Daniel Romero
Manuel Fernández
Daniel Romero y Manuel Fernández:
Consultores de Seguridad en Informática64
Auditorias Internas/Externas Web
Auditorias Internas/Externas Redes y Sistemas
Análisis Forenses
Desarrollo de aplicaciones
Etcétera…
Veníamos hablar de... ◦ Fallos más comunes en auditorías web
◦ Como encontrarlos en Internet
◦ Casos reales que nos habíamos encontrado
◦ Etcétera...
Y vamos hablar de… ◦ La “mala suerte” que tuvieron nuestros vecinos del 3º con sus vacaciones
Detección de necesidades (contacto con el cliente) ◦ Obtención del número de portales a auditar
◦ Obtención del número de módulos a auditar
◦ Tiempo del proceso de auditoría
◦ Tipo de auditoría que se desea realizar (interna/externa)
◦ Etcétera...
Revisión Inicial del portal a auditar ◦ Obtención de productos, tecnologías, etcétera
FASE 1: Recogida y análisis de información
FASE 2: Detección y explotación de vulnerabilidades
Documentación
Nuestros vecinos decidieron reservar un viaje mediante una agencia de viajes a través de internet.
Unos días después, recibieron una llamada de la agencia de viajes indicándoles la anulación de la reserva, por un problema de disponibilidad de plazas.
Y se quedaron sin vacaciones…
Decidieron ponerse a investigar sobre el portal web de la agencia de viajes..
Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.
Buscaban: Directorios predecibles y confidenciales
Aprovechándose: Desconocimiento del programador
Resultados obtenidos:
Análisis del código fuente
Buscaban: Patrones a la hora de nombrar los directorios o ficheros de la aplicación web, código comentado, includes, etcétera.
Aprovechándose: Confianza/descuido del programador
Resultados obtenidos:
Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.
Buscaban: Ficheros o carpetas que pudieran comprometer la seguridad
Aprovechándose: Patrones en los directorios
Resultados obtenidos:
Técnica (BruteForcing) Técnica utilizada para automatizar los intentos de inicio de sesión en base a diccionarios.
Buscaban: Obtener acceso a los paneles de Login localizados en /w_admin/ y /w_atencioncliente/
Aprovechándose: No implementación de sistemas de seguridad como sistemas de bloqueo o Captchas.
Resultados obtenidos:
Decidieron poner una reclamación a atención al cliente
Técnica (XSS): Número dos en el TOP 10 de OWASP
Buscaban: Robo de cookies de sesión de administradores o usuarios de atención al cliente.
Aprovechándose: Desconocimiento y mala programación del desarrollador
Resultados obtenidos:
Técnica (SQLi): Número uno en el TOP 10 de OWASP
Buscaban: Obtención de información confidencial de la Base de datos
Aprovechándose: Desconocimiento y mala programación del desarrollador
Resultados obtenidos:
Tabla Clientes: 12.000 registros (aprox) SHA1
Tabla Usuarios: 20 registros (aprox) MD5
Entre otras…
Cracking: Aplicar una función de hash sobre un diccionario de palabras para comparar con el hash original
Buscaban: Crackear los hashes MD5
Aprovechándose: Falta de implementación de funciones de SALT
Resultados obtenidos:
10/19 + 8/19 + 6/19 = 11/19
Webshells: Son pequeñas aplicaciones web que permiten a un atacante interactuar directamente con el sistema.
Buscaban: Obtener acceso al sistema de ficheros del servidor web y ejecución de comandos.
◦ Ficheros de configuración
◦ Ficheros confidenciales
◦ Etcétera..
Aprovechándose: Mala implementación en el filtrado de la subida de ficheros.
Resultados obtenidos:
Elevación de privilegios (BBDD): Conexión a la Base de Datos a con permisos de ‘root’.
Buscaban: Lectura, escritura y modificación de la Base de datos
Aprovechándose: Fugas de información en ficheros
Resultados obtenidos:
Existencia de multitud de exploits que afectan al kernel 2.6.31-14, vulnerable a escalada de privilegios…
Buscaban: Disfrutar de las vacaciones que habían planeado
Resultados obtenidos:
Mucha información, poco conocimiento.
Poca seguridad en el portal web, siendo este la ‘carta de bienvenida’ a cualquier usuario.
Ausencia de sistemas de seguridad alternativos (Ej: WAF, IDS, IPS)
La criticidad de los puntos anteriores se incrementan cuando el portal web permite la realización de compras o movimientos de dinero.
Daniel Romero - [email protected]
Manuel Fernández - [email protected]