Recolección de Información + Enumeración I – Top 10 OWASP vs Sitios Web Colombia IV

Posted by 4v4t4r On febrero - 19 - 2013

Esta publicación continúa desde:

Comenzamos entonces con algunos apartados un poco más técnicos en el proceso de investigación que decidí llamar Top 10 OWASP Vs Sitios Web Colombia.

Como primera etapa vamos a identificar los posibles sitios web considerados más importantes. Esto es solo un supuesto, pues el listado solo corresponde a los más visitados según diferentes sitios de ranking en internet. No quiere decir que sean los más importantes con respecto a la funcionalidad del mismo, por ejemplo servicios públicos, gestión de gobierno o similares. Vuelvo y repito SOLO los más visitados.

Para la muestra seleccioné los primeros 50 sitios web reportados como más visitados de Colombia. Cabe aclarar que en el ranking NO incluyo sitios Web extranjeros, es decir, sitios como facebook, google, bing, etc. NO hacen parte del Top, pues los mismos NO son administrados y/o gestionados desde Colombia, objetivo directo de la muestra. Veamos:

http://www.alexa.com/topsites/countries/CO

Ejemplo de la muestra:

Por lo tanto el listado quedó así:

  1. eltiempo.com
  2. elespectador.com
  3. grupobancolombia.com
  4. elcolombiano.com
  5. exito.com
  6. elempleo.com
  7. caracol.com.co
  8. canalrcnmsn.com
  9. elpais.com.co
  10. caracoltv.com
  11. claro.com.co
  12. davivienda.com
  13. tucarro.com.co
  14. portafolio.co
  15. unal.edu.co
  16. avianca.com
  17. sena.edu.co
  18. guiacereza.com
  19. falabella.com.co
  20. tecnoautos.com
  21. senasofiaplus.edu.co
  22. enter.co
  23. soho.com.co
  24. bancodebogota.com
  25. metrocuadrado.com
  26. dinero.com
  27. diarioadn.co
  28. elheraldo.co
  29. movistar.co
  30. eluniversal.com.co
  31. poligran.edu.co
  32. dian.gov.co
  33. cinecolombia.com
  34. noticiascaracol.com
  35. policia.gov.co
  36. pagosonline.net
  37. rcn.com.co
  38. wradio.com.co
  39. etb.net.co
  40. colpatria.com
  41. une.net.co
  42. laneros.com
  43. tigo.com.co
  44. procuraduria.gov.co
  45. chatiapues.com
  46. udea.edu.co
  47. saludcoop.coop
  48. lafm.com.co
  49. tuboleta.com
  50. bancodeoccidente.com.co

Una vez definida la muestra a analizar, definamos también la información que queremos recolectar de estos sitios. Esta información será la que normalmente tomo cuando recién inicio un Test de Penetración formal, obviamente sin realizar actividades intrusivas, pues estas van más allá del alcance de esta publicación.

Esta es la serie de fases metodológicas que utilizo cuando realizo algún proyecto relacionado. Señalando obviamente solo las que nos interesan en esta publicación.

Así, dentro de esta información nos interesa recolectar:

Archivos robots.txt, datos de registro de dominio, Google Hacking (correos electrónicos, archivos/directorios sensibles, metadatos), infraestructura de red, footprinting de aplicaciones y servicios web, manejo de errores, validación simple de datos, historial en internet, etc…

Comencemos entonces por la identificación del archivo robots.txt.

A modo muy general, el archivo robots.txt nos permitirá identificar algunos de los directorios que los webmaster o administradores consideran importantes/sensibles para ser indexados o no por los motores de búsqueda. En pocas palabras, el archivo robots.txt es de mucha importancia para nosotros los PenTesters, pues como sabemos realizaremos las mismas técnicas que realizarían los delincuentes informáticos para hacerse a la información.

Dicho archivo permite mediante una simple configuración autorizar o no que nuestro sitio o recursos del mismo sean almacenados en los motores de búsqueda (bing, yahoo, google, etc.)

