Foro de elhacker.net

Hola a todos. No sabía donde escribir este tema pero consideré que era más apropiado en este apartado.

Tengo que hacer un proyecto (en el grado superior) que solamente tengo 3 semanas para hacerlo, con un compañero que ... por desgracia, me ha tocado.

He pensado hacer algo que mezcle algo que le guste a él con lo que me gusta a mi y me han hablado, cosa que no caí en aquel momento que es Seguridad Web. Mis nociones en seguridad es simple la verdad y en web es mayor en plan algo de html, joomla y tal. La verdad tengo que exponer una propuesta o si no tendré que hacer algo de joomla y web que la verdad no me es un graaan reto, si no me gustaría hacer algo ni muy dificil ni muy facil si no un intermedio tirando a dificil e intentar completarlo debidamente bien. Todavía tengo tiempo, más bien 3 meses para darle la propuesta.

Por ello expongo mi situación y que vosotros me podais aconsejar que tipo de proyecto podría hacer a base de mis expectativas y conocimientos para proponerlo a la junta de profesores de mi clase y a mi compañero que seguramente se negará, pero si me niega acabaré por decidir hacerlo solo y a ver que pasa.

Gracias a todos de antemano.

Con el tiempo que tienes, se me ocurre que puedas hacer una herramienta sencilla para detectar vulnerabilidades comunes del tipo XSS y SQLi (para que no sea demasiado complicado para ti solo, que abarque solamente esos 2 tipos de vulnerabilidades). y podrías hacerlo con Python o Perl y el módulo Mechanize (que esta disponible tanto en python como perl) así como también, utilizar BeautifulSoup para el parseo de contenidos web, en el caso de que te haga falta.
Otra idea que se me ocurre, es utilizar librerías como scrapy (para python) y crear un crawler que te permita extraer contenidos de un sitio web de forma recursiva (visitando todos los enlaces y sacando el contenido HTML).
Son solamente un par de ideas que te pueden valer y con las que podrás aprender bastante.

Tema: Seguridad Web
Objetivo: Proyecto de fin de curso
Requerimiento: No muy facíl y no muy dificíl

Cuando hablamos de seguridad web casi siempre estamos pensando en la seguridad de nuestros servidores web que publican algún servicio en la WWW y olvidamos la seguridad que se debe dar a los navegadores.

¿Por qué no un plugin que evite la ejecución de script de todo tipo? Chorem, Internet Explorer y Firefox ya no permitirán la ejecución de Java runtime por cuestiones de seguridad, tiene muchos agujeros y es muy vulnerable.

Pudieras hacer uno que bloquee los plugins más inseguros y así mismo manejar un blacklist que sea consultado para ver la inseguridad del script a ejecutar.

Me mola la idea de Platanito. El único problema que mi curso que es grado superior es de administrador de sistemas y tal entonces scripts no se ha tocado igual que programación que hemos tocado bastamente php y asp.net, lo que más se ha tocado es html. La creación de script es o 0 o casi nada (ya esta hecho por el profe). Pero creo que si le echo cada día un vistazo algunos apuntes para hacer scripts para saber hacer lo del plugin creo que podría intentar hacer, solo es cuestión de ponerse y echar vistazos hasta Mayo que empieza el tiempo para hacer este proyecto.

Gracias por ayudarme, se agradece.

Necesitaria saber otros proyectos de seguridad web que se asimile a lo que dije anteriormente, por favor.

Serviria de algo si pudieras poner el temario de tu curso y ver de que se trata y qué temas viste

Este es el 2º y ultimo año de mi curso.

Seguridad: seguridad fisica, logica y legislación, seguridad activa y acceso remoto, cortafuegos y servidores intermediarios, alta disponibilidad.

