Agilizando SSH

Ampliando el post de mi compañero José Vila (@jovimon) sobre introducción a túneles SSH, os quiero mostrar otros truquillos para aquellos que usamos SSH a diario, y poder así agilizar tareas. Ya sabéis, para ser productivo hay que ser un maestro kung-fu de las herramientas que más usas ;)

Multiplexar conexiones y hacerlas persistentes aunque hayamos cerrado sesión

Muy útil si en nuestro día a día estamos entrando y saliendo en varios servidores. Aunque tengamos varias shells abiertas contra un servidor, el cliente SSH solo habrá creado una conexión y todas las consolas compartirán el mismo socket. De esta forma, sólo será necesario autenticarse la primera vez. Se creará un socket donde las siguientes conexiones a ese servidor irán multiplexadas a través de él. Por tanto, los próximos accesos serán mucho más rápidos y sin tener que introducir las credenciales de nuevo.

[Read more…]

Copiar un certificado para evadir autenticación

En ocasiones, una aplicación web permite utilizar certificados X.509 como medio de autenticación. Estos certificados, asociados a una persona, pueden ser generados bien por una autoridad certificadora reconocida (FNMT, ACCV…), o de forma privada para uso interno de una organización. En cualquier caso, la aplicación web debería comprobar que el certificado que se presenta está firmado por la CA correspondiente. De esta forma, se está asegurando que la persona es quien dice ser. Para información más ampliada sobre infraestructuras PKI, podéis leer la estupenda serie de posts del compañero David Cutanda. ... Leer Más

Bastionado de sistemas Linux

(N.d.E. Hoy les traemos una presentación que nuestro compañero José Luis Chica, @bufferovercat, realizó en la MurciaLanParty’13, sobre el Bastionado de sistemas Linux. Esperamos que les guste.)... Leer Más

Evasión de autenticación con inyección SQL

Los ataques de inyección SQL son muy conocidos y temidos por tener un impacto tremendo en la seguridad de una aplicación, además de ser la vulnerabilidad más común, según el Top Ten de OWASP. Cuando pensamos en una inyección SQL, enseguida la relacionamos con fuga de información o robo de credenciales, porque el ataque más usual es volcar tablas de la base de datos que utiliza la aplicación vulnerable.

En este post voy a hablaros de otro método para aprovechar una vulnerabilidad de inyección SQL: saltarse un formulario de login, pudiendo autenticarse sin conocer credenciales.

Partamos de un ejemplo típico: un formulario con un campo de usuario y otro de contraseña. La aplicación hará una consulta a la base de datos muy parecida al código a continuación:

[...]
$usuario=$_POST['usuario'];
$pass=$_POST['password'];
$query="SELECT * FROM users WHERE usuario = '$usuario' AND password = '$pass'";
[...]

[Read more…]

Recursos para formación en desarrollo web seguro

Probablemente muchos de vosotros habréis caído en la cuenta de la falta completa de información referente a la seguridad en desarrollo web que se suele impartir en universidades, o específicamente, en cursos o másteres de desarrollo. De toda la gente a la que he preguntado, a nadie le han enseñado técnicas de desarrollo seguro en su formación universitaria. Sólo una persona, que acabó recientemente la carrera, me comentó que había una asignatura referente a seguridad, muy en general, y era de libre elección. Y no sólo en la formación. En cualquier libro técnico sobre introducción al desarrollo web, tampoco hacen mucha mención a la necesidad de filtrar parámetros de entrada, o cifrar las comunicaciones de un formulario de login.... Leer Más

Filtrado de parámetros de entrada. Recomendaciones

Parámetros de entrada. Ese gran agujero de seguridad por el que se cuelan dos de las vulnerabilidades más comunes en cualquier aplicación web: Inyección SQL y Cross-Site Scripting. No están por casualidad en los puestos número uno y tres del TOP 10 de OWASP de este año 2013.... Leer Más

Productividad para pentesters

Continuando con la temática mi post anterior, me gustaría hablaros de esos temas que ayudan a mejorar la calidad de un pentest, pero que no se suelen encontrar en los manuales. Con la experiencia, acabas adquiriendo conocimientos que no te ha proporcionado un libro o un paper, esos hábitos que coges a lo largo de sucesivos proyectos, que has adoptado porque lo probaste una vez y te funcionó.

A continuación voy a enumerar unos cuantos hábitos que a mí personalmente me han funcionado de maravilla.

  • Conviértete en maestro shaolin de las herramientas que uses de forma cotidiana. ¿Sabías que en Burp Suite, con CTRL+SHIFT+U hace URL decode al texto seleccionado? Hay muchos atajos de teclado de acciones repetitivas que te harán trabajar más rápido. En la última Hack In Paris 2013 hubo una ponencia muy interesante sobre tips & tricks de Burp Suite, que recomiendo su lectura. Tómate tu tiempo en aprovechar todas las características de herramientas como vim, metasploit, gimp, o muy importante, el procesador de textos, para hacer el informe.
  • [Read more…]

Test de intrusión: Informe de resultados

Hoy día, tenemos disponible gran cantidad de material sobre temas relacionados con test de intrusión: cursos, libros, webs especializadas, etc. Todos explican que las fases de un pentest comienzan con la recogida de información, y terminan con la post-explotación y el borrado de evidencias, básicamente. Sin embargo, la mayoría de publicaciones que enseñan a hacer pentest, fallan en una parte importantísima: la elaboración del informe de resultados. ... Leer Más

Libro: Traffic Analysis with Tshark How-to

El libro que me gustaría comentar ha caído hace pocos días en mis manos y se titula “Traffic Analysis with Tshark How-to” cuyo autor es nada menos que nuestro compañero del blog Borja Merino (@BorjaMerino).... Leer Más

Análisis de estadísticas de red como herramienta de detección de incidentes

Las estadísticas de red, o network flows, son datos recopilados del tráfico de una red que básicamente suele consistir en registros de cada una de las conexiones. Pueden ser IP origen y destino, protocolo, número de paquetes enviados/recibidos, tiempo de conexión, etc. Esta información se almacena en base de datos para sacar estadísticas, muy útiles para los administradores de red, y también como vamos a explicar hoy, para la gestión de incidentes.... Leer Más