Showing posts with label transparency. Show all posts
Showing posts with label transparency. Show all posts
Friday, September 15, 2017
Fear the FOCA Descargar FOCA y el plugin de Certificate Transparency Checker para FOCA
Fear the FOCA Descargar FOCA y el plugin de Certificate Transparency Checker para FOCA
Nuestra querida FOCA Final Version sigue siendo una de las herramientas m�s populares, y las descargas de la misma siguen siendo much�simas. Si te has le�do el libro de Pentesting con FOCA, sabr�s que existe la posibilidad de extender la funcionalidad b�sica de la misma por medio de un sistema de plugins, y esto es lo que desde el laboratorio de ElevenPaths acaban de hacer.
 |
| Figura 1: Descargar FOCA Final Version y el plugin de Certificate Transparency Checker para FOCA |
Hace poco, desde el equipo de ElevenPaths en Buenos Aires, se lanz� el plugin gratuito Certificate Transparency Checker para Mozilla Firefox, que muchos usuarios han comenzado a utilizar y que permite verificar las opciones de Certificate Transparency de los sitios web que visitas solo con tenerlo activado.
Figura 2: Instalaci�n y uso de Certificate Transparency Checker para Mozilla Firefox
Ahora, se ha incorporado dentro de las caracter�sticas de la FOCA, por lo que si te descargas el Plugin de Certificate Transparency Checker para FOCA y lo instalas, podr�s verificar cu�les son las opciones de seguridad de todos los sitios que se son escaneados.
Una vez que descargues el plugin en una carpeta, ver�s que hay un librer�a DLL que deber�s cargar dentro de nuestra querida FOCA rosa. Es importante recordar que la librer�a BouncyCastle.Crypto.dll debe copiarse al mismo directorio que el ejecutable de FOCA Final Version.
 |
| Figura 3: Ficherso en el plugin de Certificate Transparency Checker para FOCA |
Para ello, vete a la secci�n de plugins, y dale a a�adir uno nuevo. En el cuadro de dialogo que te aparezca deber�s seleccionar la librer�a DLL que se llama CertificateTransparencyChecker.dll y deber�s tenerla en la carpeta Plugins para que FOCA pueda extender la funcionalidad que ofrece de serie.
 |
| Figura 4: Selecci�n de la DLL del plugin |
A partir de ese momento, podr�s utilizar la verificaci�n de los SCT de cada sitio web que solicites directamente desde FOCA, tal y como se ve en esta imagen.
 |
| Figura 5: Certificate Transparency Checker corriendo en FOCA |
Para que veas lo f�cil que es extender tu funcionalidad de FOCA y lo sencillo que es utilizarlo, hemos hecho este v�deo de dos minutos.
Figura 5: Instalaci�n y uso de Certificate Transparency Checker en FOCA
Puedes descargar la FOCA desde la web de ElevenPaths y el plugin Certificate Transparency Checcker para FOCA desde esta URL de la web del laboratorio de ElevenPaths.
Fear the FOCA!
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
Saturday, September 9, 2017
Expect CT Un nuevo HTTP Header de Google para Certificate Transparency
Expect CT Un nuevo HTTP Header de Google para Certificate Transparency
Hace poco que hemos lanzado desde ElevenPaths nuestro add-on Certificate Transparency Checker para Mozilla Firefox, y es que no quedan muchos meses para que el modelo de Certificate Transparency empujado por Google empiece a ser realidad en Google Chrome. De hecho, a comienzos de este a�o Google ha empujado tambi�n un nuevo HTTP Header para que los servidores vayan reportando a los navegadores si van a estar listos o no para la llevada de Certificate Transparency.
 |
| Figura 1: Expect-CT un nuevo HTTP Header de Google para Certificate Transparency |
El HTTP Header se llama Expect-CT y su formato est� recogido en un draft durante el modo experimental en que est�. La idea de este HTTP Header es informarle al navegador si debe esperar o no la entrega de los SCT (Signed Certificated Time-Stamps) que van asociados a los certificados cuando estos est�n publicados en los logs de los servidores de Certificate Tansparency.
 |
| Figura 2: Expect-CT Extension for HTTP draft |
Este HTTP Header tiene tres posibles directivas. La primera ser� la posibilidad de forzar o no forzar el uso de Certificate Transparency. Para ello, si el HTTP Header de Expect-CT lleva la directiva "enforce" el navegador deber� esperar la llegado de los SCT y si no llegan, abortar la conexi�n.
Expect-CT: enforce
La segunda es el tiempo que debe ser cacheada esta directiva en el navegador, y este es un valor en segundos que se inserta en max-age. Es decir, una vez que un servidor web env�e la pol�tica Expect-CT, esta perdurar� durante el "max-age" en la cach� del navegador.
Expect-CT: enforce; max-age=1440
La tercera y �ltima es "report-URI", es decir, la URL a la que el navegador deber�a enviar los reportes de fallos en la pol�tica Expect-CT.
Expect-CT: enforce; max-age=1440;
report-URI= https://misitio.com/CTReport/
Estos "violation reports" los env�a el navegador en formato JSON al endpoint que se reporte en la directiva, y tienen esta estructura.
 |
| Figura 3: Formato JSON de Violation Report de Expect-CT |
Si tu sitio web ya est� listo para Certificate Transparency, puedes comenzar a utilizar este HTTP Header en modo "report-URI" sin "enforce", para que vayas viendo c�mo se comportan los navegadores.
Figura 4: Certificate Transparency Checker para Mozilla Firefox
Si quieres, en el blog de ElevenPaths puedes leer m�s sobre Certificate Transparency, y puedes usar nuestro add-on gratuito Certificate Transparency Checker para Mozilla Firefox.
Saludos Malignos!
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
Subscribe to:
Posts (Atom)