRACK

Esta basado en una distribución de Ubuntu Linux, dirigida pruebas digitales forenses y de penetración, pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática. Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.

NMAP - ZENMAP

Es un programa de código abierto que sirve para efectuar rastreo de puertos. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.

WIRESHARK

sniffer,  es un programa informático que registra la información que envían los periféricos, así como la actividad realizada en un determinado ordenador.

Wireshark , antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software, protocolos y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca. Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete.

SQLMAP Y PYTHON

Es una herramienta de pruebas de penetración de código abierto, que automatiza el proceso de detectar y explotar los errores de inyección SQL y hacerse cargo de los servidores de bases de datos. 

CHROME - XSS

El Ataque de XSS consiste en inyectar código javascript y se puede realizar de dos manera; uno es persistente cuando el campo queda guardado en base de datos y es reflejado de nuevo al cliente o temporal se inyecta código durante lo que dure la sesión o mientras se encuentra localizado en la

misma pagina.

BACKTRACK

Learn more about creating dynamic, engaging presentations with Prezi