Veamos esto con un práctico ejemplo:

http://www.sec-track.com/robots.txt

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Con estas sencillas líneas, le estoy estableciendo a google (ejemplo) que NO indexe estos directorios específicos.
Es decir… Si un atacante llegase a buscar dichos directorios en mi sitio web se encontraría con lo siguiente:


Obviamente el archivo robots.txt tiene una verdadera funcionalidad, y no se trata solamente de decir “no ingreses a este directorio”. Asimismo como le indicamos NO ingreses, también podemos decirle Ingresa (allow). Esto principalmente se utiliza en actividades de SEO y posicionamiento de contenido. En resumen, una interacción directa con los motores de búsqueda.

El problema radica como vemos, en que así como le indicamos al buscador el recurso no-permitido, también le estamos diciendo al atacante el recurso que “estamos protegiendo” o de información sensible. Y es justo aquí donde siempre he manifestado sobre el doble filo que puede tener este archivo.

Cuando me consultan sobre el utilizar o no este archivo robots.txt, siempre respondo: Depende! y es sobre todo porque así como los desarrolladores web/webmasters definen un público objetivo, los CEO/Gerentes/CISOs deben definir también un posible público “enemigo”. Y este puede ser prácticamente todos…

En otras palabras, (1) o le decimos solo a “algunos” (utilizando el archivo robots.txt) donde están nuestros directorios sensibles ej.

User-agent: *
Disallow: /admin/
Disallow: /secreto/

Y estos “algunos” serán estrictamente nuestros reales “enemigos”, los que están buscando directamente en este archivo.

(2) O le decimos a todos,  solo lo que queremos decirle.

Un ejemplo más claro, es cuando se identifica una falla tipo (0)day en algún CMS, para este ejemplo: Joomla. Es justo allí cuando los cientos de defacers/delincuentes/competencia, etc comienzan su rápida búsqueda de posibles sitios vulnerables. Por ejemplo, identificaron una falla en alguno de sus plugins (sin hacer referencia si es del propio core o de un tercero, solo un plugin X )

Si el ataque fuera directo, a un objetivo “militar”, los delincuentes buscarían directamente el archivo en la raíz del webserver: ej. http://www.joomlaencolombia.net/robots.txt

User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /images/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /libraries/
Disallow: /media/
Disallow: /modules/
Disallow: /plugins/
Disallow: /templates/
Disallow: /tmp/
Disallow: /xmlrpc/

Desde allí con algo de suerte (listado de directorios por ejemplo) verían si este sitio web tiene efectivamente el plugin en cuestión, sino optarían por realizar la consulta directamente a la URL para verificar.

Si el atacante no tiene un objetivo definido y solo quiere vulnerar la mayor cantidad de sitios posibles utilizaría por lo tanto google como herramienta de recolección e identificación de objetivos. Veamos el ejemplo como entonces identificarían la mayor cantidad de sitios vulnerables por utilizar X plugin:

En definitiva yo recomiendo el uso del archivo, obviamente bien configurado y no solo el que viene por defecto en el CMS de turno. Pues prefiero enfrentarme a un atacante directo (busca directamente el archivo robots.txt //GET /robos.txt HTTP/1.1 ) y no dejar todo abierto a los motores de búsqueda, para que los atacantes programen un webspider que recolecte los miles de sitios que usamos determinado CMS, directorio o archivo específico.

Cierro entonces con los resultados de la consulta al archivo robots.txt de la muestra de sitios más visitados. Mencionando también que nos interesa saber si alguno de estos NO lo utiliza y además no tiene un sistema adecuado de manejo de errores. En pocas palabras, nos interesa saber si lo tienen o no, y si falta, qué nos responde ante dicha petición. (pues veremos entonces posiblemente algo de revelación de información del servidor web)

Solo algunos resultados de interés:

Disallow: /blogs/cgi-bin/mt-search.cgi
Disallow: /estadisticas
Disallow: /participa
Disallow: /blogs/mt-static
Disallow: /registro

GET /robost.txt HTTP/1.0

HTTP/1.1 404 Not Found
Content-Length: 1635
Content-Type: text/html
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 19 Feb 2013 04:53:03 GMT
Connection: close

Disallow: /js/
Disallow: /css/
Disallow: /common/
Disallow: /account/
Disallow: /search/
Disallow: /test/
Disallow: /dialog/
Disallow: /email/
# Directories
Disallow: /AdditionalSitesForms/
Disallow: /Admin/
Disallow: /AdminSchema/
Disallow: /Billing/
Disallow: /bin/
Disallow: /Companies/
Disallow: /cgi-bin 
Disallow: /inicio
Disallow: /home
Disallow: /Home/*
Disallow: /forms/*
Disallow: /forms/
Disallow: /forms/inscrihoyxhoy/yrpoTerun2345.asp
Disallow: /forms/inscrihoyxhoy/slista.asp
Disallow: /buscar.aspx
Disallow: /buscar/*
Disallow: /?q=admin/
Disallow: /?q=comment/reply/
Disallow: /?q=contact/
Disallow: /?q=logout/
Disallow: /?q=node/add/
Disallow: /?q=search/
Disallow: /?q=user/password/
Disallow: /?q=user/register/
Disallow: /?q=user/login/

Not Found
The requested URL /robots.txt was not found on this server.
IBM_HTTP_Server at www

Disallow: /robots.txt
Disallow: /admin/
Disallow: /guiadesitios/admin/
Disallow: /comunidad/
Disallow: /comunidad4/
Disallow: /banners/
Disallow: /cgi-bin/
Disallow: /chat.php
Disallow: /chat/
Disallow: /imagenes/
Disallow: /images/
Disallow: /Visual/
Disallow: /ajaxstarrater_v122/
Disallow: /ajaxvotacion/

type Informe de estado
mensaje /robots.txt
descripción El recurso requerido (/robots.txt) no está disponible.
JBossWeb/2.0.1.GA

Disallow: /custom/plugins/
Disallow: /custom/themes/
Disallow: /custom/upgrade/
Disallow: /wp/wp-includes/
Disallow: /wp/wp-admin/
Disallow: /pls/portal/url/page/porvenir_2006/
Disallow: /pls/portal/url/PAGE/GAVAL/
Disallow: /pls/portal/url/page/atefi/
Disallow: /pls/portal/url/page/web_ath/
Disallow: /pls/portal/url/page/ValoresBog/
Disallow: /pls/portal/url/page/LEASING2010/
Disallow: /pls/portal/url/page/PLANETA_AZUL/
Disallow: /pls/portal/url/page/aladdin2008/
Disallow: /pls/portal/url/page/web_fidupopular/
Disallow: /pls/portal/url/page/VALORES_DE_OCCIDENTE/
Disallow: /pls/portal/url/page/FIDUBOGOTA_NEW/
Disallow: /pls/portal/url/page/LEASING_OCCIDENTE/
Disallow: /pls/portal/url/page/SITIO_BCOPOPULAR/
Disallow: /pls/portal/url/page/web_bcopopular/
Disallow: /pls/portal/url/page/NEW_SITIO_ATH/
Disallow: /pls/portal/url/page/SITIO_ATH/
Disallow: /albummovistar/
Disallow: /conectadospodemosmas/
Disallow: /correonokia/
Disallow: /demos_ServEnLinea/
Disallow: /demos_supertarifasmovistar/
Disallow: /foro_smartphones/
Disallow: /media/
Disallow: /media/paso_a_paso/
Disallow: /motorola_milestone/
Disallow: /smartblog/
Disallow: /Soy_Digital/
Disallow: /Buscador_Fija_Aqui/
Disallow: /brm2013/
Disallow: /Buscador_test/
Disallow: /PEAR/
Disallow: /tlMoviles/
Disallow: /xmlSms/
Disallow: /adminPilotoTienda2/
Disallow: /pruebaCap/
Disallow: /db/
Disallow: /class/
Disallow: /dataExtract/
Disallow: /templates/
Disallow: /templates_c/

Error
No se ha encontrado el objeto. (WWC-50003)
Atrás
Copyright © 2005, Oracle. Todos los Derechos Reservados

HTTP Status 404 – /robots.txt
type Status report
message /robots.txt
description The requested resource (/robots.txt) is not available.
Apache Tomcat/7.0.6

The requested URL /robots.txt was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_bwlimited/1.4 mod_fcgid/2.3.6 Server at www.

Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /images/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /libraries/
Disallow: /media/
Disallow: /modules/
Disallow: /plugins/
Disallow: /templates/
Disallow: /tmp/
Disallow: /xmlrpc/

A modo general observamos una correcta configuración del archivo en la mayoría de sitios web, salvo algunos otros que no lo tienen y que además no configuran adecuadamente los parámetros de respuesta ante la falta de un determinado archivo. Observamos también (resultado total) un alto uso del CMS Drupal como gestor de contenidos. Sabemos además que este, es relativamente un poco más seguro que muchos otros. Pero eso será materia de estudio para otro post.

Continuamos pronto…

Artículos, Presentaciones, Sec-Track

Panorama General de Seguridad Web en Colombia – Top 10 OWASP vs Sitios Web Colombia III

Posted by 4v4t4r On enero - 23 - 2013

Esta publicación continúa desde: Familiarizándonos con OWASP – Top 10 OWASP vs Sitios Web Colombia II

Es complicado generalizar sobre un panorama o estado del arte en Seguridad de Aplicaciones Web de Colombia, esto debido a que no existen cifras exactas de incidentes registrados. Sobre todo desde las entidades que deberían generar estos registros. Tan solo encontramos supuestas organizaciones líderes en el tema, pero estas se limitan a publicar noticias sacadas de otras fuentes y totalmente fuera de la problemática en cuestión. Un total desperdicio de recursos…

Lo más cercano a estos propósitos y como excelente iniciativa del experto en seguridad Jeimy J. Cano, es la reconocida Encuesta Latinoamericana de Seguridad de la Información. En la encuesta obtendremos un panorama global, no solo sobre seguridad en aplicaciones web, sino también en otros tópicos relacionados a la seguridad de la información.

Lamentablemente la encuesta no cuenta con todos los datos específicos que quisiéramos tener, pero por lo menos cubre algunos puntos de interés para esta publicación. Cabe notar que la encuesta no está dirigida exclusivamente para la población Colombiana, sino también para otros países de América Latina.

Como apreciación personal, considero como factor determinante el que no existan registros más profundos sobre incidentes de seguridad en aplicaciones web en Colombia,  a las propias empresas que no reportan los mismos. Esto posiblemente a la vergüenza y escándalo que puede producir el reconocer las debilidades existentes en sus propios sistemas.  Y por supuesto reconocer que mucha de su información ya fue comprometida y muy posiblemente sus propios datos y los de sus clientes se encuentran públicos en los famosos “leaks“, y en el peor de los casos ni por enterados se dan.

Veamos algunos resultados de la encuesta. Sobre todo los que están dirigidos a Fallas de Seguridad (tipos de fallas, identificación del incidente, notificación, etc.)… De total interés para nuestra publicación.

