AWStats es una herramienta poderosa y con diversas funcionalidades, la cual genera estadísticas avanzadas para servidores web, streaming, ftp o de correo electrónico de manera gráfica. Este analizador de archivos “log” funciona como un CGI o desde una línea de comandos, y muestra toda la información posible contenida en los archivos “logs”.

Se ha identificado en AWStats una vulnerabilidad de redirección abierta (Open Redirect) en el parámetro de nombre “url” en el script en perl de nombre “awredir.pl”.

Una redirección abierta es una aplicación la cual toma un parámetro y redirecciona al usuario hacia un valor del parámetro sin ninguna validación. Esta vulnerabilidad puede ser utilizada para ataques de phishing con la intención de los usuarios visiten sitios web maliciosos sin percatarse.

Para la siguiente demostración se utiliza la versión de AWStats incluida en la máquina virtual OBWAP 1.1.1. Además se ejecuta al unísono ZAP.

Se ingresa hacia la aplicación web vulnerable.

Se evalúa la siguiente prueba de concepto.

http:// IP/awstats/awredir.pl?url=http:// www. google. com

Con la ayuda de Zed Attack Proxy puede visualizarse y comprobarse como se realiza la redirección hacia el sitio web indicado en el parámetro.

Las redirecciones y reenvíos no validados son posibles cuando una aplicación web acepta entradas no confiables, las cuales podrían causar en la aplicación web un redireccionamiento de la petición hacia una URL conteniendo entradas no confiables.

Fuentes:

http://sourceforge.net/p/owaspbwa/tickets/search/?q=!status%3Aclosed
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4547
http://www.tenable.com/pvs-plugins/5249
https://www.owasp.org/index.php/Open_redirect
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat...