Vulnerability Team

• Detección y reconocimiento (fingerprinting) de sistemas concretos.
• Búsqueda de servidores expuestos con vulnerabilidades específicas, directorios sensibles, mensajes de error, etc.
• Recopilación de usuarios, contraseñas, cuentas de correo electrónico y demás información sensible.
• Búsqueda de páginas con formularios de acceso.
• scanner CGI.
• proxy de navegación web.
• Uso de su caché para navegar de forma casi anónima.

• Site: busca el término especificado únicamente sobre el dominio o el sitio indicado.

• Link: busca enlaces que apunten a un determinado dominio o dirección. Para utilizarlo correctamente será necesario pasarle un nombre de dominio completo con su extensión. No son válidas el uso de palabras o frases para este operador.

• Intitle: busca una cadena de texto dentro de una página web. Este operador es muy útil cuando se quiere buscar un texto en concreto dentro de la página y no en la URL o en el título.

• Inurl: similar al anterior operador, busca el término pero esta vez si se encuentra en la dirección web (URL).

• Intext: busca el término indicado en cualquier lugar de la página.

• Inanchor: busca el término en el texto del enlace (link).

• Cache: busca el término especificado en la versión en caché del sitio que Google almacena en sus servidores.

• Filetype: busca archivos con una extensión determinada. Hay múltiples extensiones soportadas por Google como .pdf, .doc, .xls, .txt, .ppt, etc. Para buscar los tipos de extensiones se puede recurrir a la página http://www.google.com/help/faq_filetypes.html#what

• Insubject: busca una expresión concreta en el subject de un mensaje dentro de la búsqueda en grupos de noticias de Google.

• La búsqueda "inurl:passwd filetype:txt site:isc.org" proporciona todos los archivos que se encuentren en la URL con nombre PASSWD y con extensión TXT acotados al sitio ISC.ORG.

• La búsqueda ""SquirrelMail version 1.4.4" inurl:src ext:php"" proporciona todos los sitios que disponen de la versión de webmail SquirrelMail 1.4.4. que presenta diversas vulnerabilidades.

• La búsqueda "ws_ftp.log filetype:log" facilita acceder al archivo de log de servidor ftp WS_FTP de diferentes sitios.

• La búsqueda "VNC Desktop inurl:5800" proporciona diversos servidores que presentan una vulnerabilidad conocida en VNC.

• La búsqueda "site:google.com -site:www.google.com" permite encontrar diversos subdominios en el site de Google.

• La búsqueda "allinurl:exchange/logon.asp" proporciona sitios con el acceso al correo Exchange vía Web (OWA) habilitado.

• La búsqueda "intitle:index.of "Parent Directory"" proporciona diversos sitios web con una configuración incorrecta que permite acceder al listado de la estructura de directorios de la aplicación web (directory listing).
  
  Hay multitud de ejemplos en la Google Hacking Database - GHDB o en libro titulado "Google Hacking for Penetration Testers" del mismo autor, Johnny Long, que cuenta con más de 500 páginas relacionadas con google hacking.

User-agent: googlebot
Disallow: /directorioquesedeseadeshabilitar/archivos
No indexar:


No almacenar en caché:

Ayer publicamos como el Software de Tercero (third party software) debilita la seguridad de los equipos con Windows debido a la gran cantidad de vulnerabilidades que se van descubriendo y la incapacidad de los desarrolladores y fabricantes de ir sacando "fixes" o parches lo antes posible para mantener las aplicaciones actualizadas.

Investigando un poco he encontrado a Daniel Compton, Consultor de Seguridad de 7Safe, que ocupa a la audiencia a través de una demostración de los riesgos comunes que se encuentra mientras realiza pruebas de penetracion a sus clientes. La presentacion cubre dos áreas principales, “client side attacks” and “pivot attacks”. Las demostraciones se realizan en un equipo con sistema operativo Windows totalmente parcehado, con protección anti-virus (con todas las firmas), firewall y protección de los últimos parches para todo el software de terceros (third party software). Una vez que el ordenador del usuario final fue explotado a través de Internet, Daniel demostró cómo es posible sumergirse profundamente en la red corporativa interna ademas de la extracción de contraseñas y datos de tarjetas de crédito.

fuente: sec-track.com

Las aplicaciones son hoy en día uno de los activos principales de cualquier empresa. Tanto si dan servicio a usuarios finales (por ejemplo aplicaciones de ebanking o ecommerce) como si se trata de aplicaciones corporativas (una intranet), las aplicaciones manejan información cuya confidencialidad, disponibilidad e integridad es fundamental para las empresas.

Las Auditorías de Seguridad sobre Aplicaciones se han vuelto imprescindibles para evaluar la seguridad de los desarrollos (propios o realizados por terceros). Estas auditorías o evaluaciones deben realizarse periódicamente y tendiendo en cuenta tanto la parte interna (accesos desde la red corporativa) como la parte externa (accesos con origen Internet) de los aplicativos.

Uno de las metodologías con más reconocimiento internacional a la hora de realizar auditorías de seguridad sobre aplicaciones es la OWASP Testing Guide que alcanza ya su tercera versión. La OWASP (Open Web Application Security Project) lanzó este proyecto con el objetivo de crear un marco que incluyera las mejores prácticas en el desarrollo de tests de intrusión en aplicaciones. La ultima versión (v3) de la Testing Guide fue publicada en Diciembre de 2008 y esta previsto que se la v4 de la guía se publicada en Enero de 2011.

A lo largo de más de 300 páginas, la OWASP Testing Guide hace un repaso de las principales técnicas de auditoría de seguridad en aplicaciones relacionando estas técnicas con las amenazas que sufren hoy en día de aplicativos. A grandes rasgos las pruebas de intrusión sobre aplicaciones desarrolladas en la OWASP Testing Guide son las siguientes:

1.- Recopilación de información
Esta primera fase de la Auditoria de Seguridad y consiste en recopilar toda la información que se pueda sobre la aplicación cuya seguridad está siendo auditada.
Los tipos de análisis a realizar en este punto son los siguientes:

* Spiders, robots y crawlers:
* Reconocimiento mediante motores de búsqueda.
* Identificación de puntos de entrada de la aplicación.
* Pruebas de firmas de aplicaciones Web.
* Descubrimiento de aplicaciones.
* Análisis de código de error.

2.- Pruebas de gestión de configuración de la infraestructura
En esta etapa se realiza un análisis de la infraestructura tecnológica sobre la que se encuentra desplegada la Aplicación que se desea auditar.
Las pruebas a realizar en esta segunda etapa son las siguientes:

* Pruebas de SSL/TLS.
* Pruebas del receptor de escucha de la Base de Datos.
* Pruebas de gestión de configuración de la infraestructura.
* Pruebas de gestión de configuración de la aplicación.
* Gestión de extensiones de archivos.
* Archivos antiguos, copias de seguridad y sin referencias.
* Interfaces de administración de la infraestructura y de la aplicación.
* Métodos HTTP y XST.

3.- Comprobación del sistema de Autenticación
Comprobar el sistema de autenticación significa comprender como funciona el proceso de autenticación y usar esa información para eludir el mecanismo de autenticación.
Las pruebas que se realizan para evaluar el sistema de Autenticación son las siguientes

* Transmisión de credenciales a través de un canal cifrado.
* Enumeración de usuarios.
* Pruebas de fuerza bruta.
* Saltarse el sistema de Autenticación.
* Comprobar Sistemas de recordatorio/restauración de contraseñas vulnerables.
* Pruebas de gestión del Caché de Navegación y de salida de sesión.
* Pruebas de CAPTCHA.
* Múltiples factores de autenticación.
* Análisis de condiciones de carrera.

4.- Pruebas de gestión de sesión
Ataques a la gestión de sesiones de una aplicación pueden ser utilizados para obtener acceso a cuentas de usuario sin necesidad de proporcionar credenciales correctos.
Para validar una correcta gestión de sesiones, la OWASP Testing Guide propone las siguientes verificaciones:

* Pruebas para el esquema de gestión de sesiones.
* Pruebas para atributos de cookies.
* Pruebas para fijación de sesión.
* Pruebas para variables de sesión expuestas.
* Pruebas para CSRF

5.- Pruebas de Autorización
La Autorización es un proceso posterior a la Autenticación por lo tanto el auditor necesitará de credenciales para realizar las pruebas correspondientes a este módulo.
Se comprobará si es posible evadir la autorización de la aplicación, si existe una vulnerabilidad en el traspaso de rutas o si es posible realizar un escalado de privilegios.
Las pruebas a realizar para evaluar la seguridad del sistema de Autorización son las siguientes:

* Pruebas de path transversal.
* Pruebas para saltarse el esquema de autenticación.
* Pruebas de escalado de privilegios.

6.- Comprobación de la lógica del negocio
La principal técnica para detectar errores en la lógica de la aplicación es "pensar de forma no convencional"; por ejemplo, intentar saltarse uno de los 3 pasos del proceso de registro de una aplicación.
Las vulnerabilidades de este tipo pueden ser de las más graves de la aplicación y encontrarlas se basa únicamente en la habilidad y creatividad del auditor.

