# Workshop OWASP Top 10

El objetivo del workshop es facilitar una breve introducción a la seguridad informática y las vulnerabilidades web más frecuentes desde el punto de vista ofensivo.

### Índice del workshop

1. <a style="color:#000;text-decoration:none;cursor:pointer" href="#intro">Breve introducción al proyecto OWASP Top 10</a>
  * Breve introducción informal al concepto de vulnerabilidad
  * Breve introducción informal a la seguridad informática
  * Breve introducción informal a OWASP
  * Breve introducción informal al proyecto OWASP Top 10
  * Breve introducción informal al modelo cliente-servidor
  * Las páginas web son, en su mayoría, ficheros de texto
  * El protocolo HTTP es el lenguaje que usamos para solicitar estos ficheros de texto
<br><br>
2. <a style="color:#000;text-decoration:none;cursor:pointer" href="#http">Primeros pasos con Kali Linux</a>
  * Breve introducción informal a la distribución Kali Linux
  * Programas y scripts útiles en Kali para detectar y sacar rédito de vulnerabilidades web
<br><br>
3. <a style="color:#000;text-decoration:none;cursor:pointer" href="#frontend">Verificando vulnerabilidades de OWASP Top 10 con Kali Linux</a>
  
  * El protocolo HTTP es el lenguaje que usamos para pedir esos ficheros
  * A1 - Injection
  * A2 - Broken Authentication
  * A3 - Sensitive Data Exposure
<br><br>

### Referencias usadas

1. Páginas web
  * [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)

#### Breve introducción informal al concepto de vulnerabilidad

Los programas los hacen personas y los usan personas. Los fallos que cometen las personas que hacen los programas son fallos de diseño y se conocen como bugs. Los fallos que cometen las personas que usan los programas suelen ser fallos de configuración. Los fallos de diseño suelen estar asociados un programa o producto como, por ejemplo, fallos en el sistema operativo Windows o fallos en el programa abobe reader. Cuando un investigador detecta una vulnerabilidad en un producto de software como Microsoft Windows, suele reportarla al fábricante para que solucione el fallo y, una vez que el fábricante saca una actualización para arreglar el fallo, la vulnerabilidad pasa a ser conocida y se publica en una base de datos como [Common Vulnerabilities and Exposures](https://cve.mitre.org/):

<img src="img/cve_database.png" style="float:left">
<div style="clear:both"></div><br>

Estas vulnerabilidades conocidas de los productos suelen tener un número de CVE asociado y pueden ser consultadas para obtener información de la vulnerabilidad o para saber cómo arreglarla:

<img src="img/cve_database_1.png" style="float:left">
<div style="clear:both"></div><br>

Los fallos que comenten las personas que usan los programas suelen ser fallos de configuración como, por ejemplo, dejarse las contraseñas por defecto. Existen páginas web como [está](https://cirt.net/passwords):

<img src="img/default_passwords.png" style="float:left">
<div style="clear:both"></div><br>

donde pueden consultarse las contraseñas por defecto los productos de muchos fabricantes. Estas vulnerabilidades son importante porque si son descubiertas por personas con malas intenciones, pueden ocasionar daños importantes.

#### Breve introducción informal a la seguridad informática

La seguridad informática trata de protegernos de las personas con malas intenciones que se aprovechan de estas vulnerabilidades para ocasionar daños. En concreto, sus objetivos son asegurar confidencialidad, integridad y disponibilidad de la información o sistemas de información. Vamos a ver significa cada uno de estos objetivos:

  * La **confidencialidad** es restringir el acceso a la información o servicios a personas que no hayan sido autorizadas a usar ese servicio o a acceder a esa información. Por ejemplo, si tengo un diario online o fotos comprometedoras en internet, es asegúrame que sólo quién yo quiera lea el contenido del diario o vea mis fotos.
  * La **integridad** es asegurarnos que, cuando se transmite una información, el destinatario recibe exactamente esa información. Es decir, que la información no haya sido modificada durante el envió de la misma. Por ejemplo, asegurar que si enviamos una carta diciendo “Te quiero”, el cartero no la modifique y ponga “No te quiero”. Si no … ¡vaya faena!
  * La **disponibilidad** es asegurarse que los servicios del cliente estarán disponibles cuando los necesiten sus usuarios. Por ejemplo, asegurarse que la tienda online de El Corte Inglés estará disponible cuando una persona quiera comprar.
  
