Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

Analisar vulnerabilidades em sites (web apps)

Mensagens Recomendadas

herakty

Cada vez mais o mundo se virou para a web e se já passamos a revolução chamada web2, estamos noutra revolução que são as RIA (Rich internet applications)... neste momento até estou a trabalhar nessa área

E com o levantar das seguranças, mt graças a pessoas que mostraram que a segurança é uma realidade cada vez mais se torna dificil encontrar vectores de entrada numa rede... e ai entra as aplicações web

Todas as redes disponibilizam aplicações web e hoje com o SaaS até web services (um novo vector)... como isto quero dizer que se nós depararmos com uma rede com firewall, serviços actualizados e tudo o mais... o vector tradicional de exploitation deixa de ter efeito... então é preciso explorar as aplicações web

Uma coisa que não é perceptível para muita gente é o poder dos ataques web... eu tenho uma consola (uma shell tipo o cmd.exe no windows) em XSS... uma cena brutal que alguém fez para se injectar num site com uma única vulnerabilidade XSS... isto é... é possível ter o mesmo nivel de poder via web, como no exploitation tradicional...

Neste post não vou entrar nas soluções mas para posso dizer que para programadores há questões básicas a ter em conta, como controlar todo o input que é feito no site... tudo o que entra, quer por campos textinput tipo o pesquisar ou logins, quer por URL... nunca se esqueçam do URL

Vejam esta discussão sobre validar inputs e sobre a função PHP mysql_real_escape_string (é preciso mais do que usar apenas essa função e nesse debate vão ver porque... mt bom debate sobre o tema)

https://addons.mozilla.org/en-US/firefox/search?q=SQL+Injection&cat=all&advancedsearch=1&as=1&appid=1&lver=3.5&atype=0&pp=20&pid=5&sort=&lup=

o que o OWASP tem a dizer sobre o assunto

http://www.owasp.org/index.php/SQL_Injection

E há uma classe PHP para validar inputs:

http://www.phpclasses.org/browse/package/2189.html

MAS AO QUE INTERESSA QUE É ANALISAR:

atenção aos falsos positivos... por vezes as ferramentas pensam que há problemas e não há... verifiquem bem os resultados

w3af is a Web Application Attack and Audit Framework. tá a rular e tenho um tópico só sobre isso

http://w3af.sourceforge.net/

Nikto  sempre rulou

Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6100 potentially dangerous files/CGIs, checks for outdated versions of over 950 servers, and version specific problems on over 260 servers. It also checks for server configuration items such as the presence of multiple index files, HTTP server options, and will attempt to identify installed web servers and software. Scan items and plugins are frequently updated and can be automatically updated.

http://cirt.net/nikto2

Add-ons de Firefox para testarem as vossas aplicações

https://addons.mozilla.org/en-US/firefox/search?q=SQL+Injection&cat=all&advancedsearch=1&as=1&appid=1&lver=3.5&atype=0&pp=20&pid=5&sort=&lup=

Nessus na vertente web (escolham os plugins referentes ao tema)

www.nessus.org

acunetix free edition

http://www.acunetix.com/cross-site-scripting/scanner.htm

Os scrips do NMAP que fazem testes:

http://nmap.org/nsedoc/

Manual NMAP:

http://nmap.org/book/toc.html

Listagem de ferramentas quer pagas, quer gratis:

http://projects.webappsec.org/Web-Application-Security-Scanner-List

E a 10 melhores segundo um referendo à comunidade por votos:

http://sectools.org/web-scanners.html

Mas explorem também no metasploit a sua framework de testes

e postarei mais porque vou ter mesmo de sair agora ou matam-me  :) :-[

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty

pahhh.... pesquisem no google por "metasploit web scanner" e vão ver UM POST DO P@P... na 1º página.... isto é MUNDIAL... P@P RULA  :P:D:):thumbsup: :thumbsup: :thumbsup:

Mais uma lista de aplicações de análise de sites, web applications

http://www.networkintrusion.co.uk/index.php/products/Scanning-Products/Website-Scanners.html

Mas destako:

WMAP Web Application scanning framework for Metasploit 3 (a 1º referencia a este módulo é de um post no P@P  :thumbsup::cheesygrin:)

http://www.metasploit.com/redmine/projects/framework/wiki/WMAP

w3af is a Web Application Attack and Audit Framework. (brutal pois não só descobre como pode explorar a vulnerabilidade)

Wikto (analisa com base em base de dados de vulnerabilidades conhecidas... muitas mesmo)

Nikto (analisa com base em base de dados de vulnerabilidades conhecidas... muitas mesmo)

Paros Proxy  (paros server para várias coisas, uma muito interessante é men in the midle, onde podemos interceptar os valores enviados num form para um site e alteralos... dá muito jeito  :smoke: :thumbsup:... tb é bom para analisar o trafego HTTP em código fonte... e mais umas surpresas para explorarem)

e todos os que já referi em cima, no post inicial... alguns são repetidos mas como aparecem nesta nova lista

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
placker

Não sei se alguém tem o mesmo problema que eu mas o W3AF tanto para Linux quanto para Windows em modo gráfico costuma crashar.

Normalmente quando utilizo o exploit SQL_WEBSHELL.

Alguém com o mesmo problema?

Como corrigir?

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Não sei se alguém tem o mesmo problema que eu mas o W3AF tanto para Linux quanto para Windows em modo gráfico costuma crashar.

Normalmente quando utilizo o exploit SQL_WEBSHELL.

Alguém com o mesmo problema?

Como corrigir?

crashar, como assim? podes detalhar melhor a situação? dá-te um erro? já viste alguma coisa no logview na tab aplicacional? e na de sistema alguma coisa relacionada? aparece alguma mensagem? fica muito tempo sem fazer nada? cracha o windows?

detalha melhor a situação para te ajudar, pois não me acontece... atençao que para aplicares um exploit é preciso uma vulnerabilidade compativel

como estas a detectar as vulnerabilidades?

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
placker

Não crasha o Windows o próprio W3AF é que deixa de responder.

Quanto a detecção de vulnerabilidades, faço uma auditoria, e ao detectar a vul vou na aba exploits e lanço o exploit apropriado, porem é nesta fase que ás vezes o programa deixa de responder, já em modo console não acontece.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.