La Comunidad DragonJAR » XSS

Documentación y herramienta para inyección de código

DragoN — Mon, 07 Mar 2011 05:05:57 +0000

Las inyecciones de código son las vulnerabilidades mas comunes encontradas en las aplicaciones web, estos problemas de seguridad llevan muchos años con nosotros, pero son tan recurrentes que por muchos años han ocupado el primer puesto en el TOP 10 Fallos de Seguridad en Aplicaciones Web que realiza OWASP.

En esta ocasión les traigo dos aportes relacionados con este tipo de inyecciones, el primero es un documento escrito por Lod Epsylon, donde nos explica diferentes técnicas de inyección de código como XSS,XSF,CSRF,XFS,XZS,XAS,XRS y XSSDoS entre otras.

Descargar Documento

El segundo aporte es un framework llamado XSSer para automatizar las inyecciones de código que detallan en el documento, fué creado tambien por Lod Epsylon y entre sus principales funciones se encuentran:

Automatización de inyección de código
Evasión de filtros
Carga de payloads para distintos navegadores
Interface grafica y por linea de comandos
Buena documentación

Los dejo en compañía de un video explicativo de XSSer

Para mas información:
Pagina oficial del XSSer y la documentación

También puede interesarte...

Presentación de conceptos básicos en Seguridad Web

DragoN — Fri, 18 Feb 2011 05:14:43 +0000

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones.

Es importante señalar que existen más ataques, los cuales no figuran en la presentación.

Descargar documentación

También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos.

XSS

CSRF

Path Traversal

Null Byte

OS Commanding

Local File Inclusion

Remote File Inclusion

Information Disclosure

SQL Injection/Blind SQL Injection

File Upload

Agradecimientos especiales a Marcos García por compartir esta información con nosotros.

También puede interesarte...

X5S – Encuentra fallos XSS, LFI y RFI fácilmente

DragoN — Thu, 19 Aug 2010 20:20:58 +0000

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones.

Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI.

Aunque X5S es una herramienta gratuita y de código abierto, desafortunadamente solo esta disponible para entornos Windows, pero si eres desarrollador web y te preocupa la seguridad de tus creaciones, no dudes en bajar testar tu código con ella.

Descargar X5S

Mas Información:
Pagina Oficial de X5S
Documentación de X5S

También puede interesarte...

Revisa la seguridad de tu sitio web Gratis

DragoN — Wed, 02 Jun 2010 05:08:29 +0000

Cuando se administra un servidor Web, uno de los puntos claves a tener en cuenta es la seguridad tanto de los servicios como de los aplicativos alojados en el, ya que si no contamos con buenas medidas de seguridad, dichos aplicativos, podría ser la puerta de entrada a nuestra organización de un delincuente informático.

Desafortunadamente, son pocos los administradores que cuentan con conocimientos en seguridad Web y es por esto que día a día se ven casos de instrucciones en donde los sitios Web fueron el débil eslabón por medio del cual ingresaron a los sistemas de una organización.

ZeroDayScan es un servicio que ayuda en la tarea de revisar la seguridad de un aplicativo Web automáticamente, para utilizarlo, solo necesitamos llenar el siguiente formulario, como se indica en la siguiente imagen:

La aplicación permite detectar las siguientes vulnerabilidades

Cross Site Scripting attacks (XSS)
Detecta directorios ocultos o backups
Busca inyecciones SQL
Detecta automáticamente vulnerabilidades Zero Day
Realiza un fingerprint de nuestra aplicativo Web

Si ZeroDayScan detecta algo en nuestro sitio Web, nos enviará vía correo electrónico, un completo informe con las vulnerabilidades encontradas, así como los pasos a seguir para corregirlas….. y todo esto TOTALMENTE GRATIS.

Si tienes un sitio Web, es muy recomendable que utilices esta herramienta, para conocer el estado actual de la seguridad en tu pagina, posiblemente se demoren en enviarte el informe, pero es normal ya están procesando muchas solicitudes.

Mas Información
Pagina Oficial del ZeroDayScan

También puede interesarte...

Curso sobre desarrollo seguro de aplicaciones web por Google

DragoN — Thu, 06 May 2010 15:43:34 +0000

Google acaba de lanzar un nuevo curso en línea para el diseño y desarrollo de aplicaciones Web, con este, que los programadores aprenderán a evitar los errores comunes de seguridad que se presentan en las aplicaciones web y que pueden llevar a la creación de vulnerabilidades en sus sitios.

El curso, que es parte del proyecto Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, un programa que Google liberó para este fin. Conocido como “Web Application Exploits and Defenses,” desde el cual se da la oportunidad de visualizar el funcionamiento interno de una aplicación insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas.

Ademas de aprender desarrollo, también tendremos una serie de retos que requieren que los estudiantes se esfuercen e identifiquen vulnerabilidades especificas en el código de Jarlsberg. Después de que los estudiantes aprenden los fundamentos de una vulnerabilidad, como CSRF, XSS, se les pide que encuentren una forma de utilizar esta falla para realizar una acción maliciosas especifica en la aplicación, como cambiar algunos detalles en la cuenta de registro de los usuarios sin que ellos se enteren.

Ingresa al Curso de Google sobre Seguridad Web

Más Información:
Anuncio de Hans en la Comunidad

También puede interesarte...

Robando claves por XSS del Administrador de Contraseñas del Firefox

DragoN — Tue, 16 Mar 2010 06:51:50 +0000

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador.

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms

Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash

Axiacamus — Sun, 17 Jan 2010 18:22:58 +0000

Una de las aplicaciones mas comunes utilizadas en los sitios web, son las películas y clics hechos en Adobe Flash (antes de Macromedia), animaciones, slideshows y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.

A pesar de ser una herramienta muy útil, personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores, la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online, a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua.

El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada.

Ejemplo del código vulnerable:

Como se puede ver, en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas:

getURL(_root.clickTAG, "_blank");

El codigo anterio podria ser explotado de la siguiente forma:

http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar')

Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS

getURL(_root.url, "_blank");

Que puede ser explotada de la siguiente forma:

http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar')

Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano.

Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google ”filetype:swf inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico ”El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal.

Mas Información:
XSS vulnerabilities in 8 millions flash files
Serious web vuln found in 8 million Flash files XSS

También puede interesarte...

Multiples Vulnerabilidades en SMF

DragoN — Wed, 02 Dec 2009 16:45:13 +0000

En el foro ElHacker.net sacaron adelante un proyecto destinado a realizar auditorías de seguridad a nivel WEB sobre el popular software de foros SMF 2.0 (Simple Machines Forum) con la finalidad de que sus desarrolladores puedan crear cada día un software mas robusto y seguro, esta auditorio dio como resultado mas de 40 fallos de seguridad encontrados, un posible backdoor que los responsables de SMF tenían en el código.

Entre los fallos encontrados existen 3 con peligrosidad alta (uno de ellos permite ejecución remota de código), 14 con un nivel de peligro medio (en su mayoría ataques del tipo XSS) y en resto de los fallos tienen un nivel de peligrosidad bajo o nulo.

Desde la comunidad DragonJAR enviamos un saludo a los integrantes del equipo SimpleAudit no solo por los fallos encontrados, sino por la publicación responsable de ellos, esperando que SMF publicara una versión parcheada de su software para hacer el Full Disclosure.

Cada uno de los fallos encontrados en SMF han sido publicados y explicados en el foro de ElHacker.net por WHK, ademas en nuestro idioma.

Mas Información:
Pagina del Proyecto
Anuncio en el Foro
Full Disclosure

También puede interesarte...

XSS que permite postear a atacante registrado en WordPress

DragoN — Thu, 12 Nov 2009 07:56:06 +0000

Una nueva revisión de seguridad ha salido para la rama 2.8.x del popular WordPress, en esta ocasión se corrigen 2 fallos, el primero descubierto por el investigador en seguridad web Benjamin Flesch, permite a un usuario registrado, por medio de un ataque XSS en la función “Publica esto” (Press this), publicar cualquier contenido en nuestra pagina.

El segundo problema no es explicado claramente en el comunicado oficial de WordPress, solo nos comentan que el error se encuentra el sistema de archivos y que podría provocar vulnerabilidades en ciertas configuraciones de Apache y que lo ha Dawid Golunski.

Es recomendable que actualicen su versión de WordPress, ya sea por el panel de administración o descargando la ultima version desde su pagina oficia, para asegurarse de que tiene la mejor protección disponible.

También puede interesarte...

Bug en el modulo Quick Question de Joomla

DragoN — Sun, 30 Aug 2009 06:23:34 +0000

Gracias a PwnTnT en el foro me entero que el Centro de Estudios Superiores en Alta Tecnología en México realizo una especie de auditoria en el modulo Quick Question de Joomla encontrando mas de 7 fallos de seguridad en el mismo.

Algunas de las vulnerabilidades encontradas en este modulo de joomla son:

Log’s Poisoning
Massive Mail Sending
Visible Log’s
XSS
Email Bombing
LFI
y muchas mas

Podemos ver un vídeo donde se explota algunas de las vulnerabilidades de este modulo de Joomla

La misma gente del Centro de Estudios Superiores en Alta Tecnologia ha publicado un parche temporal para solucionar estos fallos de seguridad, solo es necesario crear .htacces en la carpeta donde se ubica el archivo quickQuestionLog.txt, con el siguiente contenido:

RewriteCond %{REQUEST_URI} ^(quickQuestionLog.txt) [NC] RewriteRule ^.*$ - [F,L]

y colocar el siguiente código al inicio del archivo mod_quick_question_sendform.php:

foreach($_REQUEST as $key => $value) $_REQUEST[$key] = htmlentities($value);

Puedes descargar una prueba de concepto y el full advisory de aqui.

Mas Información:
CCAT Research Lab`s – Advisor No. 2
Post en el foro