#### Breve introducción informal a OWASP

[Open Web Application Security Project (OWASP)](https://www.owasp.org/index.php/Main_Page) es una comunidad, sin ánimo de lucro, que desde el año 2001 está dedicada a mejorar la seguridad de los productos de software del mundo entero. Inicialmente estuvo enfocada en mejorar la seguridad en las aplicaciones web. Entre los miembros que dirigen los esfuerzos de esta organización, se encuentran perfiles profesionales de empresas como Mozilla, McAfee o Intel. Entre los proyectos más importantes que tiene OWASP están los siguientes:

  * [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) enfocado en las 10 vulnerabilidades más frecuentes que podemos encontrarnos en aplicaciones web. Es el proyecto en el que se centra este workshop
  * [OWASP Testing Project](https://www.owasp.org/index.php/OWASP_Testing_Project) nos facilita una guía para auditar aplicaciones web en busca de vulnerabilidades conocidas
  * [OWASP Software Assurance Maturity Model (SAMM)](https://www.owasp.org/index.php/OWASP_SAMM_Project) para ayudar a las organizaciones a diseñar e implementar un modelo estratégico para la seguridad de las aplicaciones

#### Breve introducción informal al proyecto OWASP Top 10

El proyecto [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) nos facilita un documento que continene información de los 10 tipos de vulnerabilidades más frecuentes en aplicaciones web. Desde que el proyecto comenzó en 2003, la lista ha ido cambiando a lo largo de los años atendiendo a la evolución en la arquitectura de las aplicaciones web, el feedback recibido por la organización por parte de la comunidad y a los siguientes factores de riesgo:

<img src="img/owasp_top_10_riesgos.png" style="float:left">
<div style="clear:both"></div><br>

  * **Explotabilidad** es la probabilidad de que un atacante pueda aprovecharse de la vulnerabilidad para hacer daño
  * **Prevalencia de la vulnerabilidad** es la probabilidad de que la vulnerabilidad este presente en la aplicación
  * **Detección de la vulnerabilidad** es la probabilidad de que un atacante detecte la vulnerabilidad
  * **Impacto técnico** es el impacto que se produciría si la vulnerabilidad se explota con éxito

La última actualización de 2017 trae algunos cambios en comparación con la lista de 2013:

<img src="img/owasp_top_10.png" style="float:left">
<div style="clear:both"></div><br>

Como la lista es vulnerabilidades web, vamos a hacer una breve introducción informal a distintos componentes del ecosistema web.

#### Breve introducción informal al modelo cliente-servidor

Cuando queremos acceder a una página web, abrimos un navegador, como Google [Chrome](https://www.google.es/chrome/index.html) o Mozilla [Firefox](https://www.mozilla.org/es-ES/firefox/), y buscamos la página web en un buscador o simplemente tecleamos la dirección de la página a la que queremos acceder. La página web que deseamos visualizar se encuentra otro ordenador al que llamamos servidor y, como hemos sido nosotros, desde nuestro navegador, quienes hemos solicitado la web, eso nos convierte en clientes. La mayoría de servicios en internet funcionan de acuerdo a un modelo que se llama: [cliente-servidor](https://es.wikipedia.org/wiki/Cliente-servidor). Este modelo lo forman 2 componentes principales:

  * cliente (demanda y consume servicios)
  * servidor (da servicio a los clientes)

Para extrapolarlo a la vida real, pensemos en una cafetería. En la cafetería el camarero sería el servidor y una persona que entre a tomar un café sería el cliente. La persona pide un café al camarero y el camarero se lo sirve. Si hay muchas personas por cada camarero, probablemente sintamos que se degrada el servicio. Y si hay muchos camareros y pocos clientes, probablemente el servicio no sea rentable. Hay servicios que pueden ser más complicados. Por ejemplo, un bar de copas. En el bar de copas, si una persona solicita un bebida alcohólica, el camarero antes de servirla tiene que asegurarse que la persona tiene la edad legal para consumirla verificando su documento de identidad. Hemos puesto de ejemplo un bar de copas, pero existen muchos tipos de servicios, por ejemplo, correos es un servicio en el que una persona (cliente) puede escribir una carta y solicitar que se envié certificada a otra persona. Telepizza es otro servicio a donde una persona (cliente) puede pedir una pizza para que el servicio a domicilio de [Telepizza](https://es.wikipedia.org/wiki/Telepizza) se la lleve a casa.

En internet, funcionan las cosas del mismo modo, sólo que los servicios que solicitamos son muchas veces diferentes a los que usamos en la vida real. Por ejemplo, en internet, la persona solicita enviar un correo electrónico o ver una página web.

#### Las páginas web son, en su mayoría, ficheros de texto

Cuando hablamos de páginas web, normalmente nos referimos a lo que los navegadores nos muestran en la pantalla cuando accedemos a una página web. Pero esto no es así. Las páginas web son simplemente documentos texto y el navegador web es un programa que pone estos ficheros de texto en un formato visualmente más agradable. Veamos un ejemplo. Imaginemos que tenemos un archivo en el ordenador llamado *horas_trabajadas.html* que tiene el siguiente texto: