PDF de programación - Pruebas de Penetración contra Aplicaciones Web

Pruebas de Penetración
contra Aplicaciones Web

Alonso Eduardo Caballero Quezada

Consultor en Hacking Ético e Informática Forense

e-mail: [email protected]

Sitio Web: www.ReYDeS.com



¿Quién Soy?

Alonso Eduardo Caballero Quezada es Brainbench Certified Network
Security (Master), Computer Forensics (U.S.) & Linux Administration
(General), IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling y Miembro de OWASP.

Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y
Conferencista en PERUHACK 2014. Cuenta con más de doce años de
experiencia en el área y desde hace ocho años labora como Consultor e
Instructor Independiente en las áreas de Hacking Ético & Informática
Forense. Perteneció por muchos años al grupo internacional de Seguridad
RareGaZz e integra actualmente el Grupo Peruano de Seguridad
PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también
constantemente en exposiciones enfocadas a, Hacking Ético, Informática
Forense, GNU/Linux y Software Libre.

@Alonso_ReYDeS

www.facebook.com/alonsoreydes



pe.linkedin.com/in/alonsocaballeroquezada/



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Temario

• Aplicaciones Web
• Seguridad en Aplicaciones Web
• Pruebas de Penetración a Aplicaciones Web
• Tipos de Pruebas de Penetración
• Métodos de Prueba
• Componentes de una Prueba de Penetración
• Metodología de una Prueba de Penetración a una Aplicación Web
• Reconocimiento
• Mapeo
• Descubrimiento
• Explotación
• Tipos de Fallas



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Aplicaciones Web

En la actualidad las Aplicaciones Web son los objetivos más buscados
para explotarlos, esto debido a su amplia utilización.

En la actualidad debido al crecimiento y difusión de Internet, la web y por
consiguiente las aplicaciones web se integran en la vida diaria de muchas
personas. Uno de los principales beneficios de las aplicaciones web es su
portabilidad, y su adecuada funcionalidad en un amplio espectro de
sistemas operativos.

Las aplicaciones web pueden ser utilizadas en una amplia diversidad de
escenarios, como almacenar, gestionar y acceder a datos financieros
sensibles o información personal. Los clientes pueden acceder a sus
cuentas bancarias. Las empresas pueden utilizarlas para compartir
propiedad intelectual, etc.

El alto valor de los datos accedidos mediante la utilización de aplicaciones
web incrementa su valor como objetivo de ataque.



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Seguridad en Aplicaciones Web

En la actualidad una gran cantidad de organizaciones se centra en realizar
pruebas sobre la funcionalidad de las aplicaciones desarrolladas para la
web del negocio, pero raramente realizan pruebas de seguridad.

Diariamente se reportan un gran cantidad de vulnerabilidades relacionadas
y enfocadas en las aplicaciones web.

Con la creciente utilización de nuevas tecnologías, los sitios web hacen
más de lo “perceptible”, lo cual añade nuevos vectores de ataque.

Típicamente el usuario es requerido de hacer clic en un enlace o imagen
de un sitio web, la petición va hacia el servidor, y luego se devuelve un
resultado conteniendo la página web. Para el caso de Ajax por ejemplo, se
interactua con el sitio, se ejecuta código JavaScript para realizar llamadas
y recabar datos desde el servidor. De esta manera las páginas son
actualizadas dinámicamente con los datos recibidos.

* Open Sourced Vulnerability Database: http://osvdb.org/
* XSS Attack Information: http://xssed.com/



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Pruebas de Penetración a Aplicaciones Web

Para realizar pruebas de penetración satisfactorias contra aplicaciones
web se necesita tener un buen conocimiento; más allá del nivel de usuario
normal; sobre las tecnologías web. Entender como es su funcionamiento
desde la perspectiva del desarrollador o administrador web.

De esta manera los profesionales en pruebas de penetración deben pensar
de manera maliciosa pero actuando profesionalmente. Deben preguntarse
como sería factible pasar las restricciones, analizar cuales podrían ser los
errores cometidos por los desarrolladores, administradores, y operadores
del sistema objetivo.

Esta es una perspectiva de pensamiento completamente diferente a la de
los desarrolladores o administradores. Lo cual permite enfocarse en pasar
los controles de la aplicaciones, o encontrar problemas en lógica del
negocio.

* OWASP: https://www.owasp.org/



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Pruebas de Penetración a App Web (Cont.)

