Archivo

Posts Tagged ‘xss Stored aplicaciones web’

WEB HACKING – Configurando DOJO Web Security como Hacklab – Parte III

julio 9, 2012 5 comentarios

Todas las aplicaciones web tienen recursos que deben utilizar para brindar funcionalidades consistentes a sus usuarios, dichos recursos pueden ser elementos tan simples como imágenes, hojas de estilos CSS, páginas HTML estáticas, documentos de texto y casi cualquier tipo de elemento que contenga información. En muchas ocasiones el volumen de información manejada por una aplicación puede ser tan grande que el mantenimiento y administración de estos recursos puede ser muy complejo y evidentemente, propenso a errores, es en ese momento donde pueden ocurrir fugas de información privada o sensitiva que no debería estar expuesta al publico por el contenido de la misma, así como también pueden dejarse fallos sobre la configuración del servidor web o la aplicación. En este punto, un hacker o pentester “entra en escena” recolectando y analizando toda esta información. Se trata del primer paso que siempre se debe realizar, recolectar información del sistema o aplicación objetivo y “encajar” las piezas, como si tratara de un puzzle, cada pieza de información permite tener una imagen global del funcionamiento de la aplicación y por consiguiente, de los fallos que esta puede tener.

Leer más…

WEB HACKING – Conceptos Básicos sobre seguridad en aplicaciones Web, Metodología OWASP – Parte II

julio 5, 2012 Deja un comentario

Durante el proceso de pruebas de seguridad de una aplicación web, se suele tener la falsa concepción de que la revisión automatizada es eficiente y efectiva, es así como muchos testers y pentesters (especialmente los menos experimentados) suelen anteponer y priorizar los resultados devueltos por scanners de vulnerabilidades en aplicaciones web sobre la inspección manual, con esto no se pretende de ninguno modo desestimar la labor que desempeñan dichas herramientas como scanners y frameworks de penetración, solamente que es necesario comprender que dichas herramientas tienen sus propias LIMITACIONES y que no se puede esperar que una utilidad que ha sido creada para aplicaciones genéricas funcione del mismo modo para aplicaciones con un alto nivel de personalización. Dadas estas premisas, esta claro que el uso de las herramientas no es suficiente para afrontar el reto que implica desplegar una aplicación web segura, es necesario que la persona responsable y el equipo involucrado tenga presentes como mínimo las siguientes técnicas sobre el testing de una aplicación web

Leer más…

WEB HACKING – Conceptos Básicos sobre seguridad en aplicaciones Web y Pentesting – Parte I

julio 2, 2012 1 comentario

Este es el primer articulo de una serie de entradas que se publicarán en este sitio de forma periódica sobre un tema que actualmente se encuentra en constante evolución (y crecimiento), la seguridad en aplicaciones web y pentesting. Se trata de un tema que dada su complejidad y cantidad de información disponible puede abarcar un buen número de entradas (que al momento de escribir este documento no tengo del todo claro), sin embargo intentaré que sea lo más profundo y a la vez fácil de comprender para todo el mundo.

Leer más…

Utilizando XSSF en MetaSploit Framework – Explotando XSS

mayo 27, 2011 2 comentarios

Xssf Framework permite administrar victimas de ataques XSS genéricos y persiste una conexión con dichas victimas por medio de un “loop” en javascript, el cual se encarga de enviar peticiones reversas en intervalos definidos de tiempo con el fin de ejecutar exploits contra la victima.

Para usar xssf en metasploit es necesario localizar una aplicación vulnerable a ataques XSS, para probar y mejorar habilidades en el campo de la seguridad en aplicaciones web, existe un proyecto llamado DVWA (Damn Vulnerable Web Application), se trata de una aplicación escrita en PHP y MySQL que tiene habilitadas una serie de vulnerabilidades que permite a un profesional en seguridad, interactuar con la aplicación y comprender mejor los posibles ataques que pueden llevarse a cabo en aplicaciones web.

Leer más…

Integrando Herramientas del Arsenal: Beef y MetaSploit Framework

mayo 25, 2011 6 comentarios

Integrando Beef y MetaSploit Framework

Tal vez algunos que vengáis siguiendo este blog, ya conocéis las posibilidades que brinda MetaSploit para una fácil integración con otras herramientas relacionadas con pruebas de penetración, en este caso, Beef puede ser integrada y extendida con la potencia que lleva consigo MetaSploit Framework, partiendo de este punto, es posible ejecutar exploits y payloads contra victimas de ataques XSS administradas por Beef, la forma de integrar Beef y MetaSploit es muy sencilla y se basa en el uso del plugin xmlrpc de MetaSploit Framework, ya que permite crear un servicio que se encontrará en estado de “escucha” esperando a que nuevos clientes intenten conectarse a él (de una forma muy similar a como se hace con Nikto). Los pasos a seguir son los siguientes:

Leer más…

Automatizando Ataques XSS utilizando BEEF

mayo 24, 2011 10 comentarios

BEEF

Beef es una herramienta bastante útil y completa para automatizar ataques XSS contra clientes de aplicaciones web vulnerables, consiste en el uso de vectores de ataque XSS clásicos de forma automatizada, donde Beef, controla a todas las víctimas de este tipo de ataques y permite ejecutar diferentes tipos de payloads contra el objetivo, ademas de capturar información sobre la víctima, tales como sistema operativo utilizado, navegador, dirección IP, cookies, entre otra información valiosa.

Unas de las potencialidades que tiene esta herramienta es que se instala muy fácilmente ademas de que se integra con una serie de exploits manejados directamente por MetaSploit con el fin de conseguir penetrar en la maquina del objetivo, aunque este mecanismo de instalación es el mas sencillo, también se encuentra obsoleto, actualmente esta herramienta se encuentra en constante desarrollo y se ha migrado completamente a Ruby, a continuación se indica como instalar Beef de ambas formas.

Leer más…

Explotando vulnerabilidades XSS en aplicaciones Web

mayo 23, 2011 Deja un comentario

Una vez comprendidos los conceptos indicados en la entrada anterior (ver aquí) se procede a indicar casos prácticos de como un ataque XSS puede ser llevado a cabo sobre una aplicación web vulnerable. Para realizar algunas pruebas sobre XSS, es necesario en primer lugar tener una aplicación web vulnerable, para esto es necesario seguir la entrada anterior correspondiente a entornos de pruebas en (ver aquí)

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.073 seguidores

A %d blogueros les gusta esto: