Los Servidores HTTP más Frecuentemente utilizados en Dominios GOB.PE

  • Posted on: 30 January 2019
  • By: ReYDeS

En la actualidad interactuamos constantemente con el entorno web. En consecuencia, uno de los principales vectores de ataque contra los servidores serán sus servicios web, los cuales generalmente están expuestos de manera abierta y pública. En caso el escenario de evaluación implique probar la seguridad de una aplicación web, es fundamental también conocer la infraestructura subyacente a esta, y tratar de obtener conocimiento sobre las potenciales vulnerabilidades existentes en el servidor web. Pues en caso sea factible explotarlo, esto podría facilitar la explotación de una o varias aplicaciones web funcionando sobre esta infraestructura.

El propósito del proceso presentado, es conocer cual es el software más frecuentemente utilizado para implementar servidores web, en dominios GOB. PE o del Gobierno de la República del Perú.

Se ha realizado previamente la extracción de nombres de dominio GOB.PE desde Google, extracción de direcciones IP hacia las cuales resuelven los dominio, y realizado un escaneo utilizando la herramienta “Nmap”, con las opciones pertinentes. Lo cual trata de obtener información más profunda y precisa sobre el servicio, software y versión de aquello ejecutándose en el puerto descubierto.

Esta evaluación se hizo contra aproximadamente 170 direcciones IP. Los resultados del escaneo realizado se almacenaron en tres archivos, los cuales inician con el nombre “google/nmap_ip_dominios_gob_pe”. Estos formatos corresponden a las extensiones .nmap, xml, y .gnmap, cada corresponde a un formato diferente factible de ser generado con herramienta “Nmap”.

Utilizando la shell de Linux, se obtuvo un listado de los puertos TCP correspondientes a servicios http o https más comúnmente encontrados en servidores de dominios GOB. PE.

# grep “http” google/nmap_ip_dominios_gob_pe.nmap | tr -s “ ” | grep -i “open”

Para realizar el ordenamiento, se toma como base la información sobre los servidores web incluidos en el sondeo del sitio web de “Netcraft” del mes en curso.

En las siguientes imágenes se presenta en una primera columna un número, el cual corresponde al número de coincidencias para un servicio en particular. Luego se presenta el número del puerto en donde atiende el servicio. Dado el hecho pueden diferir los nombres de los servicios de un mismo proveedor, en cuanto a su versión, parche, módulos, etc, se presenta todo el listado para una mejor análisis. Adicionalmente tener en consideración algunos servicios no necesariamente exponen esta información, lo cual no está contabilizado.

Microsoft | 23 servidores

# grep “http” google/nmap_ip_dominios_gob_pe.nmap | tr -s “ ” | grep “open” -i “microsoft” | sort -n -r | uniq -c | sort -n -r

Nginx | 57 servidores

# grep “http” google/nmap_ip_dominios_gob_pe.nmap | tr -s “ ” | grep “open” -i “nginx” | sort -n -r | uniq -c | sort -n -r

Apache HTTPD | 121 servidores

# grep “http” google/nmap_ip_dominios_gob_pe.nmap | tr -s “ ” | grep “open” -i “apache httpd” | sort -n -r | uniq -c | sort -n -r

Y como un adicional, algo relacionado a la nube

Con esta información obtenida sobre el tipo de servicio, software del servidor, versiones, módulos, extensiones, etc; resaltar también la posibilidad de obtener indicios sobre el sistema operativo subyacente, sea este un Windows, Linux u otro tipo; un atacante puede iniciar una investigación manual sobre vulnerabilidades, buscando en primera instancia en los sitios web de los proveedores de dicho software por reportes de vulnerabilidades, luego puede buscar también en sitios webs conteniendo bases de datos sobre vulnerabilidades y códigos de explotación.

Fuentes:

https://news.netcraft.com/archives/category/web-server-survey/
https://httpd.apache.org/
https://www.iis.net/
https://www.nginx.com/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete