La Comunidad DragonJAR » Web

Skipfish, el escáner de Google para seguridad de aplicaciones web

DragoN — Thu, 18 Mar 2010 04:30:37 +0000

Google, esa empresa que todos conocemos y que tarde o temprano odiaremos, acaba de anunciar un nuevo producto llamado Skipfish, nada mas y nada menos que un escaner de Vulnerabilidades para aplicaciones web totalmente gratuito y de código abierto.

Segun Google Skipfish no solo es mas rápido que cualquier otra herramienta de su tipo, sino que ademas tiene menos “falsos positivos” y su interfaz es mucho mas sencilla que las demás.

Aunque no cumple con los estándares publicados por el Consorcio de seguridad de aplicaciones Web para los escaners de vulnerabilidades en aplicaciones web, es una buena herramienta para tener en cuenta a la hora de realizar nuestros test.

Descargar Skipfish

Mas Información:
Pagina Oficial de Skipfish
Anuncio en la Comunidad
Google presenta Skipfish, un escáner de seguridad para aplicaciones web

También puede interesarte...

Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash

Axiacamus — Sun, 17 Jan 2010 18:22:58 +0000

Una de las aplicaciones mas comunes utilizadas en los sitios web, son las películas y clics hechos en Adobe Flash (antes de Macromedia), animaciones, slideshows y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.

A pesar de ser una herramienta muy útil, personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores, la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online, a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua.

El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada.

Ejemplo del código vulnerable:

Como se puede ver, en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas:

getURL(_root.clickTAG, "_blank");

El codigo anterio podria ser explotado de la siguiente forma:

http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar')

Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS

getURL(_root.url, "_blank");

Que puede ser explotada de la siguiente forma:

http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar')

Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano.

Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google ”filetype:swf inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico ”El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal.

Mas Información:
XSS vulnerabilities in 8 millions flash files
Serious web vuln found in 8 million Flash files XSS

También puede interesarte...

Aplicaciones Web Vulnerables

DragoN — Sat, 16 Jan 2010 08:43:49 +0000

La practica hace el maestro, pero en el campo de la seguridad informática, si practicamos en aplicaciones o servidores de terceros, podemos llegar a tener problemas con la ley; Por este motivo existen herramientas como Damn Vulnerable Web App, una aplicacion web vulnerable que permite poner a prueba nuestros conocimientos sobre seguridad web, pero DVWA no es la única aplicacion de este tipo que existe, a continuación les dejo un listado con algunas de las aplicaciones web vulnerables:

WebGoat es una aplicación web J2EE deliberadamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. puedes aprender mas sobre esta herramienta en nuestro laboratorio.

Moth es una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables, que puedes utilizar para probar scanners de seguridad en aplicaciones Web, herramientas de análisis de código estático (SCA), dar cursos introductorios de seguridad en aplicaciones Web. puedes encontrar mas informacion sobre esta herramienta en nuestra comunidad.

BadStore es una aplicacion web para tienda virtual, que incluye de manera intencionada diferentes fallos de seguridad informática, para probar nuestros conocimientos y herramientas sobre ella.

WebMaven es un entorno interactivo de seguridad web, que emula varios de los mas comunes fallos en las aplicaciones web.

SecuriBench es una aplicacion escrita en java en la universidad de Stanford, que incluye las siguientes vulnerabilidades SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks, Path traversal attacks, para practicar con ellas.

Mutillidae es un conjunto de scripts vulnerables escritos en php, a diferencia de otras aplicaciones de su tipo, multilliadae se diferencia por la simplicidad de su código, enfocado en las personas que apenas empiezan a desarrollar aplicaciones web.

SERIE HACME, la serie Hacme es un conjunto de aplicaciones web temáticas escritas por Foundstone, que tienen en su código de forma deliberada, multitud de vulnerabilidades web, para que practiquemos nuestros conocimientos sobre seguridad web, dentro de esta serie tenemos un aplicativo web de un casino Hacme Casino (del cual hablamos en la ezine 2 de nuestra comunidad), una aplicacion web de compras Hacme Shipping , un sistema de viajes Hacme Travel y una aplicacion web que simula ser un banco Hacme Bank.

Si conoces otra aplicacion web de este tipo que no este en la lista, déjanos un comentario para que sea agregada.

Actualizado 18/01/2010 : Agrego WebMaven , SecuriBench, y BadStore, gracias al comentario de colliers

SecuriBench

También puede interesarte...