Población encuestada

1poblacion

Sectores encuestados

Fallas de seguridad identificadas (resaltas las más relacionadas a la publicación)

Mecanismos de protección utilizados

Notificación del incidente

Motivos por los que NO denuncian

La encuesta completa puede consultarse desde el propio sitio web de ACIS >>

Ahora bien, estos datos nos dan un panorama muy general del estado del arte, tendremos entonces que consultar por cuenta propia, acerca de incidentes reportados o “leaks” publicadas en otras fuentes de información…

Una de esas fuentes y relativamente nueva, pero con muy pocos datos (para nuestro país y otros en general) es Datalossdb. En este sitio bajo previo registro, podemos consultar algo de información que posiblemente nos amplíe el panorama. Veamos:

Incidentes en organizaciones Colombianas con su respectiva descripción de la actividad maliciosa

Otra fuente de información aun más cruda, pero más actualizada, así como real y con respecto a vulnerabilidades específicas en aplicaciones web, puede ser el sitio Zone-H. Un servicio que recopila diariamente (gracias a la propia notificación de los atacantes) los diferentes incidentes a organizaciones por medio de las aplicaciones web y que tienen como finalidad modificar el contenido de la página inicial (en su mayoría), conocido como Defacement (desfiguración).

Considero muy apropiado contar en esta publicación con datos como los expuestos en Zone-H, esto debido a que el dato/registro de la actividad maliciosa es realizada por el mismo atacante. Es decir, nada que ocultar y aun mejor, verificado por un agente externo (tercero, equipo de Zone-H). Ni el atacante, ni la víctima podrán manipular los datos.

Veamos entonces un corto análisis de resultados para nuestro país y por supuesto, los principales actores de esta actividad.

Resultados de la consulta sobre sitios web con dominio *.gov.co que han sufrido ataques y como resultado final un defacement (2.573)

Ahora lo mismo con dominios *.edu.co

Safety Last Group & ISLAM 47, como uno de los grupos más reconocidos en la “scene”, debido a la importancia de los sitios atacados y al nivel técnico mostrado para realizar los mismos.

Ataque específico del grupo Safety Last Group – ISLAM 47 al sitio web de la procuraduría general de la nación, al sitio de elecciones (precisamente con fecha cercana a los comicios) 

 

Casi el 100% de dominios *.mil.co, víctimas de los ataques de Safety Last Group – ISLAM 47

Finalmente podemos concluir que nuestro panorama es bastante gris (siendo generosos), pues si bien no tenemos un estado del arte completo sobre la efectividad de las medidas de seguridad implementadas en las organizaciones de Colombia, con los resultados expuestos anteriormente queda bastante claro sobre el alto grado de vulnerabilidad de los sitios por ahora más representativos.

Ya sobre estos sitios publicaré en detalle en el próximo post, además de la evaluación de las fallas con respecto a los sitios web de Colombia.

Continuamos pronto…

Artículos, Presentaciones, Sec-Track

Familiarizándonos con OWASP – Top 10 OWASP vs Sitios Web Colombia II

Posted by 4v4t4r On enero - 22 - 2013

Esta publicación continúa desde: Uso de Tecnologías en Aplicaciones Web – Top 10 OWASP vs Sitios Web Colombia I

OWASP es una de las más respetadas autoridades en el campo de la seguridad en aplicaciones Web. OWASP es el acrónimo de Open Web Application Security Project (Proyecto Abierto de Seguridad en Aplicaciones Web), y como su nombre indica es una organización abierta y sin ánimo de lucro con el objetivo de mejorar la seguridad en las aplicaciones Web.

OWASP es básicamente una fundación que reúne a colaboradores e investigadores individuales y por supuesto empresas patrocinadoras, quienes en conjunto, contribuyen al crecimiento del proyecto. Estas contribuciones incluyen documentos guías para el desarrollo de código seguro, guías para llevar a cabo pruebas de seguridad a las propias aplicaciones, herramientas para realizar ambas actividades (desarrollo seguro y evaluación de vulnerabilidades), librerías que pueden ser utilizadas para prevenir vulnerabilidades desde el código fuente, entornos de entrenamiento en desarrollo y testing, conferencias y otros recursos.

