Agenda Introducción Cross Site Scripting Unicode Hack Ataques CGI Conclusiones Referencias
Introducción Qué son? Ataques a Aplicaciones, Clientes y Servidores Web
Puertos Web: 80, 81, 443, 8000, 8001, 8010, 8080
Tipos de Ataques Usan “Código Malévolo”: vulneran usuarios domésticos “Canonización”: atacan errores en el proceso de conversión (URL, direcciones IP, etc.)
Agenda Introducción Cross Site Scripting Unicode Hack Ataques CGI Conclusiones Referencias
Cross Site Scripting Se aprovecha de la inserción de caracteres especiales en la comunicación cliente – servidor, de forma que introduce Scripts maliciosos
El Script se ejecuta en el contexto de seguridad del cliente, no del atacante
Ocurren en páginas dinámicamente generadas, cuando se confía en la validez de la fuente (cliente)
Utiliza programas applet de Java, ActiveX, JavaScript y VbScript que permiten crear páginas Web interactivas
Cross Site ScriptingComprometimiento de cookie de sesión
Cross Site ScriptingCómo se realiza? (Gp:) Selección del sitio Web por el atacante; usualmente un sitio de e-commerce. (Gp:) Análisis del sitio Web; desarrollo del Script malicioso y su método de inserción. (Gp:) Desarrollo de componentes receptores. (Gp:) Paso necesario si se esta interesado en recibir información (por ejemplo números de tarjetas de crédito). (Gp:) Atracción de la victima para que interactúe con el atacante, haciendo uso de contenido interesante. (Gp:) Redirección de la solicitud del Browser e inserción del Script malicioso. (Gp:) Puerta Abierta para el atacante.
Cross Site ScriptingImpacto Exposición de Conexiones SSL-encriptadas
Ataques persistentes con Cookies envenenadas
Acceso a sitios Web restringidos
Violación de políticas de seguridad basadas en dominio
Riesgos adicionales, por uso de caracteres poco comunes
Alteración del comportamiento de un Formulario
Cross Site ScriptingContramedidas
Agenda Introducción Cross Site Scriting Unicode Hack Ataques CGI Conclusiones Referencias
Unicode Hack Nace en a finales del año 2000 a partir del descubrimiento de un bug en IIS 4.0 publicado en un foro del sitio www.packetstorm.org
Aprovecha debilidades durante el proceso de interpretación y ejecución de URL’s que efectúa un servidor Web por cada petición
Es llamado “UNICODE” debido a que es ésta la codificación de caracteres empleada para efectuar accesos ilegales sobre el servidor Web
Unicode Hack Funcionamiento El servidor Web efectúa una verificación de seguridad sobre cada URL ejecutado para asegurar que el requerimiento no use ninguna secuencia ‘./’ o ‘.’
Una vez que el IIS efectúa la verificación, pasa el URL a través de una rutina de decodificación para transformar cualquier caracter Unicode extendido y luego ser ejecutado
Reemplazando los caracteres ‘/’ y ‘’ por su representación Unicode ‘%2f’ y ‘%5c’, el URL sobrepasa la verificación de seguridad (parsing)
Unicode Hack Funcionamiento A raíz de la publicación del primer parche que incluyo un proceso adicional de parsing después de la transformación, nació una variante en la cual se efectúa una codificación doble de caracteres
El caracter '' es codificado como "%5c“, el correspondiente código de estos tres caracteres es: '%' = %25 '5' = %35 'c' = %63
Codificando estos tres caracteres nuevamente, se obtiene: %255c %35c %%35%63 %25%35%63
Ejemplo: Http://TARGET/Scripts/././winnt/system32/cmd.exe?/c+dir+c: ? Http://TARGET/Scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:
| Página siguiente |