Sunday, September 3, 2017
Un pentesting usando OWASP Top Ten 2017 Sensitive Data Exposure Security Misconfiguration Code Injection
Un pentesting usando OWASP Top Ten 2017 Sensitive Data Exposure Security Misconfiguration Code Injection
En los �ltimos ex�menes de las convocatorias de las becas Talentum Startups de Telef�nica, una de las preguntas que realizamos a los candidatos, para ver qu� tipo de contacto o conocimientos tienen sobre seguridad inform�tica, es qu� prioridad tiene la exposici�n de datos sensibles frente a otro tipo de amenazas, todas ellas, recogidas en el informe Top Ten de la OWASP.
A veces nos encontramos con que las vulnerabilidades de inyecci�n de c�digo, situadas en las primeras partes de la lista son las m�s importantes, pero como se ve en el libro de Hacking Web Technologies, otro tipos de vulnerabilidades menores pueden ser el indicio para encontrar fallos que permitan llegar al coraz�n del sistema. En el informe OWASP TOP TEN 2017, la exposici�n de datos sensibles ocupa el sexto lugar.
A priori, puede parecer que la exposici�n de datos sensibles puede tener poco peso espec�fico en comparaci�n con otro tipo de riesgos recogidos en el informe, pero, como veremos en el siguiente art�culo, la exposici�n de datos sensible puede desvelar otros vectores de ataque por los cuales un atacante puede obtener informaci�n realmente cr�tica de una organizaci�n, simplemente haciendo correctamente la fase de footprinting de toda auditor�a.
Transferencia de Zona
En un ethical hacking realizado dentro de un entorno donde se haga uso de un servicio de DNS a nivel interno de la organizaci�n, una de las cosas que siempre hay que mirar es si el servidor que soporta la resoluci�n de nombres est� bien configurado, por ejemplo, no permitiendo que el servidor primario de una zona revele nombres y direcciones IP de las m�quinas que forman esa zona. Para ello, basta detectar la m�quina que aparezca en el registro SOA y �sta sera qui�n tenga conocimiento de los nombres y direcciones IP de la zona.
Una vez detectado el servidor de nombres que conoce la zona, el siguiente paso es hacer que sea nuestro servidor de nombres y realizarle la petici�n de transferencia de zona pregunt�ndole por todas las m�quinas que est�n bajo el nombre de dominio principal donde �l se encuentra.
Si el servidor de nombres primario de la zona no est� bien configurado, arrojar� todos los hostnames y las direcciones IP de las m�quinas que forman la zona que �l controla, como sucede en este caso:
Aunque, como recoge la OWASP Top Ten, no salgan a priori datos confidenciales, la transferencia de zona nos aporta una informaci�n m�s que interesante para probar otros vectores de ataque, como veremos a continuaci�n y, por supuesto, es un fallo de seguridad que se debe evitar en la configuraci�n de cualquier servidor DNS de una organizaci�n.
Inyecci�n de c�digo
Tal y como recoge el Top Ten de OWASP, en 2017 la vulnerabilidad con m�s criticidad en entornos web sigue siendo la inyecci�n de c�digo. La transferencia de zona anterior nos revela una web que puede que sea vulnerable a inyecci�n de c�digo SQL.
Automatizando el ataque SQLi con la herramienta sqlmap que viene con Kali Linux 2, parece que hay un par�metro enviado por GET al servidor donde poder inyectar c�digo SQL y JavaScript.
Al final, se comprueba c�mo realmente es posible inyectar c�digo SQL por el par�metro indicado, junto con los diferentes payloads que aprovechan la vulnerabilidad se�alada para, en este caso, extraer informaci�n del motor de la base de datos.
Ejecutando el comando sqlmap -u http://157.xxxxxxx.xxxx.php?Curso=2009 -p Curso --tables -T Miembros �dump es posible obtener los datos confidenciales almacenados sobre los miembros de la organizaci�n, como su cuenta de correo electr�nico y su contrase�a sin cifrar, algo que en el OWASP TOP Ten del a�o 2007 estaba catalogado en puesto 8: Insecure Cryptographic Storage.
Conclusiones
Puede parecer que la exposici�n de datos sensible, dentro del ranking establecido por la OWASP TOP Ten 2017 tenga menos importancia que el resto de vulnerabilidades que la preceden, pero gracias a esta relevaci�n de informaci�n, a veces es posible descubrir y explotar otras vulnerabilidades con m�s peso dentro del Top Ten.
Adem�s, aunque la OWASP no incluya de manera expl�cita dentro de la Exposici�n de Datos Sensibles la informaci�n a la que se puede acceder por culpa de un servidor de nombres mal configurado, puede arrojarnos pistas muy �tiles a seguir en un test de intrusi�n y este fallo queda reflejado en el elemento 5: Security Misconfiguration.
Autor: Amador Aparicio de la Fuente (@amadapa)
Escritor del libro "Hacking Web Technologies"
 |
| Figura 1: Un pentesting usando OWASP Top Ten 2017: Sensitive Data Exposure, Security Misconfiguration & Code Injection |
A veces nos encontramos con que las vulnerabilidades de inyecci�n de c�digo, situadas en las primeras partes de la lista son las m�s importantes, pero como se ve en el libro de Hacking Web Technologies, otro tipos de vulnerabilidades menores pueden ser el indicio para encontrar fallos que permitan llegar al coraz�n del sistema. En el informe OWASP TOP TEN 2017, la exposici�n de datos sensibles ocupa el sexto lugar.
 |
| Figura 2: Posici�n de "Sensitive Data Exposure" en el ranking OWASP Top Ten 2017 |
A priori, puede parecer que la exposici�n de datos sensibles puede tener poco peso espec�fico en comparaci�n con otro tipo de riesgos recogidos en el informe, pero, como veremos en el siguiente art�culo, la exposici�n de datos sensible puede desvelar otros vectores de ataque por los cuales un atacante puede obtener informaci�n realmente cr�tica de una organizaci�n, simplemente haciendo correctamente la fase de footprinting de toda auditor�a.
Transferencia de Zona
En un ethical hacking realizado dentro de un entorno donde se haga uso de un servicio de DNS a nivel interno de la organizaci�n, una de las cosas que siempre hay que mirar es si el servidor que soporta la resoluci�n de nombres est� bien configurado, por ejemplo, no permitiendo que el servidor primario de una zona revele nombres y direcciones IP de las m�quinas que forman esa zona. Para ello, basta detectar la m�quina que aparezca en el registro SOA y �sta sera qui�n tenga conocimiento de los nombres y direcciones IP de la zona.
 |
| Figura 3: Servidor primario DNS y direcci�n e-mail del administrador del dominio. |
Una vez detectado el servidor de nombres que conoce la zona, el siguiente paso es hacer que sea nuestro servidor de nombres y realizarle la petici�n de transferencia de zona pregunt�ndole por todas las m�quinas que est�n bajo el nombre de dominio principal donde �l se encuentra.
 |
| Figura 4: Petici�n de transferencia de zona del dominio objetivo |
Si el servidor de nombres primario de la zona no est� bien configurado, arrojar� todos los hostnames y las direcciones IP de las m�quinas que forman la zona que �l controla, como sucede en este caso:
 |
| Figura 5: Extracto de la informaci�n de la zona devuelta por el DNS primario |
Aunque, como recoge la OWASP Top Ten, no salgan a priori datos confidenciales, la transferencia de zona nos aporta una informaci�n m�s que interesante para probar otros vectores de ataque, como veremos a continuaci�n y, por supuesto, es un fallo de seguridad que se debe evitar en la configuraci�n de cualquier servidor DNS de una organizaci�n.
Inyecci�n de c�digo
Tal y como recoge el Top Ten de OWASP, en 2017 la vulnerabilidad con m�s criticidad en entornos web sigue siendo la inyecci�n de c�digo. La transferencia de zona anterior nos revela una web que puede que sea vulnerable a inyecci�n de c�digo SQL.
 |
| Figura 6: Sitio web posiblemente vulnerable a SQLi |
Automatizando el ataque SQLi con la herramienta sqlmap que viene con Kali Linux 2, parece que hay un par�metro enviado por GET al servidor donde poder inyectar c�digo SQL y JavaScript.
 |
| Figura 7: Posible par�metro GET vulnerable a SQLi y XSS |
Al final, se comprueba c�mo realmente es posible inyectar c�digo SQL por el par�metro indicado, junto con los diferentes payloads que aprovechan la vulnerabilidad se�alada para, en este caso, extraer informaci�n del motor de la base de datos.
 |
| Figura 8: Par�metro vulnerable a SQLi y payloads que pueden aprovechar el bug |
Ejecutando el comando sqlmap -u http://157.xxxxxxx.xxxx.php?Curso=2009 -p Curso --tables -T Miembros �dump es posible obtener los datos confidenciales almacenados sobre los miembros de la organizaci�n, como su cuenta de correo electr�nico y su contrase�a sin cifrar, algo que en el OWASP TOP Ten del a�o 2007 estaba catalogado en puesto 8: Insecure Cryptographic Storage.
 |
| Figura 8: Informaci�n confidencial de algunos miembros de la organizaci�n |
Conclusiones
Puede parecer que la exposici�n de datos sensible, dentro del ranking establecido por la OWASP TOP Ten 2017 tenga menos importancia que el resto de vulnerabilidades que la preceden, pero gracias a esta relevaci�n de informaci�n, a veces es posible descubrir y explotar otras vulnerabilidades con m�s peso dentro del Top Ten.
 |
| Figura 9: Security Misconfiguration en OWASP Top Ten 2017 |
Adem�s, aunque la OWASP no incluya de manera expl�cita dentro de la Exposici�n de Datos Sensibles la informaci�n a la que se puede acceder por culpa de un servidor de nombres mal configurado, puede arrojarnos pistas muy �tiles a seguir en un test de intrusi�n y este fallo queda reflejado en el elemento 5: Security Misconfiguration.
Autor: Amador Aparicio de la Fuente (@amadapa)
Escritor del libro "Hacking Web Technologies"
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
