Pentesting web: Explotación de vulnerabilidades y vectorización de ataques a aplicaciones y servicios web

Abstract

[CA] Actualment la ciberseguretat és un dels camps de la informàtica més rellevants amb més impacte, que estudia com protegir els sistemes exposats a internet de ciberatacs i robatori d’informació. Hui en dia qualsevol informació tant de caràcter general com de caràcter personal, està emmagatzemada en les bases de dades dels servidors als quals s’accedeix diàriament. És molt important per a les organitzacions disposar d’unes mesures i proteccions de seguretat que garanteixen tant la disponibilitat com la integritat i la confidencialitat de les dades. Aquest treball pretén situar, detallar i explicar el context tecnològic en què es troba avui dia la seguretat informàtica, així com mostrar i conscienciar sobre els riscos i les amenaces existents en internet i la facilitat d’explotar les vulnerabilitats que es poden presentar a els sistemes. A més, s’enfoca a comprendre els principis bàsics del pentesting i entendre’n la importància d’aquest. D’altra banda, l’objectiu principal d’aquest projecte és enumerar, explicar i explotar les vulnerabilitats web més populars i les principals en els darrers anys, així com les més crítiques que s’han descobert al llarg del temps amb més rellevància i impacte. Es procedirà a l’explicació tant teòrica com pràctica dels atacs i les vulnerabilitats, i l’explotació d’aquestes en entorns controlats, per poder entendre’n detalladament el funcionament i com ha estat possible la seva explotació. Finalment, es proporcionaran els recursos necessaris per poder desenvolupar atacs, a més d’eludir possibles sanititzacions que apliquen els servidors web.

[ES] Actualmente la ciberseguridad es uno de los campos de la informática más relevantes con mayor impacto, que estudia cómo proteger los sistemas expuestos en internet de ciberataques y robo de información. Hoy en día cualquier información tanto de carácter general como de carácter personal, está almacenada en las bases de datos de los servidores a los que se accede diariamente. Es muy importante para las organizaciones disponer de unas mediadas y protecciones de seguridad que garanticen tanto la disponibilidad como la integridad y la confidencialidad de los datos. Este trabajo, pretende situar, detallar y explicar el contexto tecnológico en el que se encuentra hoy en día la seguridad informática, así como mostrar y concienciar sobre los riegos y las amenazas existentes en internet y la facilidad de explotar las vulnerabilidades que se pueden presentar en los sistemas. Además, se enfoca en comprender los principios básicos del pentesting y entender la importancia de este. Por otra parte, el objetivo principald de este proyecto, es enumerar, explicar y explotar las vulnerabilidades web más populares y las principales en los últimos años, así como las más críticas que se han descubierto a lo largo del tiempo con mayor relevancia e impacto. Se procederá a la explicación tanto teórica como práctica de los ataques y las vulnerabilidades, y la explotación de estas en entornos controlados, para poder entender detalladamente su funcionamiento y como ha sido posible su explotación. Finalmente se proporcionarán los recursos necesarios para poder desarrollar ataques, además de eludir posibles sanitizaciones que aplican los servidores web.

[EN] Cybersecurity is currently one of the most relevant fields of computer science with the greatest impact, which studies how to protect systems exposed on the Internet from cyberattacks and information theft. Nowadays any information, both general and personal, is stored in the databases of the servers that are accessed on a daily basis. It is very important for organizations to have security measures and protections that guarantee both the availability and the integrity and confidentiality of the data. This work, aims to situate, detail and explain the technological context in which computer security is today, as well as to show and raise awareness of the risks and threats on the Internet and the ease of exploiting vulnerabilities that can occur in the systems. It also focuses on understanding the basic principles of pentesting and its importance. On the other hand, the main objective of this project is to list, explain and exploit the most popular and main web vulnerabilities in recent years, as well as the most critical ones that have been discovered over time with greater relevance and impact. It will proceed to the theoretical and practical explanation of the attacks and vulnerabilities, and the exploitation of these in controlled environments, in order to understand in detail how they work and how it has been possible to exploit them. Finally, the necessary resources will be provided to be able to develop attacks, as well as to circumvent possible sanitizations applied by web servers.