OWASP AppSec                          The OWASP FoundationBrazil 2010, Campinas, SP                  http://www.owasp.org ...
The OWASP Foundation                                             http://www.owasp.orgAVISO LEGAL Todos os pontos de vista ...
Agenda •   Porque Levantar Informações? •   Padrões de Levantamento de Informações •   Web Network Devices – Casos Estudad...
Levantamento de Informações – 1º Passo Crítico                                                 4
Levantamento de Informações – Várias Faces na Web Redes Complexas na Web Periféricos e Dispositivos de Segurança na Web ...
Porque Levantamento de Informações? Determinação do Nível Crítico da estrutura interna . Parâmetros de requisições HTTP ...
Padrões de informação na Web são importantes    Porque ?      •   Quando o cabeçalho "servidor" é removido das respostas  ...
Funcionalidade de Dispositivos de Rede na Web      •   Server Cloaking      •   Setando parâmetros Set-Cookie com nomes ex...
Server Cloaking – Anti-Levant. de Informações   •   Camuflar as respostas do HTTP   •   Comportamento de variação em respo...
Casos Estudados  Quase 80% das assinaturas novas para a   detecção de vários dispositivos de rede             baseados na ...
Dispositivos EmbarcadosHTTP Response HeadersScrambling e Modificações1.Citrix NetScaler Devices2.Radware Devices3.Juniper ...
HTTP Manipulação de Header– Caso 1 (a)Comportamento em balanceador de cargaResponse Check 1HTTP/1.1 200 OKrnDate: Tue, 05 ...
HTTP Manipulação de Header – Caso 1 (b)Comportamento em balanceador de cargaRequest /Response CheckGET / HTTP/1.1Host   ex...
HTTP Manipulação de Header– Caso 1 (c)Response Check(Status-Line) HTTP/1.1 200 OKCteonnt-Length3705Content-Type applicatio...
HTTP Manipulação de Header – Caso 2Response Check 1HTTP/1.0 404 Not FoundrnXontent-Length: rnServer: thttpd/2.25b 29dec200...
HTTP Combinação de Header – Caso 3Response Check (200 OK & 301 Moved Permanently )Via: 1.1 kitjlb01Set-Cookie: rl-sticky-k...
HTTP Combinação de Header – Case 4Response Check (It Uses combination of both Digest And Basic Realm for Authentication)HT...
HTTP Combinação de Header– Caso 5Response Check (It uses Set_Cookie with “Barracuda” name parameter)HTTP/1.0 500 Internal ...
HTTP Combinação de Header– Caso 6Response Check (It uses Set_Cookie with “PLBSID” name parameter)HTTP/1.0 200 OKDate: Mon,...
HTTP Combinação de Header– Caso 7Response Check (It uses Set_Cookie with “PLBSID” name parameter)HTTP/1.0 200 OK Date: Wed...
Dispositivos EmbarcadosGerenciamento de Layout deCookies de Sessão e Truques1.Big IP Server Devices2.Juniper Devices
Cookie Layout – Dissecando Sessões IP HTTPIP Baseado em Gerenciamento de SessãoRequest / ResponseE:audit>nc example.com 80...
Cookie Layout – Dissecando Sessões IP HTTPIP Baseado em Gerenciamento de SessãoRequest / Response                         ...
Cookie Layout – Dissecando HTTP baseadoGerenciamento de Sessões e Geo-localizaçãoRequest / Response(Request-Line) GET / HT...
Detecção de Proxy1.Web Proxy Auto Detection Protocol – WPAD2.Proxy Auto Configuration (PAC)
Walk Through - WPAD Protocolo usado para descoberta automática de proxy na rede. O arquivo de configuração contém endere...
Walk Through – WPAD Unique Insecurities wpad.dat não é armazenado de forma “segura”. O que deve ser  mandatório ser coloc...
