Grode

María Isabel Rojo

Abril 2014

Índice

Fases de un ataque

• Reconocimiento

• Escaneo

• Ganar Acceso

• Mantener acceso

• Borrar huellas

Clasificación de los tipos de ataques

• Autenticación

• Autorización

• Ataque en la parte cliente

• Ejecución de comandos

• Revelación de información

Tipos de ataques - Autenticación

• Fuerza bruta

• Autenticación insuficiente

• Débil validación de contraseñas

Tipos de ataques - Autorización

• Predicción de credenciales/sesión

• Autorización insuficiente

• Expiración de sesión insuficiente

• Fijación de sesión

Tipos de ataques – Ataques en la parte cliente

• Suplantación de contenido. Phising.

• Cross-site scripting

Tipos de ataques – Ejecución de comandos

• Desbordamiento de buffer

• Ataques de formato de cadena

• Inyección LDAP

• Comandos del sistema operativo

• Inyección de código SQL

• Inyección de código SSI

• Inyección XPath

Tipos de ataques – Revelación de información

• Indexación de directorio

• Fuga de información

• Path Transversal

• Localización de recursos predecibles

Tipos de ataques – Ataques lógicos

• Abuso de funcionalidad

• Denegación de servicio

• Anti-automatización insuficiente

• Validación de proceso insuficiente

Qué es Grode

• Grode es una herramienta que realiza una primera validación inicial sobre el nivel de seguridad de una web.

• Implementa varias técnicas.

• Uso sencillo e intuitivo.

• Resultados no incluyen información delicada.

• Pensado para desarrolladores, auditores o clientes preocupados por la seguridad de su web.

Técnicas implementadas

• Inyección SQL

• Mediante una batería de pruebas realiza validaciónes de vulnerabilidades en inyección SQL por las dos vías existentes:

– URL

– Formularios

Técnicas implementadas

• URL

– Si la web introducida por el usuario contiene variables del tipo: ?id=12345 se lanzan batería de pruebas del tipo:

• ?id=‘

• ?id=-1

– Grode realiza la comparación de resultados devueltos.

Técnicas implementadas

• Formulario

– Si la web introducida por el usuario contiene formularios Grode hace:

• Limpia la web dejando solo el formulario

• Deduce la web de destino del formulario.

• Saca las diferentes variables del mismo.

• Monta la web del tipo ?id=123456789.

• Lanza la batería de pruebas con ?id=-1 e ?id=‘.

• Analiza los resultados.

Técnicas implementadas

• Inyección SQL– Finalmente Grode devuelve un pequeño informe

donde se indica si la web tiene un nivel de vulnerabilidad:• Bajo

• Medio

• Alto

– Esto pone en alerta al especialista que puede realizar ya test mas profundos viendo cuanta información esta afectada por esa técnica.

Técnicas implementadas

• Indexación de directorio– Grode detecta si el sitio web solicitado tiene

archivo robots.txt

– Si tiene dicho archivo analiza cuantas lineas con formato Disallow: existen en el mismo.

– Monta cada linea con formato: www.url-victima.com/webDelRobots.php

– Analiza si existe la linea

– Devuelve la cabecera HTML sobre el estado de la petición

Técnicas implementadas

• Indexación de directorio– Los archivos robots.txt pueden ser realmente

extensos.

– Grode realiza de forma automática la auditoría sobre los mismos informando al auditor de que webs tienen contenido y su administrador no quiere que se vean.

– Da en un tiempo muy rápido un informe al auditor de que archivos están siendo ocultos y pueden ser vulnerables.

Técnicas implementadas

• Fuga de información– Grode aprovecha las diferentes pruebas que se

realizan durante la validación de otras técnicas para validar si sus diferentes respuestas contienen información sensible.

– Realiza la comparación buscando información sensible del tipo:• Devolución de errores con directorios.

• Devolución de errores con consultas o información de la BBDD.

• Devolución de errores con información sensible.

¿Qué aporta Grode?

• Pruebas de seguridad sencillas, solo se necesita una url.

• Resultados indicativos, explican el problema y nivel pero no muestra información sensible para usos indebidos.

• Primer test inicial sencillo para que auditores puedan focalizar sus esfuerzos en evaluar técnicas que devuelvan nivel de vulnerabilidad.

Versión Beta Grode

• Implementa las técnicas indicadas anteriormente:

– Inyección SQl

– Indexación de directorio

– Fuga de información.

• Ya disponible en www.grode.es

Futuro de Grode

• Software libre. Se liberará el código una vez finalizado el PFG.

• Implementación de más técnicas, las primera previstas:– Google Hacking. Conexión con la API de Google y

sincronización con los encontrado en robots.txt

– Inyección LDAP completa: Las pruebas actuales ya lanzan baterías que valen para esto, completarlo.

– Inyección Xpath.

Grode en los medios

• Video sobre Google Hacking donde se presenta Grode y su primera funcionalidad de análisis de robots.txt.

• Se ha presentado Grode al concurso de ISACA para jóvenes.