:\Information Gathering>Fase 1 de la Metodología de OWASP para la

realización de Hacking Ético en Aplicaciones Web

Msc. Henry Raúl González Brito

Metodólogo y Jefe de Proyectos de Hacking Ético para Aplicaciones WebDirección de Seguridad Informática | Vicerrectoría de Tecnología

Universidad de las Ciencias Informáticas

INTRODUCCIÓN A LA FASE DE RECOPILACIÓN DE INFORMACIÓN

Comprender las características de lainfraestructura donde está desplegada laaplicación Web es casi más importante queconocer la Aplicación Web Objetivo

En determinadas plataformas, un error deconfiguración puede comprometer la aplicaciónWeb tanto como un error en la aplicación Webpuede comprometer al servidor.

ACTIVIDADES

• OTG-INFO-001 | RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA

• OTG-INFO-002 | DESCUBRIMIENTO DEL WEBSERVER POR SU MARCA DIGITAL

• OTG-INFO-003 | REVISIÓN DE LOS FDR BASES DEL WEBSERVER PARA ENCONTRAR FUGAS DE INFORMACIÓN

• OTG-INFO-004 | DESCUBRIMIENTO DE APLICACIONES EN EL WEBSERVER

• OTG-INFO-005 | DESCUBRIMIENTO DE INFORMACIÓN EN COMENTARIOS Y METADATOS DE LAS PÁGINAS WEB

• OTG-INFO-006 | IDENTIFICACIÓN DE PUNTOS DE ENTRADA

• OTG-INFO-007 | REPRESENTACIÓN DE LOS FLUJOS DE EJECUCIÓN Y RUTAS

• OTG-INFO-008 | DESCUBRIMIENTO DE LA BASE TECNOLÓGICA DE DESARROLLO POR SU MARCA DIGITAL

• OTG-INFO-009 | DESCUBRIMIENTO DE LA VERSIÓN DEL CMS POR SU MARCA DIGITAL

• OTG-INFO-010 | REPRESENTACIÓN DE LA ARQUITECTURA DE LA APLICACIÓN WEB OBJETIVO

OTG-INFO-001 | RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA

Utilizar motores de búsqueda de Internet para encontrar información de interés sobre la ApWeb

Información expuesta por la

ApWeb directamente

Información expuesta por

desarrolladores y clientes en foros,

listas, etc.

OTG-INFO-002 | DESCUBRIMIENTO DEL WEBSERVER POR SU MARCA DIGITAL

Descubrir la versión y el servidor Web sobre el cual está funcionando la ApWeb

REVISAR EL HEADER DE LA RESPUESTA HTTP DEL SERVIDOR

REVISAR PATRONES DE CAMPOS Y RESPUESTAS EN LOS ENCABEZADOS

Determinar el tipo de servidor por el orden en

que ponen los campos en el encabezado

Determinar el tipo de servidor por la respuesta

que brindan a los encabezados mal formados

OTG-INFO-003 | REVISIÓN DE LOS FDR BASES DEL WEBSERVER PARA ENCONTRAR

FUGAS DE INFORMACIÓN

• Determinar las fugas de información sobre los Ficheros, Directorios y Rutas(FDR) base de la ApWeb.

• Determinar el listado de directorios que se prohíben para los Spiders, Robots y Crawlers(SRC).

<META name="robots" content="INDEX,NOFOLLOW">

OTG-INFO-004 | DESCUBRIMIENTO DE APLICACIONES EN EL WEBSERVER

• Determinar las ApWeb que pueden estar desplegadas en el Webserver de la ApWeb objetivo.

• Descubrir ApWeb sin configuraciones adecuadas de seguridad.

Escaneo de Puertos

AppWeb por defectos del WebServer

Motores de Búsqueda

OTG-INFO-005 | DESCUBRIMIENTO DE INFORMACIÓN EN COMENTARIOS Y METADATOS

DE LAS PÁGINAS WEB

Buscar comentarios realizados por los desarrolladores en el código de las páginas de la ApWeb objetivo.

• <META name=”Author” content=”Andrew Muller”><META http-equiv=”Expires” content=”Fri, 21 Dec 2012 12:34:56 GMT”>

• <META http-equiv=”Cache-Control” content=”no-cache”>

• <META name=”keywords” lang=”en-us” content=”OWASP, security, sunshine, lollipops”>

OTG-INFO-006 | IDENTIFICACIÓN DE PUNTOS DE ENTRADA

Comprender cómo se forman las peticiones y las respuestas típicas de la solicitud

Utilización de un Proxy

de Intercepción

Revisión de parámetros en la URL, header y

body de las peticiones y respuestas

Registrar tipo de

respuestas, tipo de

acceso, uso de SSL,

parte o no de un

proceso, cookies, etc

OTG-INFO-007 | REPRESENTACIÓN DE LOS FLUJOS DE EJECUCIÓN Y RUTAS

Realizar un mapa de las rutas de la ApWeb y comprender sus flujos de ejecución principales

Spider

Flujos de Datos

Flujos de datos

paralelos

OTG-INFO-008 | DESCUBRIMIENTO DE LA BASE TECNOLÓGICA DE DESARROLLO POR SU

MARCA DIGITAL

Determinar la base tecnológica sobre la cual está basada la ApWeb, se incluye CMS, lenguajes de programación, librerías y componentes

Encabezado HTTP (X-

Powered-By)

Código de la página

Cookies

Rutas

OTG-INFO-009 | DESCUBRIMIENTO DE LA VERSIÓN DEL CMS POR SU MARCA DIGITAL

Identificar el Content Management Systems (CMS) y su versión correspondiente

OTG-INFO-010 | REPRESENTACIÓN DE LA ARQUITECTURA DE LA APLICACIÓN WEB

Determinar la interrelación con Webserver, Webservice, otras ApWeb, infraestructura de servidores de bases de datos, repositorios, etc.

¿CONTRAMEDIDAS?

Contacto

Msc. Henry Raúl González Brito

Metodólogo y Jefe de Proyectos de Hacking Ético para Aplicaciones Web

Dirección de Seguridad Informática, Vicerrectoría de Tecnología

Universidad de las Ciencias Informáticas

Telf. 835 8060, Email: henryraul@uci.cu

henryraul@