WPAD – Caso Estudado Exemplo - Verificação                          28
WPAD – Caso estudado Exemplo - Verificação                          29
WPAD – Case Study Exemplo – Exibindo Todas as Configurações de Proxy.                                                    ...
PAC – Caso Estudado Exemplo – Verificação                          31
PAC – Caso Estudado Example – Lot of Information                                 32
Serviços Anônimos1.Enumerando Usuários “On the Fly”2.Levantamento de Informações3.Ponto de Entrada para XSS em Dispositivo...
Serviços Abertos e Acessos Anôminos Open services such as FTP etc. Why open FTP? Why not a credential based access? Scr...
Acesso Anônimo em FTP – Como podemos ir mais fundo ?  É só isso?                                                       35
FTP – Default Design – Excesso de InformaçãoEnumerando usuários                                               36
FTP – Default Design – Ponto de Entrada para XSSTruque “Default” para buffer                                              ...
FTP – Default Design – Ponto de Entrada para XSSReferência :   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3684...
Piores Práticas de Design1. URL Based Detection – Binary Control2. Case Studies in the Wild
Pior Design sobre HTTP  Porque ?    •   Qualquer coisa está “aberta” na porta 80         •   Facilmente rola “Firewall byp...
Pior Design sobre HTTP – Caso Estudado (1) 1/3                                   Auth=yes                                 ...
Pior Design sobre HTTP – Caso Estudado (1) 2/3                                       Auth=no                              ...
Pior Design sobre HTTP – Caso Estudado (1) 3/3                                    FULL ACCESS                             ...
Free Web – Verificar Dispositivos de Rede1.Search engines como por exemplo Shodan2.Google Dorks
SHODANFerramenta automatizada e projetada para ajudar a levantarinformações dos alvos                                     ...
Google Dorks – Vida Longa… ao Google Hacks!!!                                                46
Por último, existe muito mais do que isso naWorld Wide Web.Nós apresentamos apenas um vislumbre.
Conclusão• Levantamento de Informações é a chave principal• Assinaturas exclusivas para levar à detecção• Variação de disp...
Obrigado• OWASP Brazil   http://www.owasp.org/index.php/AppSec_Brasil_2010_%28pt-br%29• SecNiche Security  http://www.secn...
Upcoming SlideShare
Loading in …5
×

OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Peripheral Devices

5,782 views
5,690 views

Published on

OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Peripheral Devices

Aditya K Sood , SecNiche Security
Mauro Risonho de Paula Assumpção

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,782
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Peripheral Devices

  1. 1. OWASP AppSec The OWASP FoundationBrazil 2010, Campinas, SP http://www.owasp.org Levantamento de Informação The Tao of Hacking - Detecção de vulnerabilidades em dispositivos de rede baseados em web Aditya K Sood , SecNiche Security (adi_ks@secniche.org) Mauro Risonho de Paula Assumpção (firebits@backtrack.com.br)
