ReYDeS's blog

Uno de los principales aspectos sobre las vulnerabilidades de inyección SQL el cual se debe entender, es como aprovecharse del interprete SQL. Un interprete toma entradas y actúa inmediatamente sobre estas, sin deber pasar a través de los procesos tradicionales de programación, como enlazado, compilación, depuración o ejecución. Por ejemplo, un interprete SQL tiene un rol importante cuando se busca por la información de un usuario. El siguiente código es parte de DVWA (Damn Vulnerable Web Application).

Un atacante malicioso pueden explotar vulnerabilidades de inyección, enviando entradas especialmente diseñadas para causar la aplicación web realice acciones como, exponer datos sensibles de la autenticación (nombres de usuario y contraseñas), o ejecutar comandos del sistema (añadir cuentas falsas de administrador). Los ataques de inyección son las explotaciones más dañinas enfrentadas por las aplicaciones web en la actualidad, por el hecho de impactar a un gran número de usuarios (clientes), además de la humillación pública cuando se exponen los ataques exitosos.

Los escáneres de vulnerabilidades para aplicaciones web tienen algunas claras deficiencias, en lo referente a los tipos de vulnerabilidades capaces de encontrar. Siendo esto muy necesario e importante conocer, antes de seleccionar y utilizar cualquier herramienta. A continuación se presenta una lista de vulnerabilidades en aplicaciones web, las cuales potencialmente podrían no ser detectados por los escáneres automáticos, esto sin importar sean Open Source (Fuente Abierta), gratuitos, o sea un enorme producto maravilloso de miles de dólares.

Existen tres tipos principales de vulnerabilidades en las aplicaciones web. Sin importar cual sea la herramienta seleccionada para realizar las pruebas, estos escáneres web deberán estar bien equipados para identificar lo siguiente:

Los escáneres para aplicaciones web proporcionan una manera automática de descubrir vulnerabilidades en la aplicación web, similar a lo hecho por herramientas como OpenVAS (Open Vulnerability Assessment System) o Nessus, en lo referente a su capacidad de encontrar malas configuraciones o parches no instalados. La mayoría de escáneres para aplicaciones web, se sitúan entre un navegador web y la aplicación web, como lo hace un proxy web, siendo generalmente parte de un conjunto de herramientas mayor como Zed Attack Proxy o Burp Suite.

OWASP Zed Attack Proxy (ZAP), es una de las herramientas libres de seguridad más populares a nivel mundial, y es activamente mantenida por cientos de voluntarios a nivel internacional. Esta herramienta puede ayudar a encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones. También es una gran herramienta para profesionales experimentados en pruebas de penetración, quienes lo utilizan para realizar pruebas manuales. Zed Attack Proy está instalado por defecto en Kali Linux.

Parece como si existiese un mantra aceptado universalmente en el Hacking Web, el cual versa sobre uno de los primeros elementos en la lista de tareas a realizar, lo cual implica instalar y configurar un proxy para ejecutarlo al unísono con un navegador web. De hecho esto es muy importante, pero lo más importante es entender las razones por las cuales se debe utilizar un proxy a través del cual el navegador interactúe con la aplicación web.Para empezar se debe definir las acciones realizadas millones de veces al día por el navegador web (cliente) y la aplicación web (servidor).

El éxito de los Fuzzers de mutación depende de dos factores:

• Los datos a utilizar como plantillas y mutados
• Los algoritmos utilizados para realizar la mutación

Los Fuzzers de generación también son denominados como pruebas basados en gramática o de caja blanca. Esta perspectiva se basa sobre la premisa de las pruebas eficientes requieren entender el funcionamiento interno del objetivo siendo evaluado. Los Fuzzers de generación no necesitan muestras de entradas válidas de datos, o capturas de protocolos como los basados en mutación. Estos son capaces de generar casos de prueba basados en modelos de datos describiendo la estructura de un dato o protocolo.

Los fuzzers basados en mutación, también denominados como fuzzers “tontos”, son la variante más simple y cercana hacia la idea original de aleatorizar los datos de entrada. Este nombre proviene de cambiar (mutar) los datos de entrada, usualmente hecho de una manera aleatoria. Los datos mutados son luego utilizados como entrada para el software en evaluación, con el propósito de intentar o generar una caída en el software.

Los fuzzers de mutación usualmente tienen dos parámetros los cuales pueden se ajustados: