information gathering | owasp
TRANSCRIPT
:\Information Gathering>Fase 1 de la Metodología de OWASP para la
realización de Hacking Ético en Aplicaciones Web
Msc. Henry Raúl González Brito
Metodólogo y Jefe de Proyectos de Hacking Ético para Aplicaciones WebDirección de Seguridad Informática | Vicerrectoría de Tecnología
Universidad de las Ciencias Informáticas
INTRODUCCIÓN A LA FASE DE RECOPILACIÓN DE INFORMACIÓN
Comprender las características de lainfraestructura donde está desplegada laaplicación Web es casi más importante queconocer la Aplicación Web Objetivo
En determinadas plataformas, un error deconfiguración puede comprometer la aplicaciónWeb tanto como un error en la aplicación Webpuede comprometer al servidor.
ACTIVIDADES
• OTG-INFO-001 | RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA
• OTG-INFO-002 | DESCUBRIMIENTO DEL WEBSERVER POR SU MARCA DIGITAL
• OTG-INFO-003 | REVISIÓN DE LOS FDR BASES DEL WEBSERVER PARA ENCONTRAR FUGAS DE INFORMACIÓN
• OTG-INFO-004 | DESCUBRIMIENTO DE APLICACIONES EN EL WEBSERVER
• OTG-INFO-005 | DESCUBRIMIENTO DE INFORMACIÓN EN COMENTARIOS Y METADATOS DE LAS PÁGINAS WEB
• OTG-INFO-006 | IDENTIFICACIÓN DE PUNTOS DE ENTRADA
• OTG-INFO-007 | REPRESENTACIÓN DE LOS FLUJOS DE EJECUCIÓN Y RUTAS
• OTG-INFO-008 | DESCUBRIMIENTO DE LA BASE TECNOLÓGICA DE DESARROLLO POR SU MARCA DIGITAL
• OTG-INFO-009 | DESCUBRIMIENTO DE LA VERSIÓN DEL CMS POR SU MARCA DIGITAL
• OTG-INFO-010 | REPRESENTACIÓN DE LA ARQUITECTURA DE LA APLICACIÓN WEB OBJETIVO
OTG-INFO-001 | RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA
Utilizar motores de búsqueda de Internet para encontrar información de interés sobre la ApWeb
Información expuesta por la
ApWeb directamente
Información expuesta por
desarrolladores y clientes en foros,
listas, etc.
OTG-INFO-002 | DESCUBRIMIENTO DEL WEBSERVER POR SU MARCA DIGITAL
Descubrir la versión y el servidor Web sobre el cual está funcionando la ApWeb
REVISAR EL HEADER DE LA RESPUESTA HTTP DEL SERVIDOR
REVISAR PATRONES DE CAMPOS Y RESPUESTAS EN LOS ENCABEZADOS
Determinar el tipo de servidor por el orden en
que ponen los campos en el encabezado
Determinar el tipo de servidor por la respuesta
que brindan a los encabezados mal formados
OTG-INFO-003 | REVISIÓN DE LOS FDR BASES DEL WEBSERVER PARA ENCONTRAR
FUGAS DE INFORMACIÓN
• Determinar las fugas de información sobre los Ficheros, Directorios y Rutas(FDR) base de la ApWeb.
• Determinar el listado de directorios que se prohíben para los Spiders, Robots y Crawlers(SRC).
<META name="robots" content="INDEX,NOFOLLOW">
OTG-INFO-004 | DESCUBRIMIENTO DE APLICACIONES EN EL WEBSERVER
• Determinar las ApWeb que pueden estar desplegadas en el Webserver de la ApWeb objetivo.
• Descubrir ApWeb sin configuraciones adecuadas de seguridad.
Escaneo de Puertos
AppWeb por defectos del WebServer
Motores de Búsqueda
OTG-INFO-005 | DESCUBRIMIENTO DE INFORMACIÓN EN COMENTARIOS Y METADATOS
DE LAS PÁGINAS WEB
Buscar comentarios realizados por los desarrolladores en el código de las páginas de la ApWeb objetivo.
• <META name=”Author” content=”Andrew Muller”><META http-equiv=”Expires” content=”Fri, 21 Dec 2012 12:34:56 GMT”>
• <META http-equiv=”Cache-Control” content=”no-cache”>
• <META name=”keywords” lang=”en-us” content=”OWASP, security, sunshine, lollipops”>
OTG-INFO-006 | IDENTIFICACIÓN DE PUNTOS DE ENTRADA
Comprender cómo se forman las peticiones y las respuestas típicas de la solicitud
Utilización de un Proxy
de Intercepción
Revisión de parámetros en la URL, header y
body de las peticiones y respuestas
Registrar tipo de
respuestas, tipo de
acceso, uso de SSL,
parte o no de un
proceso, cookies, etc
OTG-INFO-007 | REPRESENTACIÓN DE LOS FLUJOS DE EJECUCIÓN Y RUTAS
Realizar un mapa de las rutas de la ApWeb y comprender sus flujos de ejecución principales
Spider
Flujos de Datos
Flujos de datos
paralelos
OTG-INFO-008 | DESCUBRIMIENTO DE LA BASE TECNOLÓGICA DE DESARROLLO POR SU
MARCA DIGITAL
Determinar la base tecnológica sobre la cual está basada la ApWeb, se incluye CMS, lenguajes de programación, librerías y componentes
Encabezado HTTP (X-
Powered-By)
Código de la página
Cookies
Rutas
OTG-INFO-009 | DESCUBRIMIENTO DE LA VERSIÓN DEL CMS POR SU MARCA DIGITAL
Identificar el Content Management Systems (CMS) y su versión correspondiente
OTG-INFO-010 | REPRESENTACIÓN DE LA ARQUITECTURA DE LA APLICACIÓN WEB
Determinar la interrelación con Webserver, Webservice, otras ApWeb, infraestructura de servidores de bases de datos, repositorios, etc.
¿CONTRAMEDIDAS?
Contacto
Msc. Henry Raúl González Brito
Metodólogo y Jefe de Proyectos de Hacking Ético para Aplicaciones Web
Dirección de Seguridad Informática, Vicerrectoría de Tecnología
Universidad de las Ciencias Informáticas
Telf. 835 8060, Email: [email protected]
henryraul@