  2. 2. The OWASP Foundation http://www.owasp.orgAVISO LEGAL Todos os pontos de vista exclusivamente com base no trabalho realizado pela SecNiche Security. (C) SecNiche Security | http://www.secniche.org O conteúdo deve ser usado com a permissão do SecNiche 2
  3. 3. Agenda • Porque Levantar Informações? • Padrões de Levantamento de Informações • Web Network Devices – Casos Estudados • Proxy e Serviços Anônimos • Más Práticas de Design • Free Web • Conclusão 3
  4. 4. Levantamento de Informações – 1º Passo Crítico 4
  5. 5. Levantamento de Informações – Várias Faces na Web Redes Complexas na Web Periféricos e Dispositivos de Segurança na Web Claro, World Wide Web é totalmente randômica, dinâmica e muitas vezes fora de padrão. 5
  6. 6. Porque Levantamento de Informações? Determinação do Nível Crítico da estrutura interna . Parâmetros de requisições HTTP são manipulados. “301 movido permanentemente” é muitas vezes “código de resposta”. Os dispositivos usados podem ter seus IPs internos “spoofados”. Cada dispositivo tem seu próprio método de trabalho Usado para Set Cookie de uma maneira diferente . Usado para alterar o parâmetro de HTTP header. Analisar a mudança na HTTP headers. 6
  7. 7. Padrões de informação na Web são importantes Porque ? • Quando o cabeçalho "servidor" é removido das respostas • A maioria das assinaturas de detecção “somem” • Banner grabbing não fornece informações suficientes • Headers revelam menos informação 7
  8. 8. Funcionalidade de Dispositivos de Rede na Web • Server Cloaking • Setando parâmetros Set-Cookie com nomes exclusivos • Manipulação de resposta do Header • Diferentes combinações e sequência das respostas do HTTP 8
  9. 9. Server Cloaking – Anti-Levant. de Informações • Camuflar as respostas do HTTP • Comportamento de variação em resposta “Search Engine/Browser” • Entrega de conteúdo baseado em requisições do HTTP 9
  10. 10. Casos Estudados Quase 80% das assinaturas novas para a detecção de vários dispositivos de rede baseados na web. Vamos mostrar alguns dos novos padrões 10
  11. 11. Dispositivos EmbarcadosHTTP Response HeadersScrambling e Modificações1.Citrix NetScaler Devices2.Radware Devices3.Juniper Devices4.WatchGuard Firewall5.Barracuda Devices6.Profense7.BinaryCheck8.Muitos Outros..................
  12. 12. HTTP Manipulação de Header– Caso 1 (a)Comportamento em balanceador de cargaResponse Check 1HTTP/1.1 200 OKrnDate: Tue, 05 Jul 2007 17:05:18 GMTrnServer: ServerrnVary: Accept-Encoding,User-AgentrnContent-Type: text/html;charset=ISO-8859-1rnnnCoection: closern Citrix Net Scaler DevicesTransfer-Encoding: chunkedrnResponse Check 2send: GET /?Action=DescribeImages&AWSAccessKeyId=0CZQCKRS3J69PZ6QQQR2&Owner.1=084307701560&SignatureVersion=1&Version=2007-01- 03&Signature=<signature removed> HTTP/1.1rnHost:ec2.amazonaws.com:443rnAccept- Encoding: identityrnrn reply: HTTP/1.1 200 OKrn header: Server: Apache-Coyote/1.1 header: Transfer-Encoding: chunked header: Date: Thu, 15 Feb 2007 17:30:13 GMTsend: GET /?Action=ModifyImageAttribute&Attribute=launchPermission&AWSAccessKeyId =0CZQCKRS3J69PZ6QQQR2&ImageId=ami-00b95c69&OperationType=add&SignatureVersion=1& Timestamp=2007- 02-15T17%3A30%3A14&UserGroup.1=all&Signature=<signature removed> HTTP/1.1rnHost:ec2.amazonaws.com:443rnAccept-Encoding: identityrnrn reply: HTTP/1.1 400 Bad Requestrn header: Server:Apache-Coyote/1.1 header: Transfer-Encoding: chunked header:Date: Thu, 15 Feb 2007 17:30:14 GMT header: nnCoection: close 12
