Archivo
WEB HACKING – Módulos y Librerias en servidores web Apache – MOD_SECURITY – Parte X
MOD_SECURITY es una robusta librería que se encuentra disponible para servidores web Apache y que permite a un administrador, extender la seguridad del servidor con mecanismos adicionales incluidos en este módulo. Se encuentra dentro de la categoría de los WAF (Web Application Firewall) dado que contiene directivas que permiten detectar y filtrar ataques comunes contra la infraestructura de un servidor web. Una de las principales características de este módulo es su capacidad para capturar y analizar de forma dinámica el trafico HTTP, esto es una gran ventaja, dado que estas características le permiten monitorizar, registrar y controlar el acceso de todas las peticiones HTTP que son llevadas a cabo por los clientes, filtrando aquellas que son legitimas y aquellas que tienen altas probabilidades de no serlo. Este módulo es importante habilitarlo en servidores web ya que permite habilitar una capa extra de protección, sin embargo es también importante tener en cuenta que este módulo no puede proteger por completo un servidor web, ya que su contexto de ejecución esta limitado solamente a las aplicaciones web y hay mucho código (propio del servidor web) que se ejecuta antes de que MOD_SECURITY entre en acción.
WEB HACKING – Módulos y Librerias en servidores web Apache – MOD_REWRITE – Parte IX
MOD_REWRITE es un potente módulo incluido en Apache que permite realizar un pre-procesamiento de las peticiones llevadas a cabo por los clientes que solicitan determinados recursos del servidor web. Su funcionamiento es sencillo, sin embargo dado que es bastante flexible, puede ser tan complejo como se desee/necesite. Lo que hace este módulo realmente es manipular las URL’s solicitadas por un cliente y realizar una redireccion interna a otro recurso, lo que significa que cuando un cliente ingresa una URL en su navegador, la página/recurso que esta solicitado simplemente es una “marca” para el servidor web que le indicará que debe realizar una redirección interna y servir un contenido determinado. Esto es útil en el sentido de que pueden escribirse URL’s amigables que son más fáciles de entender (y posiblemente de memorizar) para el usuario final. El mecanismo utilizado por este módulo para ejecutar las redirecciones internas es por medio del uso de la directiva RewriteRule y expresiones regulares que aplican sobre la URL solicitada por el cliente, de esta forma cada vez que una URL cumple alguna de las reglas definidas con esta directiva, se activa de forma automática la dirección a un recurso interno que también se define en la directiva anteriormente mencionada.
WEB HACKING – Módulos y Librerías en servidores web Apache – AMON y MOD_DEFLATE – Parte VIII
Cuando se instala un servidor web Apache, es importante dedicar tiempo suficiente para realizar tareas de tunning y fortalecer la seguridad del servidor ante las múltiples amenazas que se encuentran en entornos poco fiables como internet. En este sentido, los módulos y las librerías que pueden ser instaladas, habilitadas y posteriormente configuradas representan una pieza fundamental en este puzzle de tener un servidor web en condiciones para atender usuarios de forma segura garantizando la confidencialidad e integridad de la información. En esta publicación se hablará un poco sobre la librería AMON.SO y el módulo MOD_DEFLATE, en próximas publicaciones se hablará sobre más librerías y módulos interesantes para Apache.
WEB HACKING – Medidas de seguridad en servidores web Apache – Conceptos Básicos SSL y Principales Directivas en ModSSL – Parte VII
Anteriormente se ha hablado del uso del modulo ModSSL para habilitar SSL v2/v3 y TLSv1 en Apache, sin embargo se ha hablado de este potente módulo de una forma muy superficial, por este motivo, la intensión de este articulo es simplemente, explicar en mayor profundidad el uso de ModSSL y algunas de las directivas más interesantes que se encuentran disponibles.
WEB HACKING – Medidas de seguridad en servidores web Apache – Configurando ModSSL, OpenSSL y PHP en Apache – Parte VI
Cuando se instala un servidor Apache que se expondrá en entornos no seguros como internet, implementar medidas de seguridad básicas como el cifrado de las comunicaciones es una actividad que es altamente recomendable. En esta publicación se hablará de como utilizar Apache con soporte a SSL.
En primer lugar, se explicará como habilitar el soporte de SSL en el servidor web, por lo tanto es necesario instalarlo como se ha indicado en la publicación anterior a esta, los pasos son simples y se pueden resumir así:
- Instalar el servidor web
- Instalar OpenSSL
- Generar un certificado para el servidor utilizando OpenSSL.
- Habilitar el soporte que tiene Apache para SSL
- Establecer las directivas para SSL en el fichero de configuración del servidor.
WEB HACKING – Medidas de seguridad en servidores web Apache – Directivas y Tips de seguridad – Parte V
Además de las directivas mencionadas en la publicación anterior, existen algunas otras que permiten un control mucho más “especifico” sobre características de seguridad en el servidor web Apache, el objetivo de esta publicación es intentar explicar como funcionan dichas directivas y algunos “tips” de seguridad que normalmente se suelen aplicar para proteger la infraestructura del servidor web y las aplicaciones que en él se alojan.