Uno de los mejores recursos es el conocido OWASP Top 10. Este listado recopila las 10 más críticas vulnerabilidades de seguridad en aplicaciones Web. Esta recopilación contiene datos objetivos de empresas patrocinadoras que informan sobre las diferentes vulnerabilidades que identifican en sus propias infraestructuras o en las que resguardan. Asimismo contiene unos datos subjetivos provistos por investigadores expertos que intentan clasificar la severidad de los daños que pueden causar dichas vulnerabilidades.

La primera versión de este documento fue creada en el año de 2004, luego actualizada en 2007 y actualmente contamos con una última actualización en el año de 2010. De aquí que muchos consideremos más que necesario una nueva actualización para el presente año. (nuevas tecnologías, nuevas vulnerabilidades y nuevos riesgos).
La lista viene organizada desde el riesgo más alto, hasta el más bajo (no por esto menos importante, pues recordemos que es el top 10 de muchos más).

Antes de arrancar con el listado, me gustaría hacer notar la importancia que le dan en el documento a la identificación y gestión de riesgos en las aplicaciones, pues va más allá de listar vulnerabilidades identificadas en gran proporción a vulnerabilidades que realmente tienen impacto técnico (objetivo) como al negocio (subjetivo). Veamos:

Dejo entonces la lista oficial desde el documento publicado en OWASP:

Otro de los aspectos y para mi el más importante, corresponde al tratamiento descriptivo que hacen de cada una de las vulnerabilidades  Pues involucra todos los diferentes aspectos que están relacionados con el análisis del riesgo (atacante, vector de ataque deficiencia de seguridad, impacto técnico y del negocio), veamos un ejemplo con Inyección:

Asimismo se incluyen unos parámetros para la identificación de la vulnerabilidad y por supuesto algunas de las maneras en que podemos evitar las mismas (todas estas como simples referencias de estudios y análisis más profundos)

 

Para profundizar sobre la Organización OWASP y todos sus proyectos, pueden consultar la página Web oficial >>

Para detallar y tener el completo listado del Top 10 OWASP, pueden descargar el documento en formato pdf >>

Continuamos pronto…

Artículos, Presentaciones, Sec-Track

Uso de Tecnologías en Aplicaciones Web – Top 10 OWASP vs Sitios Web Colombia I

Posted by 4v4t4r On enero - 21 - 2013

El año pasado tuve el placer de asistir a la primera versión del ACK Security Con. Allí presenté parte de una investigación que vengo realizando sobre el estado del arte en la seguridad de las aplicaciones Web en Colombia.

El tema es complejo y profundo, por ello, he decidido publicar la propia presentación del evento en diferentes posts, con el objetivo de detallar las ideas y planteamientos… Y por supuesto recibir nuevas opiniones de ustedes los verdaderos expertos.

Una de las primeras problemáticas que presenté, hace referencia a la implementación de tecnologías comunes o de uso masivo en las aplicaciones Web. Esto quiere decir, sobre la utilización de CMS, servidores Web, lenguajes de programación del lado del servidor entre otros, con reconocidas fallas de seguridad por defecto o por lo menos muy regulares o de constante identificación.

Este tema abre un debate entre defensores y detractores. Por ejemplo en el uso de CMS, (por poner sólo un ejemplo, que ya con lenguajes de programación es aún peor y ni que decir de Sistemas Operativos) ya que unos hablarán y argumentarán sobre las bondades del uso de alguno, por la fácil gestión de contenidos, la constante actualización de funcionalidades y por supuesto, mejoras en seguridad. Asimismo los detractores argumentarán sobre el alto impacto negativo que representa una falla en uno de estos gestores o lenguajes, debido principalmente al uso masivo que comentaba en un inicio. Y sobre todo acerca de la generosidad de tener un software hecho a la medida de las necesidades del usuario “sin manos extrañas que toquen nuestro código”.

Personalmente soy partidario del argumento “Depende”. Pues nada más cierto que cada quien con sus gustos y preferencias. Obviamente estas mismas por debajo del bien común del negocio. Y este mayormente representado en prestación del servicio y confidencialidad del mismo. Con todo lo que implica.

