2012

MOD SECURITY EN ACCION

Javier Garca Cambronel SEGUNDO DE ASIR 27/01/2012

[MOD SECURITY EN ACCION ] 27 de enero de 2012

QU ES WIRESHARK?

ATAQUE SIMPLE SOBRE XSS SOBRE DVWA COMPORTAMIENTO EN EL NAVEGADOR COMPORTAMIENTO WIRESARK COMPORTAMIENTO LOGS APACHE COMPORTAMIENTO LOGS MOD SECURITY

HERRAMIENTAS AUTOMTICAS

XSS ME
SQL INJECT ME ACUNETIX HAVIJ SQLI HELPER

[Escriba texto]

Pgina 1

[MOD SECURITY EN ACCION ] 27 de enero de 2012

QU ES WIRESHARK?

Wireshark (antes Ethereal) es un analizador de paquetes de red, una utilidad que captura todo tipo de informacin que pasa a travs de una conexin. Wireshark es gratis y de cdigo abierto, y se puede usar para diagnosticar problemas de red, efectuar auditoras de seguridad y aprender ms sobre redes informticas. Uno de los usos ms principales de Wireshark es la captura de paquetes, cuyos contenidos (mensajes, cdigo, o contraseas) son visibles con un clic. Los datos se pueden filtrar, copiar al portapapeles o exportar. Las capturas se inician y controlan desde el men Capture; presiona Control+E para empezar o detener la recogida de paquetes. Las herramientas de anlisis y estadsticas de Wireshark permiten estudiar a fondo los resultados. Como muchas utilidades de su tipo, Wireshark puede usarse para toda clase de propsitos, y solo de ti depende el uso correcto de sus funcionalidades. Pros

Anlisis de datos en tiempo real o guardados Compatible con ms de 480 protocolos Abre ms de 20 formatos de captura Abundante documentacin en lnea

Contras

Curva de aprendizaje muy elevada

[Escriba texto]

Pgina 2

[MOD SECURITY EN ACCION ] 27 de enero de 2012

Lo primero que debemos hacer es instalar Wireshark lo hacemos con el siguiente comando sudo apt-get install wireshark

Una vez lo tenemos instalado lo siguiente que debemos hacer para ejecutarlo es ir a Aplicaciones->Internet->Wireshark

[Escriba texto]

Pgina 3

[MOD SECURITY EN ACCION ] 27 de enero de 2012

ATAQUE SIMPLE SOBRE XSS SOBRE DVWA COMPORTAMIENTO EN EL NAVEGADOR

Nos vamos a la seccin de la pgina Web perteneciente a ataques XSS y en ella escribimos un simple <script>alert(1);</script>

SIN PROTECCION
Como vemos el ataque xss se ejecuta perfectamente cuando no tenemos ninguna proteccin

PARA IMPLEMENTAR LA PROTECCION DE ATAQUES XSS

Para solamente bloquear este tipo de ataques tendramos que meter en la carpeta de direccin etc/apache2/conf.d/modsecurity el archivo modsecurity_crs_10_config.conf y la carpeta optional_rules con el archivo modsecurity_crs_40_generic_attacks.conf en el que podremos borrar las dems reglas y solo dejar las que nos protegen de ataques XSS

[Escriba texto]

Pgina 4

[MOD SECURITY EN ACCION ] 27 de enero de 2012

En el, escribimos, borramos o metemos las reglas que nos interesen. Yo por ejemplo he dejado el siguiente cdigo. SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES "(?:\b(?:(?:type\b\W*?\b(?:text\b\W*?\b(?:j(?:ava)?|ecma|vb)|application\b\W*?\bx(?:java|vb))script|c(?:opyparentfolder|reatetextrange)|get(?:special|parent)folder|iframe\ b.{0,100}?\bsrc)\b|on(?:(?:mo(?:use(?:o(?:ver|ut)|down|move|up)|ve)|key(?:press|down| up)|c(?:hange|lick)|s(?:elec|ubmi)t|(?:un)?load|dragdrop|resize|focus|blur)\b\W*?=|abor t\b)|(?:l(?:owsrc\b\W*?\b(?:(?:java|vb)script|shell|http)|ivescript)|(?:href|url)\b\W*?\b(? :(?:java|vb)script|shell)|backgroundimage|mocha):|s(?:(?:tyle\b\W*=.*\bexpression\b\W*|ettimeout\b\W*?)\(|rc\b\W*?\b(? :(?:java|vb)script|shell|http):)|a(?:ctivexobject\b|lert\b\W*?\(|sfunction:))|<(?:(?:body\b. *?\b(?:backgroun|onloa)d|input\b.*?\btype\b\W*?\bimage)\b| ?(?:(?:script|meta)\b|iframe)|!\[cdata\[)|(?:\.(?:(?:execscrip|addimpor)t|(?:fromcharcod|c ooki)e|innerhtml)|\@import)\b)" \

"phase:2,capture,t:none,t:htmlEntityDecode,t:compressWhiteSpace,t:lowercase,ctl:auditLog Parts=+E,deny,log,auditlog,status:403,msg:'Cross-site Scripting (XSS) Attack',id:'950004',tag:'WEB_ATTACK/XSS',logdata:'%{TX.0}',severity:'2'"

Y por ltimo reiniciamos Apache.

[Escriba texto]

Pgina 5

[MOD SECURITY EN ACCION ] 27 de enero de 2012

CON PROTECCION
El script no se ejecuta y nos muestra una ventana de error que podemos personalizar. Sin cambiar el mensaje de error por defecto.

Cambiando el mensaje de error marcado en rojo en la pgina anterior

[Escriba texto]

Pgina 6

[MOD SECURITY EN ACCION ] 27 de enero de 2012

COMPORTAMIENTO WIRESARK
Cuando empezamos a capturar paquetes sale una ventana como esta

Escribiendo el comando que vemos en la imagen de abajo filtramos para que solo se muestre el flujo de datos que tiene realacion con esa direccin.

SIN PROTECCION
Podemos ver el comando que hemos ejecutado y toda la informacin de el ordenador que ha ejecutado ese comando. Versin del navegador, Versin de Windows, que en este caso es un Windows 7 Y lenguaje del navegador, el cual aunque parezca una tontera, nmos puede dar la nacionalidad del atacante.

[Escriba texto]

Pgina 7

[MOD SECURITY EN ACCION ] 27 de enero de 2012

CON PROTECCION
Obtenemos la misma informacin

[Escriba texto]

Pgina 8

[MOD SECURITY EN ACCION ] 27 de enero de 2012

COMPORTAMIENTO LOGS APACHE

Los log se apache se encuentran en la direccin que podemos ver en la imagen

SIN PROTECCION
Vemos que la peticin se acepta sin ningn problema pero podemos ver el comando que han ejecutado.

CON PROTECCION

Vemos como aparte de ver el comando que se ha ejecutado podemos cer que este ha sido denegado y el error que nos ha lanzado, en este caso el 501 pues todava no lo haba personalizado al error 403 FORBIDDEN

[Escriba texto]

Pgina 9

[MOD SECURITY EN ACCION ] 27 de enero de 2012

COMPORTAMIENTO LOGS MOD SECURITY

SIN PROTECCION
No se guarda ningn dato

CON PROTECCION
Con proteccin podemos ver que la peticin ha sido denegada y su cdigo, en este caso hemos probado con los dos errores tanto el 501 por defecto, como el 403 Forbidden, tambin podemos ver el ID de la regla que ha bloqueado el ataque y donde se encuentra, por si esto nos causara problemas deshabilitarla y como no en tag una explicacin de lo que interpreta mod security del cdigo insertado, en este caso no se equivoca: UN ATAQUE XSS.

[Escriba texto]

Pgina 10

[MOD SECURITY EN ACCION ] 27 de enero de 2012

XSS ME
XSS es la abreviatura de Cross-Site Scriping, una manera de atacar los sitios a travs de vulnerabilidades XSS en la inyeccin de cdigos HTML. La herramienta busca los puntos de entrada posibles para ataques contra el sistema. Los ataques XSS pueden causar graves daos a las aplicaciones web. En definitiva, XSS Me te ayuda a detectar las vulnerabilidades XSS para proteger tus aplicaciones de errores...

https://addons.mozilla.org/es-es/firefox/addon/xss-me/eula/88414?src=dp-btn-primary

Podemos ejecutarlo desde la barra de herramientas del navegador

[Escriba texto]

Pgina 11

[MOD SECURITY EN ACCION ] 27 de enero de 2012

Tambin podemos insertar nuestras propias reglas

Nos vamos a una de las dos pginas de ataques XSS de DVWA http://192.168.1.36/dvwa/vulnerabilities/xss_s/

[Escriba texto]

Pgina 12

[MOD SECURITY EN ACCION ] 27 de enero de 2012

RESULTADOS XSS ME
SIN PROTECCION
Al hacer el anlisis vemos los resultados que nos arroja

Y aqu vemos como los comandos que se han ejecutado y no han tenido xito quedan permanentemente a la vista de todos.

CON PROTECCION
Da los mismos resultados, no tiene mucho sentido, quizs es porque las reglas no se han activado bien? Si se han activado pues no podemos acceder con nuestra IP, para esta prueba las met completas, por si acaso.

[Escriba texto]

Pgina 13

[MOD SECURITY EN ACCION ] 27 de enero de 2012

SQL INJECT ME
Las vulnerabilidades de SQL Injection pueden causar mucho dao a una aplicacin web. Un usuario maligno podr ver registros, eliminar registros, colocar las tablas o acceder a tu servidor. SQL Inject-Me es un complemento de Firefox usado para evaluar las vulnerabilidades de SQL Injection. La herramienta funciona a travs del envi de las bases de datos a travs de los campos del formulario. Luego busca los mensajes de error en las bases de datos que se guardan en cdigos HTML de una pgina web. La herramienta no intenta comprometer la seguridad del sistema. Busca los posibles puntos de entrada para un ataque contra el sistema. No hace ningn anlisis, ni tiene paquetes de rastreo o ataques al cortafuegos.

Para encontrarlo nos desplazamos a la barra de herramientas de nuestro navegador

[Escriba texto]

Pgina 14

[MOD SECURITY EN ACCION ] 27 de enero de 2012

Nos vamos a la pgina de DVWA donde vamos a realizar el ataque.

[Escriba texto]

Pgina 15

[MOD SECURITY EN ACCION ] 27 de enero de 2012

RESULTADOS SQL INJECT ME

SIN PROTECCION
Ningn error

CON PROTECCION
Mas de lo mismo

[Escriba texto]

Pgina 16

[MOD SECURITY EN ACCION ] 27 de enero de 2012

ACUNETIX
SIN PROTECCION
Detecta todo lo que vemos en la pantalla de informacin Versin de Apache Sistema operativo Directorio base

Una vez terminado el anlisis vemos que solo ha encontrado un error grave, nada de XSS ni SQL, la verdad muy raro pero bueno.. encontramos un error de nivel high veamos cual es.

Vemos que lo que saca es la contrasea de Administrador, lo cual esta mas que bien ATAQUE TERMINADO ;)

[Escriba texto]

Pgina 17

[MOD SECURITY EN ACCION ] 27 de enero de 2012

CON PROTECCION
Vemos que la versin de Apache que nos detecta no es la que pertenece al nuestro, el programa nos esta engaando. Tambien nos miente sobre el sistema operativo que esta corriendo, dicindonos que corre sobre FEDORA, siendo mentira.

Vemos el resumen como ha cambiado el aspecto, dndonos menos informacin en principio.

[Escriba texto]

Pgina 18

[MOD SECURITY EN ACCION ] 27 de enero de 2012

Y as es, Adems la informacin que nos da es completamente Falsa.

HAVIJ
SIN PROTECCION No encuentra nada de nada

[Escriba texto]

Pgina 19

[MOD SECURITY EN ACCION ] 27 de enero de 2012

SQLI HELPER
SIN PROTECCION Solo encuentra la versin de apache y de PHP

Queda por probar SQLMAP (El cul es el nico que podra sacar las bases de adtos por su versatilidad y potencia). No se ha realizado el anlisis con esta herramienta, pues con la ltima versin de Python que es la que tengo instalada que era necesaria para un JOINER, no funciona bien y habra que volver a la versin anterior.

[Escriba texto]

Pgina 20