Web: Lenguajes de guiones de servidor (ahora tamos haciendo asp) e implantacion de gestores de contenido (joomla)

administracion de s.o: administración avanzada de s.o. y automatización de tascas y lenguajes de guiones.

implantación de s.o. implantación de programario especifico, seguridad rendimiento y recursos.

bases de datos es algebra y mysql pero haciendo consultas y relacionarlas.

y servicios en red es montar un dns primario, secundario y un router y luego un dhcp (todo en debian). - Cosa que solo 3 - 4 personas tiene hecho porque a nadie le va.

Luego el año pasado (1º curso) hicimos montaje de equipo, que es una placa base y conceptos así, también redes con el packet tracer y algo de configuración por comando a un router cisco. Y algo de php que se me da mal. Lo demás es base de datos con acces y s.o. básico. Gracias.

Cuando hablas de proyecto de fin de curso ¿estas hablando tambien de un laboratorio o solo un documento con muchas hojas donde explica tu proyecto?

Si solo es un proyecto documentado estaria interesante uno de implantación de s.o. implantación de programario especifico, seguridad rendimiento y recursos pero con el tema de instalación desatendida y/o en un dominio

Documento con muchas hojas del proyecto y al final presentarlo al público lo que has hecho y su función y tal. Lo que pasa que mi compañero quiere hacer algo de web y yo algo de seguridad y un compañero de clase dijo "Seguridad Web" y por eso quería preguntar aqui si hay algo a base de nuestros conocimientos. Tendriamos 3 semanas para hacerlo y tal pero al menos si es algo que podemos nosotros, estupendo. Si me aconsejas algo así que podamos nosotros para hacer, la documentación para realizar tal proyecto la buscaría y ya si veo que podría hacerlo y mi compañero igual pues proponerlo a la junta de profesores de mi curso y esperar a ser aceptado, pero al menos ya compartiria la documentación con mi compañero para que echara un vistazo de vez en cuando a partir de ahora asi no tiene excusa el tío.

Pues entonces si vierón joomla puedes trabajar un proyecto de seguridad a la BD

El problema es que ni a él ni a mi nos va bien Base de Datos (es más coñazo...).

Entonces mmmmmmmm pues maneja la seguridad de un sitio web en donde presentes aspectos simples como riesgo, vulnerabilidad, confidencialidad, integridad, disponibilidad y amenaza.

Y necesitaré saber de algunos programas para saber todo eso ¿no? Parece facil a primera vista seguramente me equivoque y sea más que facil jaja.

1o. Montas un servidor web (apache, cherokee, IIS, el que gustes)
2o. Montas una página web, un sitio web, un portal o un campus virtual (el que tu gustes)
3o. Comienzas a investigar diferentes tipos de ataques que pudiera recibir tu pagina web (pagina web = todo lo que mencione en el punto 2o.)
4o. Sobre los diferentes ataques que puede recibir tu pagina web investigas  por lo menos lo minimo que debe tener una página web (pagina web = todo lo que mencione en el punto 2o.) como seguridad y protección.
5o. Lo documentas y lo presentas en ante el grupo de profesores y/o maestros

P.D. También puedes enfocarte a un solo ataque y documentar su defensa y demostrarla

P.D.2 ¿algun forero que guste participar? ahi les va una pregunta ¿a quién se ataca "a las paginas web o los servidores web?

Vale el Lunes se lo propongo a mi compañero y si no le mola te digo u os digo algo por aqui. Se agradece tu aportación Platanito.

Aqui estamos de nuevo, veamos.

A mi compañero le convence a medias la idea pero dice que puede que nos rechace la propuesta, lo que necesitaría ahora es un poco de información de esto para mostrarle lo que tendriamos que hacer y que se haga una idea, no quiero que tenga excusas de "Es que no tengo tiempo y es que no sé nada". Alguna web o sitio aconsejable para encontrar sobre lo que me has puesto? Muchas gracias.

Seguridad en sitios web - Inteco (http://www.inteco.es/file/WbpsPPREE7ltQ69apst6xw)

Gracias a ver si el chico empieza a espavilarse.