Vuelvo y repito… Nos abriría un eterno debate, por ejemplo sobre la posibilidad de auditoría de código, efectividad de escáneres de vulnerabilidades, malas prácticas de programación, facilidad de explotación, propagación masiva de otros ataques y un largo etcétera.

Lo presento como una constante problemática en seguridad. Pues finalmente será casi imposible ponernos de acuerdo en esto. Pero el riesgo es real.

Lo siguiente, es un listado de resultados de uso de tecnologías en Internet a nivel mundial, específicamente en relación a aplicaciones Web. Todas estas extraídas desde W3Techs, veamos:

 CMS (Content Management System / Sistema de Gestión de Contenidos)

El gráfico nos informa sobre un total de 68.1 % de NO uso de sistemas de gestión de contenidos. Un 17.5%  de uso del CMS WordPress sobre el total de sitios en Internet (una cifra bastante alta), además este mismo CMS representa el 54.8% del total de sitios Web que usan gestores de contenido para administrar los mismos.

Desde el sitio Web W3Techs, será posible además detallar las versiones específicas de estos gestores, veamos los resultados con los dos CMS más utilizados (WordPress & Joomla)

WordPress

Joomla

Lenguajes de programación del lado del servidor

Lenguajes del lado del cliente

Autoridades Certificadoras

Servidores Web

Versiones específicas de Apache

Versiones específicas de IIS

Sistemas Operativos

Versiones específicas de derivados UNIX

Versiones específicas Linux

Top Dominios

Algunos resultados son tranquilizadores con respecto a las versiones específicas de la tecnología. Pues confirman que se están utilizando las últimas versiones, que en su gran mayoría, no presentan vulnerabilidades (por lo menos no públicas hasta el momento, pero como todos sabemos y por lo que hemos visto últimamente es solo cuestión de tiempo). Algunos otros datos nos dejan esa sensación de preocupación. Sobre todo cuando consultamos informes como los siguientes (CVEDetails):

Vulnerabilidades Apache

Vulnerabilidades IIS

Vulnerabilidades PHP

Vulnerabilidades ASP.NET

Vulnerabilidades WordPress

Vulnerabilidades Joomla

Continuamos pronto…

Artículos, Presentaciones, Sec-Track

Evaluación y Explotación de Aplicaciones Web con Samurai Web Testing Framework (Entrenamiento)

Posted by 4v4t4r On marzo - 29 - 2012

 

Assessing and Exploiting Web Applications with Samurai-WTF es nada más y nada menos que un entrenamiento especializado y de alto nivel que se ve solo en espacios como BlackHat.

Como si esto fuera poco los desarrolladores del mismo, han decidido compartir dicho entrenamiento con licencia: Creative Commons Attribution-ShareAlike 3.0 License.

El course outline va de los siguiente:

Day 1 Morning Testing Methodology Recon & Map Walkthrough Target 1: Mutillidae – Mapping Walkthrough

Day 1 Afternoon Target 1: Mutillidae – Discovery Walkthrough – Exploitation Walkthrough Target 2: DVWA – Mapping Walkthrough

Day 2 Morning Target 2: DVWA – Discovery Walkthrough – Exploitation Walkthrough

Day 2 Afternoon Target 4: Samurai Dojo – Student Challenge – Challenge Answers En definitiva… Más de 200 slides de conocimiento puro…

Ver Online: Evaluación y Explotación de Aplicaciones Web con Samurai Web Testing Framework (Online version)

Descargar Evaluación y Explotación de Aplicaciones Web con Samurai Web Testing Framework (pdf)

Documentos, eBooks, Presentaciones, Test de Penetración

Conferencia: Técnicas y Herramientas de Hacking para Procesos de Auditoría

Posted by 4v4t4r On agosto - 2 - 2011

El siguiente video corresponde a la conferencia realizada por los investigadores y profesionales en Seguridad de la Información Fernando Quintero y Camilo Zapata. Dos expertos a quienes siempre tengo como referencia en mi país y que hace solo unos días casi ganan uno de los reconocidos challenges del HoneyNet Project.

