Detectando defensas en los servidores web

No tenía muy claro que título colocar en esta entrada. Llevo varios días jugando con la herramienta whatweb.

¿Que es whatweb?

Pues que mejor que ir a la web del desarrollador y ver como él mismo la describe!

“WhatWeb identifies websites. Its goal is to answer the question, “What is that Website?”. WhatWeb recognises web technologies including content management systems (CMS), blogging platforms, statistic/analytics packages, JavaScript libraries, web servers, and embedded devices. WhatWeb has over 900 plugins, each to recognise something different. WhatWeb also identifies version numbers, email addresses, account IDs, web framework modules, SQL errors, and more.”

Se está convirtiendo en una de mis herramientas preferidas y es que además te permite ver de manera muy rápida que hay detrás de un dominio web.

Identificando sistemas del tipo caching

Una de las cosas que están de moda después de todos los ataques de denegación de servicio que hay es utilizar sistemas de caching. Para mi los dos mas famosos son Akamai y Cloudfare.

¿Como funciona Cloudfare, por ejemplo?

Cloudfare

Queda bastante ilustrado ¿no?

Antes de pensar en lanzar un ataque de denegación de servicio sería bueno poder revisar si el dominio está usando caching de Cloudfare o no :D.

Con WhatWeb podemos identificar que dominios están detrás de un sistema del tipo Cloudfare.


darkmac:WhatWeb marc$ ./whatweb www.series.ly
http://www.series.ly [301] Cookies[__cfduid], Country[EUROPEAN UNION][EU], HTTPServer[cloudflare-nginx], IP[141.101.117.51], RedirectLocation[http://series.ly/], Title[301 Moved Permanently], UncommonHeaders[cf-ray], cloudflare

Este es un ejemplo de la web de series.ly, que usa Cloudfare

Podéis  ver como sale identificado Cloudfare.

Otro ejemplo:


darkmac:WhatWeb marc$ ./whatweb 4chan.com
http://4chan.com [200] Cookies[__cfduid,parkinglot], Frame, HTTPServer[cloudflare-nginx], IP[190.93.244.20], Script, Title[4chan.com], UncommonHeaders[cf-ray], cloudflare

La famosa web de 4CHAN, seguro que han recibido mas de un ataque. Así que está detrás de un sistema Cloudfare.

El otro sistema de caching conocido es Akamai. El concepto es parecido al que usa Cloudfare.

Akamai

Conozco algunos de los sitios que se que están detrás de akamai, pero con WhatWeb no he podido sacar ese dato. En cambio en otros hosts, si.

Hay sitios en Internet que deberían de ser una referencia en seguridad. Es decir, que sus sistemas estuvieran muy bien bastionados y que desde fuera se pudiera sacar la menos información posible. Pues para mi uno de estos sitios son los bancos.

Vamos a ver un ejemplo de un banco español.

</pre>
darkmac:WhatWeb marc$ ./whatweb https://www.bancosantander.es
https://www.bancosantander.es [301] Akamai-Global-Host, Country[EUROPEAN UNION][EU], HTTPServer[AkamaiGHost], IP[95.100.120.113], RedirectLocation[/cssa/Satellite?pagename=SantanderComercial/Page/SAN_Index]
https://www.bancosantander.es/cssa/Satellite?pagename=SantanderComercial/Page/SAN_Index [200] Adobe-Flash, Country[EUROPEAN UNION][EU], FatWire-Content-Server[5.5.2], HTTPServer[IBM_HTTP_Server], IBM-HTTP-Server, IP[95.100.120.113], Object[application/x-shockwave-flash], Title[Banca Online, Cuentas, Nominas, Planes de Pensiones, Hipotecas... en el Banco Santander], UncommonHeaders[host_service]
<pre>

Aquí hemos podido identificar que esta web está protegida por Akamai.

¿Como identificar un dominio cacheado si no obtenemos información?

Me ha pasado con el caso de Akamai de que de  un dominio web no he podido identificar que el site estaba protegido con él.

Así que la única manera de idetificar esta protección es por las direcciones IP.

Ejemplo:

Sitio web Akamaizado:


darkmac:WhatWeb marc$ ./whatweb https://www.banco.es
https://www.banco.es [200] Country[UNITED STATES][US], HTML5, HTTPServer[IBM_HTTP_Server], IBM-HTTP-Server, IP[23.37.XXX.XXX], JQuery, Modernizr, OpenGraphProtocol[company], Script, Title[&]

Hacemos un host de la IP que os ha identificado whatweb


darkmac:WhatWeb marc$ host 23.37.xxx.XXX
157.161.xx.xx.in-addr.arpa domain name pointer a23-xx-xxx-xx.deploy.static.akamaitechnologies.com.

Sistema no akamaizado

Hacemos la misma petición pero sin llamar al www.


darkmac:WhatWeb marc$ ./whatweb banco.es
http://banco.es [200] Country[SPAIN][ES], HTML5, HTTPServer[IBM_HTTP_Server], IBM-HTTP-Server, IP[XXX.XX.XX.XXX], JQuery, Modernizr, OpenGraphProtocol[company], Script

Como veis no hace falta tirar de muchas herramientas para hacer estas pruebas de reconocimiento.

Una de los mejores dominios que me he encontrado es:


darkmac:WhatWeb marc$ ./whatweb https://www.mossad.gov.il
https://www.mossad.gov.il [200] Country[ISRAEL][IL], IP[147.237.72.71], Script

Descargar herramienta WhatWeb: https://github.com/urbanadventurer/WhatWeb


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Anonimo

    El enlace que pones “Pues que mejor que ir a la web del desarrollador y ver como él mismo la describe!” está malo, te lleva a una página de diseño web

  • Tania188

    Lo he probado y me he quedado con la boca abierta, tiene un gran potencial con una gran rendimiento y simpleza, me encanta las diferencias de colores para diferenciar los datos… y pregunto…
    -.¿Sabéis cual seria la mejor manera de poder instalarlo en “Mac Mountain Lion”? Lo digo por la sencillez de poder lanzarlo desde terminal y que no me estorbe o pierda el archivo lanzador.
    -.¿Sabéis si se puede poner esas diferencias de colores por defecto en el sistema Mac OS X? Me encanta y me cansa mucho la vista cuando trabajo en la terminal y no encuentro nunca el MALDITO PROMPT entre otras cosas jejeje.
    Gracias por el buen articulo. Saludos 🙂

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES