The Queen of Security

Manuel Alén Sánchez@manualensanchez

manuelalensanchez7@gmail.com

Time Based Blind SQL

Injection

Blind LD

AP Injecti

on

LDAP Injection

SQL Injection (1998)

• And 1=1• and ascii(substr(version[],1,1))>0• ‘OR 1=1;/*• */--

Defacement

El Bug XSS

•Búsqueda de modificar el comportamiento de la página•Código visible para el cliente•Atacante inyecta códigos inseguros en la App Web

Bug Presidencia española

Mi Base de Datos en Google• ext:inc

intext:mysql_connect• Permiten ver

Usuario y contraseña del Admin• Permite modificar

la base de datos

Metadatos

Qué son los Metadatos• Información que nos muestran otros datos sobre un

documento compartido por servidores tales como:• el usuario que ha creado el documento, • la ruta para localizarlo• el sistema operativo, software e impresoras utilizadas, • los emails por los que se ha compartido (en el caso que

se haya enviado por adjunto), los servidores y las contraseñas de donde se haya compartido el documento, en el caso de haberlo hecho

¿Dónde se pueden encontrar?

• Documentos ofimáticos• Word• Excel• PowerPoint• OpenOffice

• Fotos• Vídeos

Tipo de Metadatos

• Información que nos den datos sobre el documento • Información oculta. Información interna y no editable• Información Perdida. Información que se encuentra en

los documentos por errores o negligencias humanas y que desde un principio no estaban destinados a acabar allí

Terminal Applications

Where?

RDP

USING BING

Secure?

Playing The Piano

Código penal

¿Esto es una medida de seguridad?

¿Medidas de Seguridad?

Las Paswords por defecto ¿lo son?

¿LO CUALO?

Tipos de Passwords• Contraseñas por defecto• Contraseñas repetidas• Contraseñas Sencillotas• 123456• Admin• Qawsedrftg• 1q2w3e4r5t6y

• Contraseñas con un…MÉTODO INFALIBLE

Fácil de encontrar en SHODAN

• Buscando lo “private” o “public”

¿Hace Calor o soy yo?

Tema de Contraseñas. Nivel Máster

•Ipconfig

Fallos• Tecnología• Jefes• Informáticos• Usuario• Sobre todo Pereza

Demos: Man In The Middle

Terminal ApplicationsMetadatos

Blind SQL Injection

¿Soluciones?

DALE DURO!!!!!

Pero…Nos olvidamos de Penny

Caso “rafa1”

• NO se DIFUNDEN datos• NO me cuelo en su

wifi• NO me cuelo en su

torre de PC• NO busco sus

passwordshttp://elladomalvado.blogspot.com.es/2014/03/viendo-usuario-y-contrasena-del-senor.html

La Contraseña en Google

La Gente no quiere PRIVACIDAD

Caso “mujercita1”• Más de 900 fotos en Tuenti• Más de 200 Fotos en Facebook• Más de 500 fotos en Twitter• Más de 90 fotos en Instagram

¿Sab

e to

das la

s fo

tos

que tie

ne en

INTE

RNET?

TOTAL: 1690 Fotos

¿Yo DIFUNDO o ROBO datos?

Además en Mac no hay virus

Pues toma dos cazos

Buscas Delincuentes, no Hackers

¿Preguntas?• Manuel Alén Sánchez• manualensanchez7@gmail.com• manunewboards@gmail.com• @manualensanchez• http://elladomalvado.blogspot.com.es/