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

Presentaciones, Videos

BarCamp Security Edition – Colombia

Posted by 4v4t4r On noviembre - 19 - 2010

Dentro de pocos días se llevará a cabo en diferentes ciudades de Colombia un magnífico evento y nuevo en su género completamente enfocado a la Seguridad de la Información.

Muy posiblemente estaré realizando una Desconferencia a nombre del proyecto Anti-Depredadores.com , bajo el título “Cazando a un Pedófilo en Internet“. Aunque los cupos son limitados, lo más probable es que se realicen transmisiones vía streaming para toda la comunidad en internet.

Las Desconferencias registradas hasta el momento son las siguientes:

@nonroot Esta dificil el asunto, que hago?, que hago?
@xpam24 Uso de GPU para descifrar contraseñas
@Mighty-D Entonces, ¿A ti tambien te gusta WinAmp?…
@4v4t4r Cazando un pedófilo a través de internet
@p4l30n Hardening Sistemas Linux
@JuandavidBerrio Defensa en Profundidad con software Libre
@ftbfs sǝʌǝɹ ןɐ sɐsoɔ sɐן opuǝıɔɐɥ: ɐsɹǝʌuı ɐıɹǝıuǝƃuı
@a.gomez IDS+Inteligencia artificial
@darkoperator Nessus & Nmap extensions for Metasploit
@fixxx3r VoIP….un paraiso
@bytemare Rompiendo el protocolo
@swordead Ettercap: Herramienta multiusos
@luiscano Los problemas de usar el navegador de siempre. Conozca el último Zero Day de IE
@eljeffto Entornos de Hacking y Pentesting de Bolsillo
@samuraiblanco Los metadatos te dejan al desnudo
@nemesis545 Iptables ¿seguridad por oscuridad?
@santiaguf Extracción de Metadatos con la Foca
@iron_fortress Seguridad en Voz IP
@epsilon77 PhpMyaudit
@axiacamus Como hackear Casinos legalmente
@juan_dero Seguridad en la capa 2 del modelo OSI
@jackfort Ingenieria social en gmail
@jlalinde Information Warfare

Extiendo la invitación realizada por lor organizadores.

En el país se han realizado  BarCamps con temáticas diversas y dentro del marco de estos eventos se presentan desconferencias en seguridad, sin embargo aún no se ha consolidado un BarCamp con una temática especifica como el tema de la Seguridad Informática. Por esto, hemos creado la iniciativa a la que se han unido las ciudades de Medellín, Pereira y Bogotá con el fin de crear un evento abierto y participativo organizado por personas que trabajan en el área y apoyado por todos aquellos que quieren compartir conocimientos y experiencias en un espacio común.

El deseo es que este evento se pueda realizar una o varias veces al año, generando así espacios apropiados para el manejo de estas temáticas.

Los temas de interés cubren básicamente todo lo relacionado con la seguridad informática analizada desde todos sus puntos de vista, las propuestas para la 1ra edición del BarCampSE son:

  • Seguridad física
  • Hardening de Equipos
  • Explotación de vulnerabilidades
  • Zero Days
  • Seguridad en Redes Sociales
  • Penetration Testing
  • Legislación en Seguridad
  • Seguridad en sistemas Operativos
  • Seguridad en Redes
  • Hacking, Cracking, Phreaking, Reversing, *Ing.
  • Malware en general

Para más información y registros >>

Allá no vemos ;)

Presentaciones

Listado de Conferencias de Seguridad Informática

Posted by 4v4t4r On agosto - 10 - 2010

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

Falta el http://congresohackingetico.com/ Colombia

Presentaciones