Charla impartida por Manuel Fernández y Daniel Romero, ambos de la empresa Informática 64 durante el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.
2. Daniel Romero y Manuel Fernández:
Consultores de Seguridad en Informática64
Auditorias Internas/Externas Web
Auditorias Internas/Externas Redes y Sistemas
Análisis Forenses
Desarrollo de aplicaciones
Etcétera…
3. Veníamos hablar de...
◦ Fallos más comunes en auditorías web
◦ Como encontrarlos en Internet
◦ Casos reales que nos habíamos encontrado
◦ Etcétera...
Y vamos hablar de…
◦ La “mala suerte” que tuvieron nuestros vecinos del 3º con sus vacaciones
4. Detección de necesidades (contacto con el cliente)
◦ Obtención del número de portales a auditar
◦ Obtención del número de módulos a auditar
◦ Tiempo del proceso de auditoría
◦ Tipo de auditoría que se desea realizar (interna/externa)
◦ Etcétera...
Revisión Inicial del portal a auditar
◦ Obtención de productos, tecnologías, etcétera
FASE 1: Recogida y análisis de información
FASE 2: Detección y explotación de vulnerabilidades
Documentación
5. Nuestros vecinos decidieron reservar un viaje mediante una
agencia de viajes a través de internet.
Unos días después, recibieron una llamada de la agencia de
viajes indicándoles la anulación de la reserva, por un problema
de disponibilidad de plazas.
Y se quedaron sin vacaciones…
Decidieron ponerse a investigar sobre el portal web de la
agencia de viajes..
6.
7. Técnica (Fuzzing) Técnica utilizada para localizar directorios y
ficheros predecibles, a través de consultas automatizadas.
Buscaban: Directorios predecibles y confidenciales
Aprovechándose: Desconocimiento del programador
Resultados obtenidos:
8. Análisis del código fuente
Buscaban: Patrones a la hora de nombrar los directorios o
ficheros de la aplicación web, código comentado, includes,
etcétera.
Aprovechándose: Confianza/descuido del programador
Resultados obtenidos:
9. Técnica (Fuzzing) Técnica utilizada para localizar directorios y
ficheros predecibles, a través de consultas automatizadas.
Buscaban: Ficheros o carpetas que pudieran comprometer la
seguridad
Aprovechándose: Patrones en los directorios
Resultados obtenidos:
10. Técnica (BruteForcing) Técnica utilizada para automatizar los
intentos de inicio de sesión en base a diccionarios.
Buscaban: Obtener acceso a los paneles de Login localizados en
/w_admin/ y /w_atencioncliente/
Aprovechándose: No implementación de sistemas de seguridad
como sistemas de bloqueo o Captchas.
Resultados obtenidos:
11. Decidieron poner una reclamación a atención
al cliente
12. Técnica (XSS): Número dos en el TOP 10 de OWASP
Buscaban: Robo de cookies de sesión de administradores o
usuarios de atención al cliente.
Aprovechándose: Desconocimiento y mala programación del
desarrollador
14. Técnica (SQLi): Número uno en el TOP 10 de OWASP
Buscaban: Obtención de información confidencial de la Base de
datos
Aprovechándose: Desconocimiento y mala programación del
desarrollador
Resultados obtenidos:
15. Tabla Clientes: 12.000 registros (aprox) SHA1
Tabla Usuarios: 20 registros (aprox) MD5
Entre otras…
16. Cracking: Aplicar una función de hash sobre un diccionario de
palabras para comparar con el hash original
Buscaban: Crackear los hashes MD5
Aprovechándose: Falta de implementación de funciones de SALT
Resultados obtenidos:
10/19 + 8/19 + 6/19 = 11/19
17. Webshells: Son pequeñas aplicaciones web que permiten a un
atacante interactuar directamente con el sistema.
Buscaban: Obtener acceso al sistema de ficheros del servidor
web y ejecución de comandos.
◦ Ficheros de configuración
◦ Ficheros confidenciales
◦ Etcétera..
Aprovechándose: Mala implementación en el filtrado de la
subida de ficheros.
19. Elevación de privilegios (BBDD): Conexión a la Base de Datos a
con permisos de ‘root’.
Buscaban: Lectura, escritura y modificación de la Base de datos
Aprovechándose: Fugas de información en ficheros
Resultados obtenidos:
20. Existencia de multitud de exploits que afectan al kernel
2.6.31-14, vulnerable a escalada de privilegios…
21. Buscaban: Disfrutar de las vacaciones que habían planeado
Resultados obtenidos:
22.
23.
24.
25. Mucha información, poco conocimiento.
Poca seguridad en el portal web, siendo este la ‘carta de
bienvenida’ a cualquier usuario.
Ausencia de sistemas de seguridad alternativos (Ej: WAF,
IDS, IPS)
La criticidad de los puntos anteriores se incrementan
cuando el portal web permite la realización de compras o
movimientos de dinero.
26. Daniel Romero - dromero@informatica64.com
Manuel Fernández - mfernandez@informatica64.com