Auditoria de

seguridad con
Samuri
GNU/LINUX









1 6 / 0 3 / 2 0 1 4
TSU. Roberto Leal Ortegon
TSU. Russell Perez Oxte
Testing de seguridad a un sitio web, utilizan samuri
como sistema operativo y las herramientas que este
proporciona.

Contenido

Introduccin ........................................................................................................................................ 2
Objetivo ............................................................................................................................................... 2
Objetivos especficos ....................................................................................................................... 2
Instalacin de samuri ........................................................................................................................ 2
Paso 1.- Descargar el sistema operativo ......................................................................................... 3
Paso 2.- Mquina Virtual ................................................................................................................. 3
Paso 3.- Creando la mquina virtual ............................................................................................... 4
Instalacin de una aplicacin web ...................................................................................................... 6
Pruebas de auditoria de seguridad ..................................................................................................... 6
Injection Flaws ................................................................................................................................. 6
Inyecciones sencillas ................................................................................................................... 6
Inyecciones con samuri ............................................................................................................. 7
Cross Site ................................................................................................................................... 9
Conclusiones ..................................................................................................................................... 11
Referencias ........................................................................................................................................ 12







Introduccin

Samuri es un sistema operativo basado en GNU/Linux pre configurado para
realizar testing web, cuenta con las herramientas gratuitas para realizar todas las pruebas
y/o ataques necesarios a un sitio web. En este documento se llevara a cabo una auditoria
de seguridad aun sitio web activo propio de los autores de este escrito, se har mencin
de los pasos para la instalacin del sistema operativo samuri y el proceso de testing,
obtngase a realizar estas pruebas en sitios web que no sean de su propiedad o no tenga
los permisos necesarios de los autores y/o propietarios de la web.

Objetivo

Realizar una auditora de seguridad al sitio web de la empresa la panchita
dulces y condimentos utilizando software libre.

Objetivos especficos

Considerar las memores herramientas de software libre para realizar las pruebas.
Realizar pruebas de injection flaws y cross-site scripts.
Instalacin de samuri

Es este documento y por usos prcticos se llevara a cabo una emulacin de
samuri atreves de una mquina virtual.
Paso 1.- Descargar el sistema operativo
Como se hizo mencin al comienzo de este documento se emulara el sistema
operativo por tal motivo se descarga samuri de la siguiente fuente la cual ya es una
mquina virtual lista para correr en VmWare.
http://sourceforge.net/projects/samurai/
Si el lector desea obtener samuri de otro tipo de presentacin favor de dirigirse a
la pgina oficial del proyecto.
http://samurai.inguardians.com/
Paso 2.- Mquina Virtual

En estas pruebas se utilizara un software de virtualizacin corriendo sobre
Windows 7 de 64 bits. Dicho programa es VmWare.
Una vez descargado VmWare, es necesario ejecutar el archivo llamado setup.exe,
lanzara la instalacin del software.



Para obtener una instalacin estndar de la estacin de virtualizacin basta con
seguir los sencillos pasos de instalacin a acostumbrados en Windows.
Nota: el software utilizado por los autores de este escrito es software legal con licencias
compradas y otorgada a los creadores de este documento por la empresa Impuls@web.

Paso 3.- Creando la mquina virtual

Descomprima el archivo que descarga desde a web de samuri en el directorio de
su eleccin, ejecute VmWare, en el men file seleccione la opcin Open o precio ctrl + o,
en cuadro de dialogo dirjase al directorio en donde descomprimi la samuri y seleccione
abrir.
VmWare reconocer los archivos como una maquina virtual instalada y lista para
correr en su pc.

Seleccione SamuraiWTF 2.1 en el rbol de la izquierda y arranque la mquina
virtual con el botn verde que se encuentra en la parte superior.

Samuri est corriendo en la mquina virtual.