WAFP – Detecta la Versión de una Aplicación Web

DragoN — Mon, 28 Dec 2009 21:12:07 +0000

WAFP (Web Application Finger Printer) es una herramienta escrita en ruby por el consultor de seguridad Richard Sammet, que es capaz de detectar la versión detallada e incluso el número de compilación de una aplicación Web.

¿Como funciona?
WAFP obtiene los archivos HTML que genera una aplicacion web y le saca una firma que identifica ese archivo generado con una versión especifica de la aplicacion, como estas salidas cambian en cada versión de la aplicacion, es posible detectar de forma muy precisa la versión y el numero de compilación de una aplicacion web.

Esta es la salida de la aplicacion contra una instalación de phpymadmin:

  wafp.rb --verbose -p phpmyadmin https://phpmyadmin.example.de
   VERBOSE: loading the fingerprint database to the ram...
   Collecting the files we need to fetch ...
   Fetching needed files (#432), calculating checksums and storing the results to the database:
   ............................................................................................
   VERBOSE: request for "/themes/darkblue_orange/img/b_info.png" produced "Connection refused - connect(2)" for 1 times - retrying...
   ............................................................................................
   Checking gathered/stored checksums (#432) against the selected product (phpmyadmin) versions (#87) checksums:
   .......................................................................................

    found the following matches (limited to 10):
   +-------------------------------------------------------------+
    phpmyadmin-2.11.9.1                	 296 / 299  (98.99%)
    phpmyadmin-2.11.9.2                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.4                	 295 / 299  (98.66%)
    phpmyadmin-2.11.8.1                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.5                	 295 / 299  (98.66%)
    phpmyadmin-2.11.8                  	 295 / 299  (98.66%)
    phpmyadmin-2.11.9.3                	 295 / 299  (98.66%)
    phpmyadmin-2.11.9                  	 295 / 299  (98.66%)
    phpmyadmin-2.11.4                  	 294 / 299  (98.33%)
    phpmyadmin-2.11.5.2                	 294 / 299  (98.33%)
   +-------------------------------------------------------------+
    WAFP 0.01-26c3  - - - - - - - - -  http://mytty.org/wafp/

   VERBOSE: Returncode stats:
   VERBOSE: Ret-Code	200	#302
   VERBOSE: Ret-Code	404	#130
   VERBOSE: deleting the temporary database entries for scan "472312620367191262036719_httpsphpmyadmin.example.de" ...

Esta herramienta cuenta con mas de 600 versiones de las aplicaciones web mas populares y esta base de datos crecerá a medida que se publiquen nuevas versiones.

Descargar WAFP

Mas Información:
Pagina Oficial de WAFP
Diapositivas de Charla en edición 26 de CCC

También puede interesarte...

Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web

DragoN — Sat, 26 Dec 2009 20:00:14 +0000

Wapiti es un escáner de vulnerabilidades para aplicaciones web, licenciado bajo la GPL v2 , que busca fallos XSS, inyecciones SQL y XPath, inclusiones de archivos (local y remota), ejecución de comandos, inyecciones LDAP, inyecciones CRLF, para que pongamos a prueba la seguridad de nuestras aplicaciones web y podamos corregirlas.

El listado de vulnerabilidades detectadas es el siguiente:

Errores en el Manejo de Archivos (Inclusión remota o local usando include/require, fopen, readfile…)
Inyecciones en Bases de Datos (Soporta PHP/JSP/ASP e inyecciones SQL y XPath)
XSS (Cross Site Scripting)
Inyecciones LDAP
Ejecución de Comandos (eval(), system(), passtru()…)
Inyeccione CRLF (HTTP Response Splitting, session fixation…)

Esta excelente herramienta programada en python destaca por sus detallados informes, donde podemos ver la descripción del problema encontrado, cómo resolver dicho problema y algunas paginas de referencia donde podemos ampliar nuestro conocimiento sobre el tema.

Recuerda que el uso de este tipo de herramientas, que automatizan el testeo de vulnerabilidades en tus aplicativos web, ayudan a encontrar fácilmente algunos problemas de las aplicaciones web, pero no reemplazan una auditoria concienzuda del código fuente.

Descargar Wapiti

Mas Información:
Pagina Oficial del Wapiti

También puede interesarte...

Multiples Vulnerabilidades en SMF

DragoN — Wed, 02 Dec 2009 16:45:13 +0000

En el foro ElHacker.net sacaron adelante un proyecto destinado a realizar auditorías de seguridad a nivel WEB sobre el popular software de foros SMF 2.0 (Simple Machines Forum) con la finalidad de que sus desarrolladores puedan crear cada día un software mas robusto y seguro, esta auditorio dio como resultado mas de 40 fallos de seguridad encontrados, un posible backdoor que los responsables de SMF tenían en el código.

