Vaya dos noticias mayúsculas tenemos hoy sobre seguridad y auditoría de aplicaciones Web.
Por un lado comentan en SecuriTeam, autores de un gran paper previo, que Honeynet ha sacado un nuevo documento, muy en su línea habitual, titulado Know your Enemy: Web Application Threats, y con asuntos tan interesantes como la inyección de código, la inyección SQL, la inclusión de código remoto, Cross-Site Scripting, técnicas de descubrimiento … una auténtica joya. El paper hace un uso intensivo de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión anterior.
Honeynet es de estos grupos de investigación que no defrauda: genera información libre de primera mano, muy completa técnicamente y procede de auténticos investigadores de campo. Esencial en la biblioteca de cualquier usuario interesado en la seguridad. ¿Qué mas se podría pedir?
Pues sí, se podría pedir más. Y ese algo más es que la gente que lidera la investigación en estos temas publique un método para el análisis de aplicaciones Web. Pues nada, a festejar que tenemos la versión 2.0 de la Testing Guide OWASP oficialmente disponible. Open Web Application Security Project (OWASP) es una guía y conjunto de herramientas para la realización de auditorías y revisiones técnicas de aplicativos Web.
Con Webscarab como principal baluarte en lo que a herramientas se refiere, esta extraordinaria metodología, conjunto de herramientas y guía de testing proporciona paso a paso todos los elementos que deben ser ejecutados en un análisis Web, con el aliciente de que todo lo que forma parte de OWASP es material libre.
Con guías y herramientas de esta calidad, cualquier usuario podría hacer un análisis Web. Es cuestion de paciencia, de ir probando y de ir cogiendo práctica con el método, ya que en síntesis, es siempre el mismo. La experiencia es siempre un grado, pero nunca es tarde para ir atesorándola.
Saludos, y buen comienzo de semana :)
RFI: Remote File Inclusion. Desconocía hasta hoy la expresión técnica («nunca te acostarás sin aprender algo más»). Gracias por los enlaces. No obstante, el fenómeno de «malware broadcast via infected web servers» ya lo había visto. Y está claro que es una técnica de ataque en crecimiento (trends for 2007).
Hace unas semanas detecté un sitio web PHP infectado de una compañía seria (no diré el nombre por razones evidentes); tras avisarles y 8 días (…) lo corrigieron. Estaba claro que les habían atacado: inyección PHP desde una IP rusa «yepjnddqpq.xxx» [xxx = biz], con «iframe src», no con include (no soy experto, lo pongo por si es de interés a alguno).
NOTA: Ojo con «yep…» puede dañar su PC (aviso de google; creedle ;-) No es de extrañar que siga vivo y ahora apunte a otro país.
Desde «yep…» intentaba descargar en el PC navegante una batería interesante de bichillos, js-scripts, archivos WMF malformados, etc. Buen sistema de ataque… oh my god.
Pero tranquilos, esto ya no va a pasar más. Es una broma de kiddies y para marzo 2007 desaparecerán este tipo de ataques en todo el mundo… y mi madre es una extra-terrestre.
Bueno, perdonarme la broma. Gracias por los links, Sergio. La verdad, ofreces lecturas interesantes :-)
jcbarreto,
A mandar. Me alegro de que te gusten estos contenidos :)
Saludos,