Instalacin de una aplicacin web

En este documento se trabaja con un sitio web desarrollado por Impuls@Web para
la empresa la panchita dulces y condimentos, en la actualidad este sitio se encuentra
activo en la url www.lapanchita.com . el lector puede utilizar los sitos de prueba escritos
en la documentacin oficial de Samuri favor de leer la documentacin.
http://samurai.inguardians.com/

Pruebas de auditoria de seguridad

Injection Flaws

Para comenzar con las pruebas dirija a la URL del sitio a auditar en este caso ser
www.lapanchita.com/Admin

Inyecciones sencillas

Este tipo de inyeccin se basa en el conocimiento hacer del gestor de base de
datos en este caso MySql, consiste en ingresar caracteres claves en los campos para
obtener un resultado positivo, dicho en otras palabras se tratara siempre de obtener
registro de la base de datos manipulando la clusula where de una consulta. Primero se
intenta con las comillas simples y dobles que son caracteres especiales para MySql con
esto se puede obtener la consulta a la base de datos siempre y cuando el servidor no este
configurado para no enviar estos errores, este caso la configuracin del servidor no
permite el acceso a la consulta.

Ahora se intentara la inyeccin con valores que manipulen la clausula where, la
sentencia a ingresar en el campo de usuario ser or 1=1 en donde la comilla simple
cierrra la sentencia where del campo usuario, el or abre la posibilidad una nueva
sentencia o un parmetro mas y el 1=1 siempre retornara true debido a que 1 si es igual a
1, de esta forma se puede obtener el objetos sql del sitio. En este caso la sentencia
resulta inservible, las posibles causas son las validaciones tipo escape en la consulta o el
lenguaje de programacin del sitio.

Inyecciones con samuri

En el men de aplicaciones seleccione samuri Discovery Automated w3af
gui Introduzca la URL del sitio web que le gustara probar (lapanchita.com/Admin): y luego
ampliar las opciones en el cuadro plugin. Desplac hacia abajo hasta encontrar el plugin
webspider, y y seleccione. En el panel de la derecha, se mostrarn las opciones para el
plugin webspider. Marque onlyForward y seleccione Guardar configuracin. Ahora, vaya
de nuevo a la parte superior del cuadro de plugins, y ampliar de audith. Desplcese hacia
abajo hasta sqli y seleccione. Luego presione start, la interfaz gui comenzara con el
anlisis esto puede tardar incluso horas tenga paciencia.

Una vez completado el anlisis, se puede ver en la ficha Resultados y ver que
w3af encontraron

No se encontraron vulnerabilidades de tipo inyeccin sql en este sitio con la
herramienta w3af gui.
Nota: con este scan se pueden observar Click_Jacking los cuales son pasos de
parmetros por URL las IDs que se ven en el recuadro de la derecha.
Cross Site
Es un ataque de inyeccin de cdigo malicioso para su posterior ejecucin que
puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador.
Sucede cuando un usuario mal intencionado enva cdigo malicioso a la aplicacin web y
se coloca en forma de un hipervnculo para conducir al usuario a otro sitio web,
mensajera instantnea o un correo electrnico. As mismo, puede provocar una negacin
de servicio
Generalmente, si el cdigo malicioso se encuentra en forma de hipervnculo es
codificado en HEX (basado en el sistema de numeracin hexadecimal, base 16) o algn
otro, as cuando el usuario lo vea, no le parecer sospechoso. De esta manera, los datos
ingresados por el usuario son enviados a otro sitio, cuya pantalla es muy similar al sitio
web original.


Se ingresa un script en el campo nombre y se actualiza la pgina.

El script se ejecuta por lo tanto este sitio es vulnerable al ataque de tipo cross -site


Sin embargo no todas las pginas son vulnerables.



Conclusiones

El sistema operativo samuri integra un considerable nmero de herramientas
para el testing y/o auditoria de seguridad, una herramienta poderosa. En estas pruebas se
finaliza concluyendo que el sitio web lapanchita.com presenta vulnerabilidad a los ataques
cross-site.

















Referencias

WEB APPLICATION SECURITY TESTING WITH SAMURAI
http://www.linuxjournal.com/article/10874?page=0,1
QU ES Y CMO OPERA UN ATAQUE DE CROSS-SITE SCRIPTING (XSS)?
http://www.seguridad.unam.mx/documento/?id=35