WEB HACKING – Medidas de seguridad en servidores web Apache – Instalación, Configuración y Conceptos Básicos – Parte IV
Antes de comenzar a probar ataques sobre servidores y aplicaciones web, es importante saber como funciona el servidor web que estamos probando, es por este motivo que conocer las medidas de seguridad, módulos y demás herramientas con las que cuenta un administrador de sistemas es realmente importante ya que este conocimiento le permite a un hacker entender y detectar con mayor facilidad cuando un servidor web se encuentra mal configurado o es vulnerable en algún punto. Aunque existen muchísimos servidores web en el mercado, en esta entrada y en las próximas se hablará sobre uno de los más conocidos y utilizados en todo el mundo: Apache web server (en próximas publicaciones se hablará sobre Apache Tomcat). Vamos a comenzar…
WEB HACKING – Configurando DOJO Web Security como Hacklab – Parte III
Todas las aplicaciones web tienen recursos que deben utilizar para brindar funcionalidades consistentes a sus usuarios, dichos recursos pueden ser elementos tan simples como imágenes, hojas de estilos CSS, páginas HTML estáticas, documentos de texto y casi cualquier tipo de elemento que contenga información. En muchas ocasiones el volumen de información manejada por una aplicación puede ser tan grande que el mantenimiento y administración de estos recursos puede ser muy complejo y evidentemente, propenso a errores, es en ese momento donde pueden ocurrir fugas de información privada o sensitiva que no debería estar expuesta al publico por el contenido de la misma, así como también pueden dejarse fallos sobre la configuración del servidor web o la aplicación. En este punto, un hacker o pentester “entra en escena” recolectando y analizando toda esta información. Se trata del primer paso que siempre se debe realizar, recolectar información del sistema o aplicación objetivo y “encajar” las piezas, como si tratara de un puzzle, cada pieza de información permite tener una imagen global del funcionamiento de la aplicación y por consiguiente, de los fallos que esta puede tener.
WEB HACKING – Conceptos Básicos sobre seguridad en aplicaciones Web, Metodología OWASP – Parte II
Durante el proceso de pruebas de seguridad de una aplicación web, se suele tener la falsa concepción de que la revisión automatizada es eficiente y efectiva, es así como muchos testers y pentesters (especialmente los menos experimentados) suelen anteponer y priorizar los resultados devueltos por scanners de vulnerabilidades en aplicaciones web sobre la inspección manual, con esto no se pretende de ninguno modo desestimar la labor que desempeñan dichas herramientas como scanners y frameworks de penetración, solamente que es necesario comprender que dichas herramientas tienen sus propias LIMITACIONES y que no se puede esperar que una utilidad que ha sido creada para aplicaciones genéricas funcione del mismo modo para aplicaciones con un alto nivel de personalización. Dadas estas premisas, esta claro que el uso de las herramientas no es suficiente para afrontar el reto que implica desplegar una aplicación web segura, es necesario que la persona responsable y el equipo involucrado tenga presentes como mínimo las siguientes técnicas sobre el testing de una aplicación web
WEB HACKING – Conceptos Básicos sobre seguridad en aplicaciones Web y Pentesting – Parte I
Este es el primer articulo de una serie de entradas que se publicarán en este sitio de forma periódica sobre un tema que actualmente se encuentra en constante evolución (y crecimiento), la seguridad en aplicaciones web y pentesting. Se trata de un tema que dada su complejidad y cantidad de información disponible puede abarcar un buen número de entradas (que al momento de escribir este documento no tengo del todo claro), sin embargo intentaré que sea lo más profundo y a la vez fácil de comprender para todo el mundo.
Wireless Hacking – Evil Twin y Ataques MITM sobre SSL – Parte VI
En una entrada anterior de este blog se ha mencionado el uso de “airbase-ng” para crear un SoftAP que permitía a cualquier cliente conectarse a dicho AP como si se tratase de cualquier router, (ver el post aquí: http://thehackerway.com/2011/04/28/creando-un-fake-access-point-inalambrico-2/) la finalidad de crear un softAP desde el punto de vista de un atacante, es simplemente tener acceso al trafico de sus clientes, permitiéndole realizar ataques MITM. En este caso concreto, la técnica conocida como “Evil Twin” se basa en el hecho de que pueden existir dos AP con el mismo SSID y que utilizando utilidades como “aireplay-ng” se pueden enviar paquetes de “DeAuth” a todos los clientes conectados a un AP determinado, lo que al final puede desembocar en un ataque de denegación de servicio. Cuando un cliente se encuentra conectado en una red HotSpot, por ejemplo en un aeropuerto, un bar, un restaurante, un MacDonalds, normalmente no existen mecanismos de autenticación intermedios, es decir, son redes que normalmente se encuentran abiertas al publico en general, lo que facilita enormemente las cosas a un atacante.
Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección y alarmas de Snort utilizando W3AF – Parte IX
En esta ocasión indicaré el uso de W3AF para evadir sistemas de detección de intrusos y sistemas de prevención de intrusos (IDS/IPS), en este caso concreto, se intentará indicar las pruebas que se han realizado contra Snort ejecutándose como NIDS. Para esto se utilizan técnicas de evasión en W3AF (en algunas ocasiones accediendo y modificando directamente el código del proyecto que se encuentra escrito en Python). Estas técnicas ejecutan procedimientos de evasión partiendo de la base que muchos de los IDS/IPS del mercado detectan amenazas en función a determinadas “firmas” o patrones de comportamiento que son identificados como anómalos o maliciosos. Los “tips” de evasión presentados aquí lo que realmente hacen es modificar las peticiones realizadas a un servidor web para que dichas peticiones no se ajusten a los patrones que esperan los IDS/IPS.
adastra