7.- Pruebas de validación de datos
La vulnerabilidad más común en las aplicaciones es la falta de validación de los parámetros introducidos por los usuarios. Esta vulnerabilidad provoca que usuarios malintencionados inyectan comandos o sentencias en vez de simples datos, con el peligro que esto conlleva para la normal ejecución de la aplicación.
Las pruebas de evaluación a realizar durante la comprobación de validación de datos en la aplicación auditada son las siguientes:

* Pruebas de cross site scripting.
* Inyección SQL.
* Inyección LDAP.
* Inyección ORM.
* Inyección XML.
* Inyección SSI.
* Inyección XPATH.
* Inyección IMAP/SMTP.
* Inyección de código.
* Inyección de comandos de sistema operativo.
* Pruebas de desbordamiento de buffer.
* Pruebas de vulnerabilidad incubada.
* * Pruebas de HTTP Splitting/Smuggling

8.- Pruebas de denegación de servicio
El objetivo fundamental de un ataque de denegación de servicio es lograr que la aplicación objeto del ataque se vea desbordada (ya sean sus funciones de red, su memoria, su espacio de disco, etc.) hasta conseguir que deje de funcionar adecuadamente.
Las pruebas de DoS que se tratan en la OWASP Testing Guide son las siguientes:

* Denegación de servicio mediante ataques SQL Wildcard.
* Bloqueando cuentas de usuarios.
* Desbordamiento de búfer.
* Reserva de Objetos Especificada por Usuarios.
* Pruebas de Escritura de Entradas Suministradas por Usuario a Disco.
* Fallar en la liberación de recursos.
* Pruebas de Almacenamiento Excesivo en la Sesión.

9.- Comprobación de servicios Web
Los servicios web suelen utilizar el protocolo HTTP junto con tecnologías como XLM, SOAP, WSDL y UDDI; por lo que las pruebas de seguridad sobre servicios web deben centrarse en las búsqueda e identificación de las vulnerabilidades en dichas tecnologías.
Las pruebas a realizar en esta fase de la auditoría son las siguientes:

* Obtención de información en Servicios Web.
* Pruebas de WSDL.
* Pruebas estructurales de XML.
* Comprobación de XML a nivel de contenido.
* Comprobación de parámetros HTTP GET/REST.
* Adjuntos SOAP maliciosos.
* Pruebas de repetición.

10.- Pruebas de AJAX
Las aplicaciones basadas en tecnologías AJAX han tenido una rápida expansión debido a la gran interactividad y facilidad de uso que proporcionan. Sin embargo, al aumentar la superficie de ataque y al procesar instrucciones tanto en el lado cliente como en el lado servidor, las vulnerabilidades de seguridad de las aplicaciones AJAX son tantas o incluso más que las de las aplicaciones desarrollados con otras tecnologías.

• Descargar la guia en PDF aqui
• Descargar la presentacion aqui
• Navega dentro del Testing Guide v3 en el site de wiki aqui
  

The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.
It is designed to be used by people with a wide range of security experience and as such is ideal for developers and functional testers who a new to penetration testing.
ZAP provides automated scanners as well as a set of tools that allow you to find security vulnerabilities manually.

The current version of ZAP is 1.1.0 and it can be downloaded from the Google Code page.

Some of ZAP's features:

• Intercepting Proxy
• Automated scanner
• Passive scanner
• Brute Force scanner
• Port scanner
• Spider

Some of ZAP's characteristics:

• Easy to install (just requires java 1.6)
• Ease of use a priority
• Comprehensive help pages
• Under active development
• Open source
• Free (no paid for 'Pro' version)
• Cross platform
• Involvement actively encouraged

ZAP is a fork of the well regarded Paros Proxy.

fuente:owasp.org



 

En Devshed.com han publicado una guías paso a paso para asegurar sitios con PHP, las cuales complementan la lista de Guias Basicas de Tecnicas de Pentest que habiamos publicamos.

Secure PHP Programing y Securing Your PHP Website son un resumen del libro Beginning PHP and Oracle, escrito por W. Jason Gilmore y Bob Bryla y en el que tratan de sobre temas como, la configuración segura de PHP, como asegurar nuestra aplicación en PHP, como validar los datos adecuadamente, entre otras cosas.

Si eres desarrollador web y manejas PHP, te recomiendo que leas estas 2 guias para que mejores la seguridad de tus aplicaciones web.

• Secure PHP Programing
• Securing Your PHP Website

 fuente: dragonjar.org

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración.

Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest.

A continuacion posteamos una presentacion que habla sobre los pasos a seguir para realizar un pentest.  VER PRESENTACION

Guias Basicas de tecnicas para Pentest

Video de un Pentest 

fuente: dragonjar.org | vulnerability team 

 

 

acaba de salir la versión 0.8 de esta excelente herramienta para realizar pentest hacia aplicaciones web, todas las herramientas han sido actualizadas y algunos errores corregidos.

Mas Información:
Web oficial del Proyecto Samurai Web Testing Framework
Descargar Samurai Web Testing Framework

fuente: dragonjar.org