Qué es Grode
-
Upload
mirojo -
Category
Technology
-
view
761 -
download
0
description
Transcript of Qué es Grode
Grode
María Isabel Rojo
Abril 2014
Índice
Fases de un ataque
• Reconocimiento
• Escaneo
• Ganar Acceso
• Mantener acceso
• Borrar huellas
Clasificación de los tipos de ataques
• Autenticación
• Autorización
• Ataque en la parte cliente
• Ejecución de comandos
• Revelación de información
Tipos de ataques - Autenticación
• Fuerza bruta
• Autenticación insuficiente
• Débil validación de contraseñas
Tipos de ataques - Autorización
• Predicción de credenciales/sesión
• Autorización insuficiente
• Expiración de sesión insuficiente
• Fijación de sesión
Tipos de ataques – Ataques en la parte cliente
• Suplantación de contenido. Phising.
• Cross-site scripting
Tipos de ataques – Ejecución de comandos
• Desbordamiento de buffer
• Ataques de formato de cadena
• Inyección LDAP
• Comandos del sistema operativo
• Inyección de código SQL
• Inyección de código SSI
• Inyección XPath
Tipos de ataques – Revelación de información
• Indexación de directorio
• Fuga de información
• Path Transversal
• Localización de recursos predecibles
Tipos de ataques – Ataques lógicos
• Abuso de funcionalidad
• Denegación de servicio
• Anti-automatización insuficiente
• Validación de proceso insuficiente
Qué es Grode
• Grode es una herramienta que realiza una primera validación inicial sobre el nivel de seguridad de una web.
• Implementa varias técnicas.
• Uso sencillo e intuitivo.
• Resultados no incluyen información delicada.
• Pensado para desarrolladores, auditores o clientes preocupados por la seguridad de su web.
Técnicas implementadas
• Inyección SQL
• Mediante una batería de pruebas realiza validaciónes de vulnerabilidades en inyección SQL por las dos vías existentes:
– URL
– Formularios
Técnicas implementadas
• URL
– Si la web introducida por el usuario contiene variables del tipo: ?id=12345 se lanzan batería de pruebas del tipo:
• ?id=‘
• ?id=-1
– Grode realiza la comparación de resultados devueltos.
Técnicas implementadas
• Formulario
– Si la web introducida por el usuario contiene formularios Grode hace:
• Limpia la web dejando solo el formulario
• Deduce la web de destino del formulario.
• Saca las diferentes variables del mismo.
• Monta la web del tipo ?id=123456789.
• Lanza la batería de pruebas con ?id=-1 e ?id=‘.
• Analiza los resultados.
Técnicas implementadas
• Inyección SQL– Finalmente Grode devuelve un pequeño informe
donde se indica si la web tiene un nivel de vulnerabilidad:• Bajo
• Medio
• Alto
– Esto pone en alerta al especialista que puede realizar ya test mas profundos viendo cuanta información esta afectada por esa técnica.
Técnicas implementadas
• Indexación de directorio– Grode detecta si el sitio web solicitado tiene
archivo robots.txt
– Si tiene dicho archivo analiza cuantas lineas con formato Disallow: existen en el mismo.
– Monta cada linea con formato: www.url-victima.com/webDelRobots.php
– Analiza si existe la linea
– Devuelve la cabecera HTML sobre el estado de la petición
Técnicas implementadas
• Indexación de directorio– Los archivos robots.txt pueden ser realmente
extensos.
– Grode realiza de forma automática la auditoría sobre los mismos informando al auditor de que webs tienen contenido y su administrador no quiere que se vean.
– Da en un tiempo muy rápido un informe al auditor de que archivos están siendo ocultos y pueden ser vulnerables.
Técnicas implementadas
• Fuga de información– Grode aprovecha las diferentes pruebas que se
realizan durante la validación de otras técnicas para validar si sus diferentes respuestas contienen información sensible.
– Realiza la comparación buscando información sensible del tipo:• Devolución de errores con directorios.
• Devolución de errores con consultas o información de la BBDD.
• Devolución de errores con información sensible.
¿Qué aporta Grode?
• Pruebas de seguridad sencillas, solo se necesita una url.
• Resultados indicativos, explican el problema y nivel pero no muestra información sensible para usos indebidos.
• Primer test inicial sencillo para que auditores puedan focalizar sus esfuerzos en evaluar técnicas que devuelvan nivel de vulnerabilidad.
Versión Beta Grode
• Implementa las técnicas indicadas anteriormente:
– Inyección SQl
– Indexación de directorio
– Fuga de información.
• Ya disponible en www.grode.es
Futuro de Grode
• Software libre. Se liberará el código una vez finalizado el PFG.
• Implementación de más técnicas, las primera previstas:– Google Hacking. Conexión con la API de Google y
sincronización con los encontrado en robots.txt
– Inyección LDAP completa: Las pruebas actuales ya lanzan baterías que valen para esto, completarlo.
– Inyección Xpath.
Grode en los medios
• Video sobre Google Hacking donde se presenta Grode y su primera funcionalidad de análisis de robots.txt.
• Se ha presentado Grode al concurso de ISACA para jóvenes.