  13. 13. HTTP Manipulação de Header – Caso 1 (b)Comportamento em balanceador de cargaRequest /Response CheckGET / HTTP/1.1Host example.comUser-Agent Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12Accept text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Keep-Alive 115Connection keep-alive(Status-Line) HTTP/1.1 301 Moved PermanentlyDate Mon, 08 Nov 2010 19:49:23 GMT Citrix Net Scaler DevicesCneonction closeContent-Type httpd/unix-directorySet-Cookieuu=9mjpm8rn90Duu4CQwFOZbQPyOCTl4V6yoHENgcCxLaHVsZ3h5dQ99JSlTTGlpO4Tw/IehNChDcKgwZ4SkLD98SNSnGEggS3RM4FdkEVkaDIDUknUIRRI9fOEyYXz10uCA9bKIgdm+sIHNgpXl6YLh+ChPhIREU2wQKD9obDCvgGQ0Y3BwNGN8eNSvhGz0h6ypaRIUuPyHvWQ8paioPEtkaDRnSGAwr4RsLFNwcDRnSGDwr4Rs9IesqPUWCLgwh6yoME9ocDRnSGT4r4Rs9IesqPyHvLjom6Co=;expires=Thu, 30 Dec 2037 00:00:00 GMT;path=/;domain=.imdb.comSet-Cookie session-id=284-9245763-9527093;path=/;domain=.imdb.comSet-Cookie session-id-time=1289332163;path=/;domain=.imdb.comVary Accept-Encoding,User-AgentContent-Encoding gzipP3P policyref="http://i.imdb.com/images/p3p.xml",CP="CAO DSP LAW CUR ADM IVAo IVDo CONo OTPo OUR DELiPUBi OTRi BUS PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA HEA PRE LOC GOV OTC "Content-Length 20 13
  14. 14. HTTP Manipulação de Header– Caso 1 (c)Response Check(Status-Line) HTTP/1.1 200 OKCteonnt-Length3705Content-Type application/x-javascriptLast-Modified Mon, 21 May 2007 12:47:20 GMTAccept-Ranges bytesEtag"07c7f2ba69bc71:eda"Server Microsoft-IIS/6.0X-Powered-By ASP.NET Citrix Net Scaler DevicesDate Mon, 08 Nov 2010 19:55:47 GMTCache-Control privateContent-Encoding gzipContent-Length 1183(Status-Line) HTTP/1.1 200 OKDate Mon, 08 Nov 2010 19:55:47 GMTServer Microsoft-IIS/6.0X-Powered-By ASP.NETntCoent-Length27166Content-Type text/htmlCache-Control privateContent-Encoding gzipContent-Length 8276 14
  15. 15. HTTP Manipulação de Header – Caso 2Response Check 1HTTP/1.0 404 Not FoundrnXontent-Length: rnServer: thttpd/2.25b 29dec2003rnContent-Type: text/html; charset=iso-8859-1rnLast-Modified: Tue, 05 Jul 2010 17:01:12 GMTrnAccept-Ranges: bytesrnCache-Control: no-cache, no-storernDate: Tue, 05 Jun 2010 17:01:12 GMTrnContent-Length: 329rnConnection: closernHTTP/1.0 302 Moved TemporarilyAge: 0Date: Thu, 11 Mar 2010 12:01:55 GMT NetScaler & RadwareXontent-Length:Connection: Close DevicesVia: NS-CACHE-7.0: 11ETag: "KXIPDABNAPPNNTZS"Server: Microsoft-IIS/6.0X-Powered-By: ASP.NETX-Powered-By: PHP/5.1.6Location: http://216.99.132.20/smb/index.phpContent-type: text/htmlXontent-Length: rn:” 15