Una buena Prueba de Penetración debe seguir una metodología aprobada.
Sin esto se perderían vulnerabilidades y no se completaría el trabajo. Esta
metodología deben ser Aprobada, Repetible y Explicable.

Además del uso de una metodología, conocer las herramientas es
fundamental. No es necesario recordar mil opciones de las herramientas,
es suficiente estar familiarizado con las herramientas existentes para
realizar esta labor.

El obtener permiso para realizar las pruebas es la pieza más crítica de
información, debido a la existencia de legislaciones sobre hacking. De no
tener el permiso para evaluar la seguridad de una aplicación por escrito de
alguien con la autoridad, entonces no se evalúa la aplicación.

Ejemplo: “Accidentalmente” se descubrió una falla de inyección “SQL” en el
sitio web de una página del gobierno.



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Tipos de Pruebas de Penetración

Caja Negra: Se proporciona poca o ninguna información sobre el objetivo
de evaluación por adelantado. Es más frecuente en pruebas de
penetración a redes.

Caja Cristal: Son realizadas generalmente por un equipo interno, pero
ahora es más frecuente asignarlo a un equipo externo. El equipo de prueba
usualmente es parte del equipo de QA, y como tal se convierte en una
parte del ciclo de vida para el desarrollo del software. Se tiene acceso al
código fuente para revisarlo y reportar las vulnerabilidades encontradas.

Caja Gris: Es el tipo de prueba más común. Requiere realizar más trabajo
para obtener información necesaria. Es crítica la comunicación entre el
equipo de pruebas y la empresa en evaluación.



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Métodos de Prueba

Manual: Es la primera manera utilizada para comprender un ataque.
Aunque es manual se utilizan scripts sencillos y herramientas. Es
relativamente lento comparándolo con otros métodos.

Automático: Las herramientas pueden escanear rápidamente un sitio y
devolver las vulnerabilidades encontradas. El inconveniente es tener
menor control sobre el comportamiento del ataque, por lo cual se es
propenso a obtener falsos positivos.

Híbrido: Genera mejores resultados el utilizar métodos manuales y
automáticos. Se puede utilizar un escaner de vulnerabilidades para tener
un línea base y punto de inicio. Y al mismo tiempo se puede realizar
revisiones manuales por problemas en el sitio. Los resultados del escaner
deben ser validados, con la intención de utilizarlos luego para expandir el
punto de apoyo dentro de la aplicación.



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Componentes de una Prueba de Penetración

Existen tres secciones durante una prueba de penetración, todas ellas son
obligatorias excepto la presentación.

Preparación

Establecer el Alcance de la Prueba: Propósito, Tipo y Alcance de la Prueba

Obtener Información requerida para la Prueba: Aplicaciones, Nombres de
usuario y Contraseñas, Restricciones Tecnológicas, Información Contacto.

Reglas del Contrato: Ambas partes deben estar de Acuerdo.

Identificar Tráfico del “Hacker Ético” y Datos en la Aplicación

Ventana de Tiempo para la Prueba: Acordar Duración y Horarios.

Planificar las Comunicaciones: Contactos diversos y protegidos para la
comunicación,



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Componentes de una PdP (Cont.)

Reportar

Es probablemente la pieza más importante de la prueba de penetración.
Mucha compañías tomarán el reporte y la utilizarán como una directriz para
conocer aquello requerido de ser solucionado y asegurar sus aplicaciones.

1. Resumen Ejecutivo: Alto Nivel, 1 página. Hallazgos y Recomendaciones
2. Introducción: Explicar Alcance, Objetivo, Lista del Equipo, 1 a 2 páginas.
3. Metodología: Describirla paso a paso. De 3 a 10 páginas promedio.
4. Hallazgos: Lista categorizada en base al Riesgo. Recomendaciones.
5. Conclusiones: Sección corta, similar al resumen ejecutivo.

También se pueden incluir apéndices, anotaciones importantes,
documentos, y otros ítemes obtenidos o creados durante la prueba de
penetración.

* OWASP Testing Guide - Reporting: https://www.owasp.org/index.php/Reporting
* Penetration Testing Report: http://www.offensive-security.com/offsec/penetration-test-report-2013/



Pruebas de Penetración contra Aplicaciones Web :: Alonso Eduardo Caballero Quezada :: www.ReYDes.com :: [email protected]

Componentes de una PdP (Cont.)

Presentación

Es una parte opcional de la prueba, la cual algunas organizaciones obvian.
La presentación es básicamente un conjunto de diapositivas describiendo
lo evaluado, lo encontrado y las