viernes, 19 de marzo de 2021

De la grieta al derrumbamiento

Fuente de la imagen: instantánea de la ponencia
Si eres follower de este sitio, sabes que mi corazón es de Empresariales (ver “De corazón Diplomado[1]), pero también habrás detectado que soy un frustrado informático (ver “Metodología para la programación informática[2]) y desde hace alguna que otra década me encuentro interesado por la ciberseguridad; textos como “Seguridad cibernética y amenazas informáticas”, “Itinerarios educativos en ciberseguridad”, “Reforzar la capacidad de ciberseguridad”, “La ciberseguridad en redes 5G”, “Ciberseguridad en los despachos”, “Configuración de la escena en el delito cibernético”…[3] son prueba de ello.

Pues bien, invitado por Izary (Gracias), en la tarde del jueves estuve asistiendo al evento organizado por la Escuela Internacional de Posgrados bajo el atrayente título “De la grieta al derrumbamiento” e impartido por el experto Pablo Martínez Lázaro, que trató sobre Hacking Web desde un enfoque práctico, con la idea central de mostrar a los participantes cómo encontrando vulnerabilidades aparentemente leves como SSRF, XSS o LFI, se puede llegar a escalar estas vulnerabilidades para comprometer completamente el servidor web.

El ponente trabajó los siguientes conceptos básicos de hacking web: OWASP, enumeración y búsqueda de parámetros, juntar vulnerabilidades para comprometer el servidor entero y una PoC final sobre la elevación de una vulnerabilidad común como LFI a una vulnerabilidad crítica RCE para comprometer completamente el servidor. Al final de la ponencia se propició un interesante turno de preguntas que fueron atendidas por Pablo. En síntesis, una tarde bien aprovechada. Fuente de la imagen: captura de pantalla de un instante del webinar. Elaboración propia.
_________________________________
[1] Velasco Carretero, Manuel. De corazón Diplomado. 2007. Sitio visitado el 19/03/2021.
[2] Velasco Carretero, Manuel. Metodología para la programación informática. 2021. Sitio visitado el 19/03/2021.
[3] Si quieres acceder a todos los textos editados en este sitio sobre ciberseguridad, clickea AQUÍ.