Entre los fallos encontrados existen 3 con peligrosidad alta (uno de ellos permite ejecución remota de código), 14 con un nivel de peligro medio (en su mayoría ataques del tipo XSS) y en resto de los fallos tienen un nivel de peligrosidad bajo o nulo.

Desde la comunidad DragonJAR enviamos un saludo a los integrantes del equipo SimpleAudit no solo por los fallos encontrados, sino por la publicación responsable de ellos, esperando que SMF publicara una versión parcheada de su software para hacer el Full Disclosure.

Cada uno de los fallos encontrados en SMF han sido publicados y explicados en el foro de ElHacker.net por WHK, ademas en nuestro idioma.

Mas Información:
Pagina del Proyecto
Anuncio en el Foro
Full Disclosure

También puede interesarte...

Descargar e Instalar Google Chrome OS

DragoN — Sat, 21 Nov 2009 18:28:53 +0000

Antes de descargar e instalar el nuevos sistema operativo de google, es necesario saber de que se trata el ya famoso Google Chrome OS, les dejo este vídeo donde explican claramente de que se trata:

Ahora que tenemos claro de que se trata Google Chrome OS vamos a instalarlo en nuestro PC, actualmente hay 2 versiones del Google Chrome OS liberadas, una creada por un Jon Ursenbach de GDGT y otra creada por Mark Renouf la versión que utilizaremos para este articulo es la creada por Renouf.

¿Qué Necesitamos para Instalar Google Chrome OS?

Un software para crear Maquinas Virtuales puede ser VirtualBox o VMWare, el articulo lo hice con VMWare en Windows 7 pero es indiferente el sistema operativo usado (las 2 soluciones están para casi todos los Sistemas Operativos) y los pasos no varían mucho de VMWare a VirtualBox.
Una copia del Google Chrome OS liberada por Mark Renouf, puedes descargarla por torrent utilizando un cliente como uTorrent.

Instalando Google Chrome OS

Suponiendo que tienes ya instalado el VMWare o el VirtualBox y descargado el Google Chrome OS desde los enlaces proporcionados, pasaremos a la sencilla instalación de este nuevo sistema operativo.

Abrimos el VMWare (tu puedes escoger VirtualBox si lo prefieres) y le damos a “New Virtual Machine”.

Nos saldrá un asistente en el que debemos seleccionar una configuración “Typical”.

En el siguiente paso del asistente le decimos que no deseamos instalar el sistema operativo (ya que en el disco duro virtual que nos bajamos ya esta instalado el google chrome os).

Seleccionamos un sistema linux y continuamos

Seguimos en el asistente y escogemos el nombre que tendra nuestra maquina virtual, yo he elegido “Google Chrome OS” pero puedes ponerle el que quieras.

En el siguiente paso debemos crear un disco duro virtual, no importa de cuantas GB lo crees ya que este disco lo eliminaremos mas tarde, para utilizar el que descargamos por torrent y que contiene el nuevo google chrome os.

Con esto ya tenemos nuestra maquina virtual creada

Ahora vamos a configurarla para que nuestro Chrome OS funcione adecuadamente, primero editaremos la memoria ram que tendrá el sistema operativo, yo tengo 2gb en mi PC físico así que le doy 600mb a mi maquina virtual, tu puedes escoger la cantidad a tu gusto o dejarla como viene por defecto.

Ahora vamos a eliminar el disco duro que creamos con el asistente, para después agregar el que descargamos por torrent.

Despues de eliminado el disco, damos click al boton “Add..” para agregar el que descargamos

Seleccionamos “Hard Disk” y damos a “Next >”

Seleccionamos la opción “Use an existing virtual disk”…

Buscamos donde tenemos la imagen descargada (descomprimir antes) y la seleccionamos.

Damos en “finish” y luego en “OK”.

Ahora debemos estar en la pantalla inicial de nuestra maquina inicial, solo tendremos iniciar la maquina y listo.

A los pocos segundos de iniciar nuestra maquina virtual (es bastante rápido el inicio) tendremos el siguiente pantallazo:

Donde debemos ingresar una cuenta de google validad (nuestra cuenta gmail sirve) y la contraseña de la misma

Esperamos un poco mientras se conecta a los servidores de google

Y nos encontramos frente a nuestro nuevo sistema operativo, que como se decía en el vídeo del inicio, no es mas que un navegador web donde podremos hacer lo que necesitemos en la red.

