la dura vida del pentester

Daniel Romero

Manuel Fernández

Daniel Romero y Manuel Fernández:

Consultores de Seguridad en Informática64

Auditorias Internas/Externas Web

Auditorias Internas/Externas Redes y Sistemas

Análisis Forenses

Desarrollo de aplicaciones

Etcétera…

Veníamos hablar de... ◦ Fallos más comunes en auditorías web

◦ Como encontrarlos en Internet

◦ Casos reales que nos habíamos encontrado

◦ Etcétera...

Y vamos hablar de… ◦ La “mala suerte” que tuvieron nuestros vecinos del 3º con sus vacaciones

Detección de necesidades (contacto con el cliente) ◦ Obtención del número de portales a auditar

◦ Obtención del número de módulos a auditar

◦ Tiempo del proceso de auditoría

◦ Tipo de auditoría que se desea realizar (interna/externa)

◦ Etcétera...

Revisión Inicial del portal a auditar ◦ Obtención de productos, tecnologías, etcétera

FASE 1: Recogida y análisis de información

FASE 2: Detección y explotación de vulnerabilidades

Documentación

Nuestros vecinos decidieron reservar un viaje mediante una agencia de viajes a través de internet.

Unos días después, recibieron una llamada de la agencia de viajes indicándoles la anulación de la reserva, por un problema de disponibilidad de plazas.

Y se quedaron sin vacaciones…

Decidieron ponerse a investigar sobre el portal web de la agencia de viajes..

Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.

Buscaban: Directorios predecibles y confidenciales

Aprovechándose: Desconocimiento del programador

Resultados obtenidos:

Análisis del código fuente

Buscaban: Patrones a la hora de nombrar los directorios o ficheros de la aplicación web, código comentado, includes, etcétera.

Aprovechándose: Confianza/descuido del programador

Resultados obtenidos:

Técnica (Fuzzing) Técnica utilizada para localizar directorios y ficheros predecibles, a través de consultas automatizadas.

Buscaban: Ficheros o carpetas que pudieran comprometer la seguridad

Aprovechándose: Patrones en los directorios

Resultados obtenidos:

Técnica (BruteForcing) Técnica utilizada para automatizar los intentos de inicio de sesión en base a diccionarios.

Buscaban: Obtener acceso a los paneles de Login localizados en /w_admin/ y /w_atencioncliente/

Aprovechándose: No implementación de sistemas de seguridad como sistemas de bloqueo o Captchas.

Resultados obtenidos:

Decidieron poner una reclamación a atención al cliente

Técnica (XSS): Número dos en el TOP 10 de OWASP

Buscaban: Robo de cookies de sesión de administradores o usuarios de atención al cliente.

Aprovechándose: Desconocimiento y mala programación del desarrollador

Resultados obtenidos:

Técnica (SQLi): Número uno en el TOP 10 de OWASP

Buscaban: Obtención de información confidencial de la Base de datos

Aprovechándose: Desconocimiento y mala programación del desarrollador

Resultados obtenidos:

Tabla Clientes: 12.000 registros (aprox) SHA1

Tabla Usuarios: 20 registros (aprox) MD5

Entre otras…

Cracking: Aplicar una función de hash sobre un diccionario de palabras para comparar con el hash original

Buscaban: Crackear los hashes MD5

Aprovechándose: Falta de implementación de funciones de SALT

Resultados obtenidos:

10/19 + 8/19 + 6/19 = 11/19

Webshells: Son pequeñas aplicaciones web que permiten a un atacante interactuar directamente con el sistema.

Buscaban: Obtener acceso al sistema de ficheros del servidor web y ejecución de comandos.

◦ Ficheros de configuración

◦ Ficheros confidenciales

◦ Etcétera..

Aprovechándose: Mala implementación en el filtrado de la subida de ficheros.

Resultados obtenidos:

Elevación de privilegios (BBDD): Conexión a la Base de Datos a con permisos de ‘root’.

Buscaban: Lectura, escritura y modificación de la Base de datos

Aprovechándose: Fugas de información en ficheros

Resultados obtenidos:

Existencia de multitud de exploits que afectan al kernel 2.6.31-14, vulnerable a escalada de privilegios…

Buscaban: Disfrutar de las vacaciones que habían planeado

Resultados obtenidos:

Mucha información, poco conocimiento.

Poca seguridad en el portal web, siendo este la ‘carta de bienvenida’ a cualquier usuario.

Ausencia de sistemas de seguridad alternativos (Ej: WAF, IDS, IPS)

La criticidad de los puntos anteriores se incrementan cuando el portal web permite la realización de compras o movimientos de dinero.

Daniel Romero - dromero@informatica64.com

Manuel Fernández - mfernandez@informatica64.com