  16. 16. HTTP Combinação de Header – Caso 3Response Check (200 OK & 301 Moved Permanently )Via: 1.1 kitjlb01Set-Cookie: rl-sticky-key=0a4b16a1; path=/; expires=Tue, 09 Nov 2010 02:53:38 GMTVia: 1.1 prijlb01Set-Cookie: rl-sticky-key=c0a80a35; path=/; expires=Wed, 10 Nov 2010 09:42:14 GMT...Via: 1.1 kitjlb01Set-Cookie: rl-sticky-key=0a4b16a1; path=/; expires=Tue, 09 Nov 2010 02:53:38 GMTVia: 1.1 sdcdx38fSet-Cookie: rl-sticky-key=0a03090a1f96; path=/; expires=Mon, 08 Nov 2010 08:00:39 GMTVia: 1.1 rl2650Set-Cookie: rl-sticky-key=24dcf3f31e7ea5c3...Via: 1.1 DX3200UCI01Set-Cookie: rl-sticky-key=eb281a3dd74de7264188f6e2b4cd56c9; path=/; Juniper Networks Application Acceleration Platform 16
  17. 17. HTTP Combinação de Header – Case 4Response Check (It Uses combination of both Digest And Basic Realm for Authentication)HTTP/1.0 401 Authentication Requiredwww-authenticate: Digest realm="Firebox LocalUser",qop="auth",nonce="f2a0ee2ddeff937bb382f6f5e1d002cd"www-authenticate: Basic realm=" Configuration"Content-type: text/plainHTTP/1.0 401 Authentication Requiredwww-authenticate: Digest realm="SOHOConfiguration",qop="auth",nonce="1ec86c0e135261685b4cbf78986860d4"www-authenticate: Basic realm="SOHO Configuration"Content-type: text/plainHTTP/1.0 401 Authentication Requiredwww-authenticate: Digest realm="LocalUser",qop="auth",nonce="2bb1bdded2ed59dd6ca961acabd43e2e"www-authenticate: Basic realm="X5 Configuration"Content-type: text/plain Watch Guard Firewall SOHO Devices Firebox 17
  18. 18. HTTP Combinação de Header– Caso 5Response Check (It uses Set_Cookie with “Barracuda” name parameter)HTTP/1.0 500 Internal Server ErrorDate: Thu, 11 Nov 2010 05:52:54 GMTServer: Microsoft-IIS/6.0X-Powered-By: ASP.NETX-AspNet-Version: 2.0.50727Cache-Control: privateContent-Type: text/html; charset=utf-8Content-Length: 5145Set-Cookie: BNI__BARRACUDA_LB_COOKIE=df0fa8c000005000; Path=/; Max-age=1020HTTP/1.0 400 Bad RequestContent-Type: text/htmlDate: Thu, 11 Nov 2010 05:02:23 GMTConnection: closeContent-Length: 39Set-Cookie: BARRACUDA_LB_COOKIE=192.168.155.11_80; path=/HTTP/1.0 200 OKDate: Thu, 11 Nov 2010 10:29:51 GMTServer: BarracudaServer.com (Windows)Connection: Keep-Alive Barracuda DevicesContent-Type: text/htmlCache-Control: No-CacheTransfer-Encoding: chunkedSet-Cookie: BarracudaDrive=3.2.1; expires=Wed, 07 Sep 2011 10:29:51 GMT 18
  19. 19. HTTP Combinação de Header– Caso 6Response Check (It uses Set_Cookie with “PLBSID” name parameter)HTTP/1.0 200 OKDate: Mon, 01 Nov 2010 02:59:47 GMTContent-length: 9783Content-Type: text/htmlVia: 1.1 217.22.135.104Set-Cookie: PLBSID=0.s1; path=/ Usually, Server headerCache-Control: no-storeVary: Accept-Encoding is used as mark pointHTTP/1.0 200 OKDate: Mon, 01 Nov 2010 02:59:47 GMT for detecting Profense.Content-length: 9783Content-Type: text/html If “Server” header isVia: 1.1 217.22.135.104Set-Cookie: PLBSID=0.s2; path=/ missing “PLBSID” isCache-Control: no-storeVary: Accept-Encoding the parameter to look for. 19
  20. 20. HTTP Combinação de Header– Caso 7Response Check (It uses Set_Cookie with “PLBSID” name parameter)HTTP/1.0 200 OK Date: Wed, 25 Aug 2010 08:45:45 GMTContent-Type: text/html; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveVary: Accept-EncodingLast-Modified: Wed, 25 Aug 2010 08:45:46 GMTX-BinarySEC-Via: frontal2.re.saas.example.comHTTP/1.0 301 Moved PermanentlyContent-length: 0Content-language: frX-binarysec-cache: saas.example.com Connection: keep-aliveLocation: http://www.binarysec.fr/cms/index.htmlDate: Tue, 24 Nov 2009 22:49:01 GMT BinarySec WAF is nowContent-type: text/htmlContent-Type: text/html; charset=utf-8 using its own responseTransfer-Encoding: chunkedConnection: keep-alive headers “X-BinarySEC”Vary: Accept-EncodingLast-Modified: Wed, 25 Aug 2010 08:45:46 GMTX-BinarySEC-Via: frontal2.re.saas.examplecom 20