Ademas de encontrarnos con un “panel” donde podremos acceder a los servicios online mas populares

En el siguiente vídeo podremos aprender un poco el funcionamiento de este nuevo sistema operativo.

En lo poco que he usado el Google Chrome OS puedo decir que no representa a corto plazo una amenaza para los sistemas operativos que actualmente dominan el mercado (Microsoft Windows, Mac OS X y GNU Linux), aunque si podria ser utilizado ampliamente en las netbooks ya que ese es su principal objetivo. Veo un sistema operativo muy diferente al resto y que limita en gran medida a el usuario, no creo que tenga mucha acogida a corto plazo en el pc de escritorio o los laptops, aunque todo esto puede cambiar a medida que la gente migre masivamente a las aplicaciones online.

¿ya probaste google chrome os?…. que opinión tienes de el… háznoslo saber en los comentarios.

También puede interesarte...

Criterios para la Evaluación de los Escaners de Seguridad Web

DragoN — Sat, 07 Nov 2009 08:13:07 +0000

La Web Application Security Consortium, grupo internacional de expertos en seguridad de aplicaciones web, ha publicado un documento titulado “Web Application Security Scanner Evaluation Criteria” en el que nos presentan los criterios que debe tener en cuenta un escaner de seguridad para aplicaciones web la hora de probar de forma efectiva las aplicaciones web y de identificar las vulnerabilidades que en ellas se encuentran.

Este documento proporciona una lista completa de características que deben ser considerados cuando se realiza una evaluación de la seguridad en aplicaciones web y su objetivo es proporciona las herramientas y documentación para permitir que cualquiera persona pueda evaluar los escáneres de seguridad web y elegir el producto que mejor se adapte a sus necesidades.

El documento Web Application Security Scanner Evaluation Criteria puede ser leído de forma online directamente desde la pagina de La Web Application Security Consortium o puede ser descargado en formato PDF

También puede interesarte...

Binging – Footprinting utilizando Bing

DragoN — Fri, 06 Nov 2009 07:41:01 +0000

Binging es una herramienta para realizar footprinting utilizando el motor de búsqueda Bing. Hace uso de la API de desarrollo de Bing para obtener múltiples resultados que nos ayuden en la tare de reconocimiento en nuestro objetivo. Esta herramienta en particular se puede utilizar para Footprinting entre dominios de aplicaciones Web 2.0, permitiendo enumeración de host, reverse lookup, descubrimiento de sitio, entre otras funcionalidades.

Puede usar varias directivas diferentes, el host, la IP y ejecutar consultas en el motor Bing, en la parte superior de la herramienta encontramos las opciones de filtrado para que usted hacer busquedas en Host o ips exclusivamente. También es posible filtrar los resultados utilizando expresiones regulares, recuerda que es necesario optener la clave del API de Bing para hacer uso de Binging.

Descargar Binging

Mas Información:
Pagina Oficial de Binging

También puede interesarte...

Clase Virtual Gratuita sobre Desarrollo Web con PHP y Ajax

DragoN — Thu, 15 Oct 2009 20:28:21 +0000

La Fundación UNE realizara hoy jueves 15 de octubre a las 6PM hora colombiana la primera clase virtual gratuita del curso de desarrollo de sitios Web con PHP Y AJAX, La Comunidad DragonJAR te invita a participar desde la comodidad de tu casa u oficina, a esta oportunidad de capacitarte en PHP y AJAX totalmente gratis, simplemente debes contar con computador, conexión a internet, parlantes y micrófono.

Para participar en esta charla solo es necesario seguir estos simples pasos:

Registrarse en el sitio www.fundacionune.com
Descargar este manual donde encontrara las indicaciones de cómo conectarse y como participar (no te preocupes por que este realizado desde plataformas windows y se hable sobre activex, la aplicacion webex de cisco, sobra la cual se dictara la charla, tiene soporte para Windows, Mac, Linux, Solaris, HP-UX y AIX OS)
Asistir a las 6PM hora colombiana a la url que recibirás por correo.

Esta es una introducción simple a los conceptos de PHP y AJAX, pero tendrás tutores en linea para resolver tus dudas, después de esta charla se realizara un curso pago sobre el tema.

Actualización: El curso gratuito básico ya se llevó a cabo, el jueves 15 de octubre a las 6PM, si no pudiste verlo o quieres ampliar la informacion expuesta te dejo mas documentación sobre el tema.

En nuestra comunidad encontraras una sección sobre el lenguaje PHP y una gran cantidad de cursos sobre el, también sobre AJAX y JavaScript.