Grode María Isabel Rojo Abril 2014
Qué es Grode
Jul 08, 2015
Primera versión de Grode y primera versión de su presentación en sociedad. Grode es una herramienta de auditoria online para detección de vulnerabilidades en webs.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Grode
María Isabel Rojo
Abril 2014
Índice
Fases de un ataque
• Reconocimiento
• Escaneo
• Ganar Acceso
• Mantener acceso
• Borrar huellas
Clasificación de los tipos de ataques
• Autenticación
• Autorización
• Ataque en la parte cliente
• Ejecución de comandos
• Revelación de información
Tipos de ataques - Autenticación
• Fuerza bruta
• Autenticación insuficiente
• Débil validación de contraseñas
Tipos de ataques - Autorización
• Predicción de credenciales/sesión
• Autorización insuficiente
• Expiración de sesión insuficiente
• Fijación de sesión
Tipos de ataques – Ataques en la parte cliente
• Suplantación de contenido. Phising.
• Cross-site scripting
Tipos de ataques – Ejecución de comandos
• Desbordamiento de buffer
• Ataques de formato de cadena
• Inyección LDAP
• Comandos del sistema operativo
• Inyección de código SQL
• Inyección de código SSI
• Inyección XPath
Tipos de ataques – Revelación de información
• Indexación de directorio
• Fuga de información
• Path Transversal
• Localización de recursos predecibles
Tipos de ataques – Ataques lógicos
• Abuso de funcionalidad
• Denegación de servicio
• Anti-automatización insuficiente
• Validación de proceso insuficiente
Qué es Grode
• Grode es una herramienta que realiza una primera validación inicial sobre el nivel de seguridad de una web.
• Implementa varias técnicas.
• Uso sencillo e intuitivo.
• Resultados no incluyen información delicada.
• Pensado para desarrolladores, auditores o clientes preocupados por la seguridad de su web.
Técnicas implementadas
• Inyección SQL
• Mediante una batería de pruebas realiza validaciónes de vulnerabilidades en inyección SQL por las dos vías existentes:
– URL
– Formularios
Técnicas implementadas
• URL
– Si la web introducida por el usuario contiene variables del tipo: ?id=12345 se lanzan batería de pruebas del tipo:
• ?id=‘
• ?id=-1
– Grode realiza la comparación de resultados devueltos.
Técnicas implementadas
• Formulario
– Si la web introducida por el usuario contiene formularios Grode hace:
• Limpia la web dejando solo el formulario
• Deduce la web de destino del formulario.
• Saca las diferentes variables del mismo.
• Monta la web del tipo ?id=123456789.
• Lanza la batería de pruebas con ?id=-1 e ?id=‘.
• Analiza los resultados.
Técnicas implementadas
• Inyección SQL– Finalmente Grode devuelve un pequeño informe
donde se indica si la web tiene un nivel de vulnerabilidad:• Bajo
• Medio
• Alto
– Esto pone en alerta al especialista que puede realizar ya test mas profundos viendo cuanta información esta afectada por esa técnica.
Técnicas implementadas
• Indexación de directorio– Grode detecta si el sitio web solicitado tiene
archivo robots.txt
– Si tiene dicho archivo analiza cuantas lineas con formato Disallow: existen en el mismo.
– Monta cada linea con formato: www.url-victima.com/webDelRobots.php
– Analiza si existe la linea
– Devuelve la cabecera HTML sobre el estado de la petición
Técnicas implementadas
• Indexación de directorio– Los archivos robots.txt pueden ser realmente
extensos.
– Grode realiza de forma automática la auditoría sobre los mismos informando al auditor de que webs tienen contenido y su administrador no quiere que se vean.
– Da en un tiempo muy rápido un informe al auditor de que archivos están siendo ocultos y pueden ser vulnerables.
Técnicas implementadas
• Fuga de información– Grode aprovecha las diferentes pruebas que se
realizan durante la validación de otras técnicas para validar si sus diferentes respuestas contienen información sensible.
– Realiza la comparación buscando información sensible del tipo:• Devolución de errores con directorios.
• Devolución de errores con consultas o información de la BBDD.
• Devolución de errores con información sensible.
¿Qué aporta Grode?
• Pruebas de seguridad sencillas, solo se necesita una url.
• Resultados indicativos, explican el problema y nivel pero no muestra información sensible para usos indebidos.
• Primer test inicial sencillo para que auditores puedan focalizar sus esfuerzos en evaluar técnicas que devuelvan nivel de vulnerabilidad.
Versión Beta Grode
• Implementa las técnicas indicadas anteriormente:
– Inyección SQl
– Indexación de directorio
– Fuga de información.
• Ya disponible en www.grode.es
Futuro de Grode
• Software libre. Se liberará el código una vez finalizado el PFG.
• Implementación de más técnicas, las primera previstas:– Google Hacking. Conexión con la API de Google y
sincronización con los encontrado en robots.txt
– Inyección LDAP completa: Las pruebas actuales ya lanzan baterías que valen para esto, completarlo.
– Inyección Xpath.
Grode en los medios
• Video sobre Google Hacking donde se presenta Grode y su primera funcionalidad de análisis de robots.txt.
• Se ha presentado Grode al concurso de ISACA para jóvenes.
Related Documents