  21. 21. Dispositivos EmbarcadosGerenciamento de Layout deCookies de Sessão e Truques1.Big IP Server Devices2.Juniper Devices
  22. 22. Cookie Layout – Dissecando Sessões IP HTTPIP Baseado em Gerenciamento de SessãoRequest / ResponseE:audit>nc example.com 80GET / HTTP/1.1HOST:example.comHTTP/1.1 302 Object movedServer: Microsoft-IIS/5.0Date: Mon, 08 Nov 2010 17:41:56 GMTX-Powered-By: ASP.NETLocation: http://www.example.com/us/index.aspContent-Length: 159Content-Type: text/htmlSet-Cookie: ASPSESSIONIDCCCCSBAA=AHLDLDDANEKJOOPHGOHAAKBA; path=/Cache-control: privateSet-Cookie: http.pool=167880896.20480.0000; path=/<head><title>Object moved</title></head><body><h1>Object Moved</h1>This object may be found <aHREF="http://www.example.com/us/index.asp">here</a>.</body> 22
  23. 23. Cookie Layout – Dissecando Sessões IP HTTPIP Baseado em Gerenciamento de SessãoRequest / Response Big IP Server DeviceE:audit>nc example.com 80GET / HTTP/1.1HOST:example.comHTTP/1.1 302 Object movedSet-Cookie: http.pool=167880896.20480.0000; path=/Converting to Binary: Binary ( cookie ) Part == 00001010000000011010100011000000Converting to blocks of 4 0000101000000001101010001100000000001010  1000000001  1 192.168.1.1010101000  16811000000  192 23
  24. 24. Cookie Layout – Dissecando HTTP baseadoGerenciamento de Sessões e Geo-localizaçãoRequest / Response(Request-Line) GET / HTTP/1.1Host www.example.netUser-Agent Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12Accept text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language en-us,en;q=0.5Accept-Encodinggzip,deflateAccept-Charset ISO-8859-1,utf-8;q=0.7,*;q=0.7 Juniper Network DeviceKeep-Alive 115Connection keep-alive(Status-Line)HTTP/1.1 200 OKAccept-Ranges bytesContent-Type text/html; charset=UTF-8Date Mon, 08 Nov 2010 18:48:02 GMTConnection keep-aliveSet-Cookie rl-sticky-key=b159fd3052f1f60eea47e0dc56d57d62; path=/; expires=Mon, 08 Nov 2010 19:35:22 GMTSet-CookieCT_Akamai=georegion=264,country_code=US,region_code=MI,city=EASTLANSING,dma=551,msa=4040,areacode=517,county=INGHAM,fips=26065,lat=42.7369,long=-84.4838,timezone=EST,zip=48823-48826,continent=NA,throughput=vhigh,bw=1000,asnum=237,location_id=0; path=/; domain=example.net 24
  25. 25. Detecção de Proxy1.Web Proxy Auto Detection Protocol – WPAD2.Proxy Auto Configuration (PAC)
  26. 26. Walk Through - WPAD Protocolo usado para descoberta automática de proxy na rede. O arquivo de configuração contém endereços Intranet inerentemente . WPAD roda em DHCP Behavior. [DHCPINFORM Query] Não requer DNS lookup se DHCP emitir os pedidos DHCP Query through Uniform Resource Locator [URL] DNS Query through wpad.dat , o arquivo wpad está localizado do diretório do root. Função FindProxyForURL() 26
  27. 27. Walk Through – WPAD Unique Insecurities wpad.dat não é armazenado de forma “segura”. O que deve ser mandatório ser colocado em um “virtual directory”. No referrer check on the request to wpad.dat file. Varredura genérica para detectar a presença do wpad.dat Quando uma requisição DHCP não é emitida o DNS é requerido. Rogue DHCP server on LAN pode resultar em ataques diferentes. Wpad.dat usa JavaScript para setar configurações de proxy em browsers. 27
  28. 28. WPAD – Caso Estudado Exemplo - Verificação 28
  29. 29. WPAD – Caso estudado Exemplo - Verificação 29
  30. 30. WPAD – Case Study Exemplo – Exibindo Todas as Configurações de Proxy. 30
  31. 31. PAC – Caso Estudado Exemplo – Verificação 31
  32. 32. PAC – Caso Estudado Example – Lot of Information 32
  33. 33. Serviços Anônimos1.Enumerando Usuários “On the Fly”2.Levantamento de Informações3.Ponto de Entrada para XSS em DispositivosVulneráveis.
  34. 34. Serviços Abertos e Acessos Anôminos Open services such as FTP etc. Why open FTP? Why not a credential based access? Scrutinize the deployment strategy whether it has to be applied at internet or intranet. Why not to put these services on VPN considering the business need. Open services are tactically exploited to gain information and reconnaissance. These can be used to scan third party targets too. 34
  35. 35. Acesso Anônimo em FTP – Como podemos ir mais fundo ? É só isso? 35
  36. 36. FTP – Default Design – Excesso de InformaçãoEnumerando usuários 36
  37. 37. FTP – Default Design – Ponto de Entrada para XSSTruque “Default” para buffer 37
  38. 38. FTP – Default Design – Ponto de Entrada para XSSReferência : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3684 38
  39. 39. Piores Práticas de Design1. URL Based Detection – Binary Control2. Case Studies in the Wild
  40. 40. Pior Design sobre HTTP Porque ? • Qualquer coisa está “aberta” na porta 80 • Facilmente rola “Firewall bypass”. • URL patterns é uma forma crítica de regra • Sequência de Controle Binário é usado nos dispositivos de rede • [YES|NO] [0|1] – A maior parte dos dispostivos de rede aceitam bypass para autenticação Exemplos: • http://router.ip/enblUpnp.cgi?enblUpnp=1 | 0 • http://192.168.1.1/application.cgi?authenticated=yes | no 40
  41. 41. Pior Design sobre HTTP – Caso Estudado (1) 1/3 Auth=yes 41
  42. 42. Pior Design sobre HTTP – Caso Estudado (1) 2/3 Auth=no 42
  43. 43. Pior Design sobre HTTP – Caso Estudado (1) 3/3 FULL ACCESS 43
  44. 44. Free Web – Verificar Dispositivos de Rede1.Search engines como por exemplo Shodan2.Google Dorks
  45. 45. SHODANFerramenta automatizada e projetada para ajudar a levantarinformações dos alvos 45
  46. 46. Google Dorks – Vida Longa… ao Google Hacks!!! 46
  47. 47. Por último, existe muito mais do que isso naWorld Wide Web.Nós apresentamos apenas um vislumbre.
  48. 48. Conclusão• Levantamento de Informações é a chave principal• Assinaturas exclusivas para levar à detecção• Variação de dispositivos de rede baseado em http• Práticas de “Pior design” em uso 48
  49. 49. Obrigado• OWASP Brazil http://www.owasp.org/index.php/AppSec_Brasil_2010_%28pt-br%29• SecNiche Security http://www.secniche.org/• Backtrack USA http://www.backtrack-linux.org• Backtrack Brazil http://www.backtrack.com.br 49

×